Visualizzazione dell'utilizzo recente di chiavi e account di servizio

Questa pagina mostra come utilizzare lo Strumento di analisi attività per vedere quando i tuoi account di servizio e le tue chiavi sono stati utilizzati l'ultima volta per chiamare un'API di Google. Questi utilizzi vengono chiamati attività di autenticazione.

Le attività di autenticazione recenti possono aiutarti a identificare gli account di servizio e le chiavi degli account di servizio che non utilizzi più. Ti consigliamo di disabilitare o eliminare le chiavi e gli account di servizio inutilizzati poiché generano un rischio per la sicurezza non necessario.

Prima di iniziare

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per elencare le attività di autenticazione più recenti per gli account di servizio e le chiavi degli account di servizio, chiedi all'amministratore di concederti il ruolo IAM Visualizzatore attività di analisi (roles/policyanalyzer.activityAnalysisViewer) nel progetto. Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestire l'accesso.

Questo ruolo predefinito contiene le autorizzazioni necessarie per elencare le attività di autenticazione più recenti per gli account di servizio e le chiavi degli account di servizio. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:

Autorizzazioni obbligatorie

  • policyanalyzer.serviceAccountKeyLastAuthenticationActivities.query
  • policyanalyzer.serviceAccountLastAuthenticationActivities.query

Potresti anche essere in grado di ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Visualizza l'utilizzo recente di tutti gli account di servizio o le chiavi

Per visualizzare l'utilizzo recente dei tuoi account di servizio o delle chiavi degli account di servizio, utilizza lo Strumento di analisi attività per elencare le date delle attività di autenticazione più recenti.

gcloud

Per elencare le attività di autenticazione più recenti per gli account o le chiavi di servizio, utilizza il comando gcloud policy-intelligence query-activity:

gcloud policy-intelligence query-activity --activity-type=ACTIVITY_TYPE \
    --project=PROJECT_ID --limit=LIMIT

Sostituisci i seguenti valori:

  • ACTIVITY_TYPE: il tipo di attività che vuoi elencare. Per elencare gli orari di utilizzo più recenti per i tuoi account di servizio, utilizza serviceAccountLastAuthentication. Per elencare i tempi di utilizzo più recenti per le chiavi dell'account di servizio, utilizza serviceAccountKeyLastAuthentication.
  • PROJECT_ID: il tuo ID progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, come my-project.
  • LIMIT: facoltativo. Il numero massimo di risultati da restituire. Il valore predefinito è 1000.

La risposta è simile alla seguente, che elenca i tempi di utilizzo recenti per gli account di servizio di un progetto:

---
activity:
  lastAuthenticatedTime: '2021-04-27T07:00:00Z'
  serviceAccount:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
    projectNumber: '123456789012'
    serviceAccountId: '123456789012345678901'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-03-12T07:00:00Z'
---
activity:
  lastAuthenticatedTime: '2021-02-09T08:00:00Z'
  serviceAccount:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com
    projectNumber: '123456789012'
    serviceAccountId: '234567890123456789012'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-09-01T07:00:00Z'

Per informazioni su come comprendere questi risultati, consulta la sezione Comprendere le attività in questa pagina.

REST

Per elencare le attività di autenticazione più recenti per gli account o le chiavi di servizio, utilizza il metodo activities.query dell'API Policy Analyzer.

Prima di utilizzare uno qualsiasi dei dati della richiesta, effettua le seguenti sostituzioni:

  • PROJECT_ID: ID progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, come my-project.
  • ACTIVITY_TYPE: il tipo di attività che vuoi elencare. Per elencare gli utilizzi più recenti di tutti i tuoi account di servizio, utilizza serviceAccountLastAuthentication. Per elencare gli utilizzi più recenti per tutte le chiavi dell'account di servizio, utilizza serviceAccountKeyLastAuthentication.
  • PAGE_SIZE: facoltativo. Il numero massimo di risultati da restituire da questa richiesta. Se non è specificato, il server determinerà il numero di risultati da restituire. Se il numero di attività supera le dimensioni della pagina, la risposta contiene un token di impaginazione che puoi utilizzare per recuperare la pagina dei risultati successiva.
  • PAGE_TOKEN: facoltativo. Il token di impaginazione ha restituito una risposta precedente da questo metodo. Se specificato, l'elenco delle attività inizierà da dove è terminata la richiesta precedente.

Metodo HTTP e URL:

GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/ACTIVITY_TYPE/activities:query?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

Per inviare la richiesta, espandi una delle seguenti opzioni:

La risposta è simile alla seguente, in cui sono elencati i tempi di utilizzo recenti per gli account di servizio di un progetto:

{
  "activities": [
    {
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
      "activityType": "serviceAccountLastAuthentication",
      "observationPeriod": {
        "startTime": "2020-04-20T07:00:00Z",
        "endTime": "2021-05-17T07:00:00Z"
      },
      "activity": {
        "lastAuthenticatedTime": "2021-04-28T07:00:00Z",
        "serviceAccount": {
          "projectNumber": "123456789012",
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
          "serviceAccountId": "123456789012345678901"
        }
      }
    },
    {
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com",
      "activityType": "serviceAccountLastAuthentication",
      "observationPeriod": {
        "startTime": "2020-04-20T07:00:00Z",
        "endTime": "2021-05-17T07:00:00Z"
      },
      "activity": {
        "lastAuthenticatedTime": "2021-04-29T07:00:00Z",
        "serviceAccount": {
          "projectNumber": "123456789012",
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com",
          "serviceAccountId": "234567890123456789012"
        }
      }
    }
  ],
  "nextPageToken": "AVgRrQV4b5nISN6cGJvTPFJ2v_"
}

Per informazioni su come comprendere questi risultati, consulta la sezione Comprendere le attività in questa pagina.

Visualizzare l'utilizzo recente di account di servizio specifici

Per trovare l'ultima data in cui sono stati utilizzati gli account di servizio specifici, filtra i risultati dello strumento di analisi delle attività utilizzando i nomi completi delle risorse per gli account di servizio.

gcloud

Per recuperare l'attività di autenticazione più recente per account di servizio specifici, utilizza il comando gcloud policy-intelligence query-activity con un filtro:

gcloud policy-intelligence query-activity --activity-type=serviceAccountLastAuthentication \
    --project=PROJECT_ID \
    --query-filter='FILTER'

Sostituisci i seguenti valori:

  • PROJECT_ID: il tuo ID progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, come my-project.
  • FILTER: un filtro che specifica i nomi completi delle risorse degli account di servizio di cui vuoi visualizzare l'utilizzo. Il nome completo della risorsa di un account di servizio include l'ID progetto e l'indirizzo email dell'account di servizio.

    Per filtrare in base a un solo account di servizio, utilizza un filtro con il seguente formato:

    activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL"
    

    Per filtrare per più account di servizio, utilizza OR per specificare più nomi accettabili di risorse completi:

    activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_1_EMAIL" OR activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_2_EMAIL"
    

    Puoi filtrare fino a 10 account di servizio.

La risposta descrive l'utilizzo più recente degli account di servizio:

---
activity:
  lastAuthenticatedTime: '2021-04-27T07:00:00Z'
  serviceAccount:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
    projectNumber: '123456789012'
    serviceAccountId: '123456789012345678901'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-03-12T07:00:00Z'

Per informazioni su come comprendere questi risultati, consulta la sezione Comprendere le attività in questa pagina.

REST

Per recuperare l'attività di autenticazione più recente per account di servizio specifici, utilizza il metodo activities.query dell'API Policy Analyzer.

Prima di utilizzare uno qualsiasi dei dati della richiesta, effettua le seguenti sostituzioni:

  • PROJECT_ID: ID progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, come my-project.
  • FILTER: un filtro che specifica i nomi completi delle risorse degli account di servizio di cui vuoi visualizzare l'utilizzo.

    Per filtrare in base a un solo account di servizio, utilizza un filtro con il seguente formato:

    activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_EMAIL%22

    Per filtrare in base a più account di servizio, utilizza %20OR%20 per specificare più nomi di risorse completi accettabili:

    activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_1_EMAIL%22%20OR%20activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_2_EMAIL%22

Metodo HTTP e URL:

GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountLastAuthentication/activities:query?filter=FILTER

Per inviare la richiesta, espandi una delle seguenti opzioni:

La risposta descrive l'utilizzo più recente degli account di servizio:

{
  "activities": [
    {
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
      "activityType": "serviceAccountLastAuthentication",
      "observationPeriod": {
        "startTime": "2020-04-20T07:00:00Z",
        "endTime": "2021-05-17T07:00:00Z"
      },
      "activity": {
        "lastAuthenticatedTime": "2021-04-28T07:00:00Z",
        "serviceAccount": {
          "projectNumber": "123456789012",
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
          "serviceAccountId": "123456789012345678901"
        }
      }
    }
  ]
}

Visualizzare l'utilizzo recente di chiavi dell'account di servizio specifiche

Per trovare l'ultima data in cui sono state utilizzate le chiavi dell'account di servizio specifiche, trova gli ID univoci per le chiavi dell'account di servizio, quindi filtra i risultati dello strumento di analisi delle attività utilizzando tali ID.

Se hai un file JSON key, puoi trovare l'ID univoco della chiave dell'account di servizio nel campo private_key_id del file.

Se non hai un file JSON JSON, puoi trovare un ID univoco dell'account di servizio seguendo questa procedura:

console

  1. Nella console, vai alla pagina Account di servizio.

    Vai alla pagina Account di servizio

  2. Seleziona il progetto contenente l'account di servizio associato alla chiave.

  3. Fai clic sull'indirizzo email dell'account di servizio associato alla chiave.

  4. Fai clic sulla scheda Chiavi.

  5. Trova e copia il tuo ID chiave dall'elenco di ID chiave.

gcloud

  1. Elenca le chiavi degli account di servizio.

    Prima di utilizzare i dati di comando riportati di seguito, apporta le seguenti sostituzioni:

    • SERVICE_ACCOUNT_EMAIL: l'indirizzo email dell'account di servizio a cui è associata la chiave.

    Esegui il comando gcloud iam service-accounts key list:

    Linux, macOS o Cloud Shell

    gcloud iam service-accounts keys list --iam-account=SERVICE_ACCOUNT_EMAIL

    Windows (PowerShell)

    gcloud iam service-accounts keys list --iam-account=SERVICE_ACCOUNT_EMAIL

    Windows (cmd.exe)

    gcloud iam service-accounts keys list --iam-account=SERVICE_ACCOUNT_EMAIL

    Dovresti ricevere una risposta simile alla seguente:

    L'output mostra un elenco di tutte le chiavi create dall'utente associate all'account di servizio, inclusi l'ID univoco, l'ora di creazione e la data di scadenza di ogni chiave.

  2. Utilizza i dati nell'output per identificare la chiave che vuoi monitorare e copiare il relativo ID univoco.

REST

  1. Elenca le chiavi degli account di servizio:

    Per elencare tutte le chiavi dell'account di servizio per un account di servizio, utilizza il metodo projects.serviceAccounts.keys.list dell'API Policy Analyzer.

    Prima di utilizzare uno qualsiasi dei dati della richiesta, effettua le seguenti sostituzioni:

    • PROJECT_ID: ID progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, come my-project.
    • SA_NAME: nome dell'account di servizio di cui vuoi elencare le chiavi.
    • KEY_TYPES: facoltativo. Un elenco separato da virgole dei tipi di chiavi che vuoi includere nella risposta. Il tipo di chiave indica se una chiave è gestita dall'utente (USER_MANAGED) o gestita dal sistema (SYSTEM_MANAGED). Se non la specifichi, vengono restituite tutte le chiavi.

    Metodo HTTP e URL:

    GET https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_NAME@PROJECT_ID.iam.gserviceaccount.com/keys?keyTypes=KEY_TYPES

    Per inviare la richiesta, espandi una delle seguenti opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

    {
      "keys": [
        {
          "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/90c48f61c65cd56224a12ab18e6ee9ca9c3aee7c",
          "validAfterTime": "2020-03-04T17:39:47Z",
          "validBeforeTime": "9999-12-31T23:59:59Z",
          "keyAlgorithm": "KEY_ALG_RSA_2048",
          "keyOrigin": "GOOGLE_PROVIDED",
          "keyType": "USER_MANAGED"
        },
        {
          "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/e5e3800831ac1adc8a5849da7d827b4724b1fce8",
          "validAfterTime": "2020-03-31T23:50:09Z",
          "validBeforeTime": "9999-12-31T23:59:59Z",
          "keyAlgorithm": "KEY_ALG_RSA_2048",
          "keyOrigin": "GOOGLE_PROVIDED",
          "keyType": "USER_MANAGED"
        },
        {
          "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/b97699f042b8eee6a846f4f96259fbcd13e2682e",
          "validAfterTime": "2020-05-17T18:58:13Z",
          "validBeforeTime": "9999-12-31T23:59:59Z",
          "keyAlgorithm": "KEY_ALG_RSA_2048",
          "keyOrigin": "GOOGLE_PROVIDED",
          "keyType": "USER_MANAGED",
          "disabled": true
        }
      ]
    }
    

  2. Utilizza i metadati nella risposta per identificare la chiave da monitorare. Quindi, copia l'ID univoco della chiave dalla fine del campo name.

    Il campo name ha il seguente formato:

    "name": "projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID"
    

    L'ID univoco della chiave è tutto dopo il giorno keys/.

    Ad esempio, l'ID univoco nel seguente nome chiave è 0f561cc41650ff521899de2fd653bd3de08e2da4:

    "name": "projects/my-project/serviceAccounts/my-account@my-project.iam.gserviceaccount.com/keys/0f561cc41650ff521899de2fd653bd3de08e2da4"
    

Dopo aver trovato gli ID univoci per le chiavi degli account di servizio, utilizza gli ID per filtrare i risultati dello strumento di analisi delle attività:

gcloud

Per recuperare l'attività di autenticazione più recente per specifiche chiavi dell'account di servizio, utilizza il comando gcloud policy-intelligence query-activity con un filtro.

Prima di utilizzare i dati di comando riportati di seguito, apporta le seguenti sostituzioni:

  • PROJECT_ID: ID progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, come my-project.
  • FILTER: un filtro che specifica i nomi completi delle risorse delle chiavi dell'account di servizio di cui vuoi visualizzare l'utilizzo. Il nome completo della risorsa di una chiave dell'account di servizio include l'ID progetto, l'indirizzo email dell'account di servizio associato alla chiave e l'ID chiave.

    Per filtrare in base a una singola chiave dell'account di servizio, utilizza un filtro con il formato seguente:

    activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID"

    Per filtrare in base a più chiavi dell'account di servizio, utilizza "OR" per specificare più nomi di risorse completi accettabili:

    activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_1_EMAIL/keys/KEY_ID_1" OR activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_2_EMAIL/keys/KEY_ID_2"

    Puoi filtrare fino a 10 chiavi dell'account di servizio.

Esegui questo comando:

Linux, macOS o Cloud Shell

gcloud policy-intelligence query-activity --activity-type=serviceAccountKeyLastAuthentication \
    --project=PROJECT_ID \
    --query-filter='FILTER'

Windows (PowerShell)

gcloud policy-intelligence query-activity --activity-type=serviceAccountKeyLastAuthentication `
    --project=PROJECT_ID `
    --query-filter='FILTER'

Windows (cmd.exe)

gcloud policy-intelligence query-activity --activity-type=serviceAccountKeyLastAuthentication ^
    --project=PROJECT_ID ^
    --query-filter='FILTER'

Dovresti ricevere una risposta simile alla seguente:

activity:
  lastAuthenticatedTime: '2021-06-11T07:00:00Z'
  serviceAccountKey:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c
    projectNumber: '232342569935'
    serviceAccountId: '103185812403937829397'
activityType: serviceAccountKeyLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-09-10T07:00:00Z'

Questa risposta descrive l'utilizzo più recente delle chiavi degli account di servizio. Per informazioni su come comprendere questi risultati, consulta la sezione Comprendere le attività in questa pagina.

REST

Per recuperare l'attività di autenticazione più recente per specifiche chiavi dell'account di servizio, utilizza il metodo activities.query dell'API Policy Analyzer.

Prima di utilizzare uno qualsiasi dei dati della richiesta, effettua le seguenti sostituzioni:

  • PROJECT_ID: ID progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, come my-project.
  • FILTER: un filtro che specifica i nomi completi delle risorse delle chiavi dell'account di servizio di cui vuoi visualizzare l'utilizzo. Il nome completo della risorsa di una chiave dell'account di servizio include l'ID progetto, l'indirizzo email dell'account di servizio associato alla chiave e l'ID chiave.

    Per filtrare in base a una singola chiave dell'account di servizio, utilizza un filtro con il formato seguente:

    activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_EMAIL%2Fkeys%2FKEY_ID%22

    Per filtrare in base a più chiavi dell'account di servizio, utilizza %20OR%20 per specificare più nomi di risorse completi accettabili:

    activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_1_EMAIL%2Fkeys%2FKEY_ID_1%22%20OR%20activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_2_EMAIL%2Fkeys%2FKEY_ID_2%22

    Puoi filtrare fino a 10 chiavi dell'account di servizio.

Metodo HTTP e URL:

GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountKeyLastAuthentication/activities:query?filter=FILTER

Per inviare la richiesta, espandi una delle seguenti opzioni:

La risposta descrive l'utilizzo più recente delle chiavi dell'account di servizio:

{
  "activities": [
    {
      "activity": {
        "lastAuthenticatedTime": "2021-06-11T07:00:00Z",
        "serviceAccountKey": {
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c",
          "projectNumber": "123456789012",
          "serviceAccountId": "123456789012345678901"
        }
      },
      "activityType": "serviceAccountKeyLastAuthentication",
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1t@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c",
      "observationPeriod": {
        "endTime": "2021-07-06T07:00:00Z",
        "startTime": "2020-04-20T07:00:00Z"
      }
    }
  ]
}

Per informazioni su come comprendere questi risultati, consulta la sezione Comprendere le attività in questa pagina.

Comprendere le attività

Lo Strumento di analisi delle attività segnala i risultati come un elenco di attività. Le attività includono i seguenti campi:

  • fullResourceName: nome completo della risorsa dell'account di servizio o della chiave dell'account di servizio la cui attività viene segnalata. Questo formato è descritto nelle sezioni seguenti e nella sezione Nomi completi delle risorse.
  • activityType: il tipo di attività segnalato. Per le attività recenti di autenticazione degli account di servizio, il valore è serviceAccountLastAuthentication. Per le attività recenti di autenticazione delle chiavi dell'account di servizio, il valore è serviceAccountKeyLastAuthentication.
  • observationPeriod: orari di inizio e di fine che indicano l'intervallo di tempo per il quale l'account o la chiave di servizio è stata osservata per l'attività. La durata in questi timestamp è sempre T07:00:00Z.
  • activity: i dettagli dell'attività, I contenuti di questo campo variano in base al tipo di attività. Per dettagli, consulta le sezioni seguenti.

Dettagli delle attività dell'account di servizio

Il campo activity per le attività serviceAccountLastAuthentication contiene i seguenti campi:

  • serviceAccount: dettagli sull'account di servizio la cui attività viene segnalata, tra cui:

    • fullResourceName: nome completo della risorsa dell'account di servizio, nel formato //iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL.
    • projectNumber: l'ID numerico del progetto proprietario dell'account di servizio.
    • serviceAccountId: l'ID numerico dell'account di servizio.
  • lastAuthenticatedTime: un timestamp che rappresenta la data in cui si è verificato l'evento di autenticazione più recente. L'orario in questo timestamp è sempre T07:00:00Z, indipendentemente dall'ora esatta dell'evento di autenticazione.

    Questo campo non è incluso per gli account di servizio che non sono mai stati utilizzati.

Dettagli delle attività principali dell'account di servizio

Il campo activity per le attività serviceAccountKeyLastAuthentication contiene i seguenti campi:

  • serviceAccountKey: dettagli sulla chiave dell'account di servizio la cui attività viene segnalata, tra cui:

    • fullResourceName: nome completo della risorsa della chiave dell'account di servizio nel formato //iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID.
    • projectNumber: ID numerico del progetto proprietario dell'account di servizio a cui è associata la chiave.
    • serviceAccountId: l'ID numerico dell'account di servizio a cui è associata la chiave.
  • lastAuthenticatedTime: un timestamp che rappresenta la data in cui si è verificato l'evento di autenticazione più recente. L'orario in questo timestamp è sempre T07:00:00Z, indipendentemente dall'ora esatta dell'evento di autenticazione.

    Questo campo non è incluso per le chiavi degli account di servizio che non sono mai state utilizzate.

Passaggi successivi