Questa pagina mostra come utilizzare l'Analizzatore attività per sapere quando gli account e le chiavi di servizio sono stati utilizzati l'ultima volta per chiamare un'API di Google. Questi utilizzi sono chiamati attività di autenticazione.
Le attività di autenticazione recenti possono aiutarti a identificare gli account di servizio e le chiavi degli account di servizio che non utilizzi più. Ti consigliamo di disabilitare o eliminare questi account di servizio e queste chiavi inutilizzati perché creano un rischio per la sicurezza non necessario.
Prima di iniziare
- Comprendi le attività di autenticazione.
-
Attiva l'API Policy Analyzer.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per elencare le attività di autenticazione più recenti per gli account di servizio e le chiavi degli account di servizio, chiedi all'amministratore di concederti il ruolo IAM Visualizzatore analisi attività (roles/policyanalyzer.activityAnalysisViewer
) per il progetto.
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.
Questo ruolo predefinito contiene le autorizzazioni necessarie per elencare le attività di autenticazione più recenti per gli account di servizio e le chiavi degli account di servizio. Per visualizzare le autorizzazioni necessarie, espandi la sezione Autorizzazioni richieste:
Autorizzazioni obbligatorie
Per elencare le attività di autenticazione più recenti per gli account di servizio e le chiavi degli account di servizio, sono necessarie le seguenti autorizzazioni:
-
policyanalyzer.serviceAccountKeyLastAuthenticationActivities.query
-
policyanalyzer.serviceAccountLastAuthenticationActivities.query
Potresti anche essere in grado di ottenere queste autorizzazioni con i ruoli personalizzati o altri ruoli predefiniti.
Visualizza l'utilizzo recente di tutte le chiavi o di tutti gli account di servizio
Per elencare le date delle attività di autenticazione più recenti per tutti i tuoi account di servizio o le chiavi degli account di servizio, utilizza Google Cloud CLI o l'API REST.
gcloud
Per elencare le attività di autenticazione più recenti per le chiavi o gli account di servizio, utilizza il comando gcloud policy-intelligence query-activity
:
gcloud policy-intelligence query-activity --activity-type=ACTIVITY_TYPE \ --project=PROJECT_ID --limit=LIMIT
Sostituisci i seguenti valori:
ACTIVITY_TYPE
: il tipo di attività che vuoi elencare. Per elencare i tempi di utilizzo più recenti dei tuoi account di servizio, usaserviceAccountLastAuthentication
. Per elencare i tempi di utilizzo più recenti delle chiavi degli account di servizio, utilizzaserviceAccountKeyLastAuthentication
.PROJECT_ID
: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempiomy-project
.LIMIT
: facoltativo. Il numero massimo di risultati da restituire. Il valore predefinito è1000
.
La risposta è simile alla seguente, che elenca i tempi di utilizzo recenti degli account di servizio di un progetto:
---
activity:
lastAuthenticatedTime: '2021-04-27T07:00:00Z'
serviceAccount:
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
projectNumber: '123456789012'
serviceAccountId: '123456789012345678901'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
observationPeriod:
endTime: '2021-07-06T07:00:00Z'
startTime: '2020-03-12T07:00:00Z'
---
activity:
lastAuthenticatedTime: '2021-02-09T08:00:00Z'
serviceAccount:
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com
projectNumber: '123456789012'
serviceAccountId: '234567890123456789012'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com
observationPeriod:
endTime: '2021-07-06T07:00:00Z'
startTime: '2020-09-01T07:00:00Z'
Per scoprire come interpretare questi risultati, consulta Comprendere le attività in questa pagina.
REST
Per elencare le attività di autenticazione più recenti per le chiavi o gli account di servizio, utilizza il metodo activities.query
dell'API Policy Analyzer.
Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
PROJECT_ID
: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempiomy-project
.ACTIVITY_TYPE
: il tipo di attività che vuoi elencare. Per elencare gli utilizzi più recenti di tutti i tuoi account di servizio, usaserviceAccountLastAuthentication
. Per elencare gli utilizzi più recenti di tutte le chiavi dell'account di servizio, utilizzaserviceAccountKeyLastAuthentication
.-
PAGE_SIZE
: facoltativo. Il numero massimo di risultati da restituire da questa richiesta. Se non specificato, il server determinerà il numero di risultati da restituire. Se il numero di attività è maggiore delle dimensioni della pagina, la risposta contiene un token di impaginazione che puoi utilizzare per recuperare la pagina dei risultati successiva. -
PAGE_TOKEN
: facoltativo. Il token di impaginazione restituito in una risposta precedente da questo metodo. Se specificato, l'elenco delle attività inizierà dove è terminata la richiesta precedente.
Metodo HTTP e URL:
GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/ACTIVITY_TYPE/activities:query?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN
Per inviare la richiesta, espandi una di queste opzioni:
La risposta è simile alla seguente, che elenca i tempi di utilizzo recenti degli account di servizio di un progetto:
{ "activities": [ { "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com", "activityType": "serviceAccountLastAuthentication", "observationPeriod": { "startTime": "2020-04-20T07:00:00Z", "endTime": "2021-05-17T07:00:00Z" }, "activity": { "lastAuthenticatedTime": "2021-04-28T07:00:00Z", "serviceAccount": { "projectNumber": "123456789012", "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com", "serviceAccountId": "123456789012345678901" } } }, { "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com", "activityType": "serviceAccountLastAuthentication", "observationPeriod": { "startTime": "2020-04-20T07:00:00Z", "endTime": "2021-05-17T07:00:00Z" }, "activity": { "lastAuthenticatedTime": "2021-04-29T07:00:00Z", "serviceAccount": { "projectNumber": "123456789012", "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com", "serviceAccountId": "234567890123456789012" } } } ], "nextPageToken": "AVgRrQV4b5nISN6cGJvTPFJ2v_" }
Per scoprire come interpretare questi risultati, consulta Comprendere le attività in questa pagina.
Visualizza l'utilizzo recente di account di servizio specifici
Per individuare l'ultima data in cui sono stati utilizzati account di servizio specifici, utilizza la console Google Cloud, gcloud CLI o l'API REST.
Console
Nella console Google Cloud, vai alla pagina Analizzatore criteri.
In Analizza l'attività recente, individua il riquadro con l'etichetta Quando è stato utilizzato questo account di servizio l'ultima volta? e fai clic su Crea query in quel riquadro.
Nella casella Seleziona ambito di query, inserisci il nome del progetto di cui vuoi analizzare gli account di servizio.
Nella sezione Aggiungi account di servizio, fai clic sulla casella Account di servizio. Viene visualizzato un elenco di tutti gli account di servizio nel progetto. L'elenco include anche il progetto a cui è associato ciascun account di servizio e l'indirizzo email di ogni account di servizio.
Seleziona l'account di servizio di cui vuoi visualizzare l'utilizzo recente.
(Facoltativo) Per visualizzare l'utilizzo recente di più account di servizio, fai clic su Aggiungi account e seleziona un altro account di servizio. Puoi analizzare fino a 10 account di servizio alla volta.
Nel riquadro Query per attività di accesso, fai clic su Esegui query.
La pagina dei risultati mostra l'utilizzo più recente per gli account di servizio. Per scoprire come interpretare questi risultati, consulta Comprendere le attività in questa pagina.
gcloud
Per ottenere l'attività di autenticazione più recente per account di servizio specifici, utilizza il comando gcloud policy-intelligence query-activity
con un filtro:
gcloud policy-intelligence query-activity --activity-type=serviceAccountLastAuthentication \ --project=PROJECT_ID \ --query-filter='FILTER'
Sostituisci i seguenti valori:
PROJECT_ID
: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempiomy-project
.FILTER
: un filtro che specifica i nomi completi delle risorse degli account di servizio di cui vuoi visualizzare l'utilizzo. Il nome completo della risorsa di un account di servizio include l'ID progetto e l'indirizzo email dell'account di servizio.Per filtrare in base a un singolo account di servizio, utilizza un filtro con il seguente formato:
activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL"
Per filtrare in base a più account di servizio, utilizza
OR
per specificare più nomi completi delle risorse accettati:activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_1_EMAIL" OR activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_2_EMAIL"
Puoi filtrare fino a 10 account di servizio.
Nella risposta viene descritto l'utilizzo più recente per gli account di servizio:
---
activity:
lastAuthenticatedTime: '2021-04-27T07:00:00Z'
serviceAccount:
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
projectNumber: '123456789012'
serviceAccountId: '123456789012345678901'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
observationPeriod:
endTime: '2021-07-06T07:00:00Z'
startTime: '2020-03-12T07:00:00Z'
Per scoprire come interpretare questi risultati, consulta Comprendere le attività in questa pagina.
REST
Per ottenere l'attività di autenticazione più recente per account di servizio specifici, utilizza il metodo activities.query
dell'API Policy Analyzer.
Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
PROJECT_ID
: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempiomy-project
.FILTER
: un filtro che specifica i nomi completi delle risorse degli account di servizio di cui vuoi visualizzare l'utilizzo.Per filtrare in base a un singolo account di servizio, utilizza un filtro con il seguente formato:
activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_EMAIL%22
Per filtrare in base a più account di servizio, utilizza
%20OR%20
per specificare più nomi completi accettabili delle risorse:activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_1_EMAIL%22%20OR%20activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_2_EMAIL%22
Metodo HTTP e URL:
GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountLastAuthentication/activities:query?filter=FILTER
Per inviare la richiesta, espandi una di queste opzioni:
Nella risposta viene descritto l'utilizzo più recente per gli account di servizio:
{ "activities": [ { "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com", "activityType": "serviceAccountLastAuthentication", "observationPeriod": { "startTime": "2020-04-20T07:00:00Z", "endTime": "2021-05-17T07:00:00Z" }, "activity": { "lastAuthenticatedTime": "2021-04-28T07:00:00Z", "serviceAccount": { "projectNumber": "123456789012", "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com", "serviceAccountId": "123456789012345678901" } } } ] }
Visualizza l'utilizzo recente di chiavi specifiche degli account di servizio
Per trovare l'ultima data in cui sono state utilizzate chiavi specifiche dell'account di servizio, identifica la chiave dell'account di servizio di cui vuoi visualizzare l'utilizzo recente, quindi crea una query utilizzando questo ID.
Se hai un file di chiave JSON, puoi trovare l'ID univoco di una chiave dell'account di servizio nel campo private_key_id
del file.
Se non hai un file di chiave JSON, puoi trovare l'ID univoco di una chiave dell'account di servizio seguendo questi passaggi:
Console
Nella console Google Cloud, vai alla pagina Analizzatore criteri.
In Analizza l'attività recente, individua il riquadro con l'etichetta Quando è stata utilizzata la chiave dell'account di servizio l'ultima volta? e fai clic su Crea query in quel riquadro.
Nella casella Seleziona ambito di query, inserisci il nome del progetto di cui vuoi analizzare le chiavi degli account di servizio.
Nella sezione Aggiungi chiave account di servizio, fai clic sulla casella Chiave account di servizio. Viene visualizzato un elenco di tutte le chiavi degli account di servizio nel progetto. L'elenco include anche il progetto e l'account di servizio a cui è associata ogni chiave.
Seleziona la chiave di cui vuoi visualizzare l'utilizzo recente.
(Facoltativo) Per visualizzare l'utilizzo recente di più chiavi, fai clic su Aggiungi chiave e seleziona un'altra chiave. Puoi analizzare fino a 10 chiavi alla volta.
Nel riquadro Query per attività di accesso, fai clic su Esegui query.
La pagina dei risultati mostra l'utilizzo più recente delle chiavi degli account di servizio. Per scoprire come interpretare questi risultati, consulta Comprendere le attività in questa pagina.
gcloud
Innanzitutto, identifica la chiave dell'account di servizio per cui vuoi visualizzare l'utilizzo recente:
Elenca le chiavi degli account di servizio.
Prima di utilizzare uno qualsiasi dei dati del comando riportati di seguito, apporta le seguenti sostituzioni:
-
SERVICE_ACCOUNT_EMAIL
: l'indirizzo email dell'account di servizio a cui è associata la chiave.
Esegui il comando gcloud iam service-accounts Keys list:
Linux, macOS o Cloud Shell
gcloud iam service-accounts keys list --iam-account=SERVICE_ACCOUNT_EMAIL
Windows (PowerShell)
gcloud iam service-accounts keys list --iam-account=SERVICE_ACCOUNT_EMAIL
Windows (cmd.exe)
gcloud iam service-accounts keys list --iam-account=SERVICE_ACCOUNT_EMAIL
L'output mostra un elenco di tutte le chiavi create dall'utente associate all'account di servizio, inclusi l'ID univoco, l'ora di creazione e la scadenza di ogni chiave.
-
Utilizza i dati nell'output per identificare la chiave che vuoi monitorare e copiare il relativo ID univoco.
Dopo aver trovato gli ID univoci delle chiavi degli account di servizio, utilizzali per filtrare i risultati dell'Analizzatore di attività:
Per ottenere l'attività di autenticazione più recente per chiavi specifiche dell'account di servizio, utilizza il comando gcloud policy-intelligence query-activity
con un filtro.
Prima di utilizzare uno qualsiasi dei dati del comando riportati di seguito, apporta le seguenti sostituzioni:
PROJECT_ID
: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempiomy-project
.-
FILTER
: un filtro che specifica i nomi completi delle risorse delle chiavi degli account di servizio di cui vuoi visualizzare l'utilizzo. Il nome risorsa completo di una chiave dell'account di servizio include l'ID progetto, l'indirizzo email dell'account di servizio associato alla chiave e l'ID della chiave.Per filtrare in base a una singola chiave dell'account di servizio, utilizza un filtro con il seguente formato:
activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID"
Per filtrare in base a più chiavi dell'account di servizio, utilizza
OR
per specificare più nomi completi accettabili delle risorse:activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_1_EMAIL/keys/KEY_ID_1" OR activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_2_EMAIL/keys/KEY_ID_2"
Puoi filtrare fino a 10 chiavi degli account di servizio.
Esegui questo comando seguente:
Linux, macOS o Cloud Shell
gcloud policy-intelligence query-activity --activity-type=serviceAccountKeyLastAuthentication \ --project=PROJECT_ID \ --query-filter='FILTER'
Windows (PowerShell)
gcloud policy-intelligence query-activity --activity-type=serviceAccountKeyLastAuthentication ` --project=PROJECT_ID ` --query-filter='FILTER'
Windows (cmd.exe)
gcloud policy-intelligence query-activity --activity-type=serviceAccountKeyLastAuthentication ^ --project=PROJECT_ID ^ --query-filter='FILTER'
Dovresti ricevere una risposta simile alla seguente:
activity: lastAuthenticatedTime: '2021-06-11T07:00:00Z' serviceAccountKey: fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c projectNumber: '232342569935' serviceAccountId: '103185812403937829397' activityType: serviceAccountKeyLastAuthentication fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c observationPeriod: endTime: '2021-07-06T07:00:00Z' startTime: '2020-09-10T07:00:00Z'
Questa risposta descrive l'utilizzo più recente delle chiavi degli account di servizio. Per scoprire come interpretare questi risultati, consulta Comprendere le attività in questa pagina.
REST
Innanzitutto, identifica la chiave dell'account di servizio per cui vuoi visualizzare l'utilizzo recente:
Elenca le chiavi degli account di servizio:
Per elencare tutte le chiavi di un account di servizio, utilizza il metodo
projects.serviceAccounts.keys.list
dell'API IAM.Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
PROJECT_ID
: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempiomy-project
.SA_NAME
: il nome dell'account di servizio di cui vuoi elencare le chiavi.KEY_TYPES
: facoltativo. Un elenco separato da virgole dei tipi di chiavi da includere nella risposta. Il tipo di chiave indica se una chiave è gestita dall'utente (USER_MANAGED
) o dal sistema (SYSTEM_MANAGED
). Se il campo viene lasciato vuoto, vengono restituite tutte le chiavi.
Metodo HTTP e URL:
GET https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_NAME@PROJECT_ID.iam.gserviceaccount.com/keys?keyTypes=KEY_TYPES
Per inviare la richiesta, espandi una di queste opzioni:
Nella risposta viene descritto l'utilizzo più recente delle chiavi degli account di servizio:
{ "keys": [ { "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/90c48f61c65cd56224a12ab18e6ee9ca9c3aee7c", "validAfterTime": "2020-03-04T17:39:47Z", "validBeforeTime": "9999-12-31T23:59:59Z", "keyAlgorithm": "KEY_ALG_RSA_2048", "keyOrigin": "GOOGLE_PROVIDED", "keyType": "USER_MANAGED" }, { "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/e5e3800831ac1adc8a5849da7d827b4724b1fce8", "validAfterTime": "2020-03-31T23:50:09Z", "validBeforeTime": "9999-12-31T23:59:59Z", "keyAlgorithm": "KEY_ALG_RSA_2048", "keyOrigin": "GOOGLE_PROVIDED", "keyType": "USER_MANAGED" }, { "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/b97699f042b8eee6a846f4f96259fbcd13e2682e", "validAfterTime": "2020-05-17T18:58:13Z", "validBeforeTime": "9999-12-31T23:59:59Z", "keyAlgorithm": "KEY_ALG_RSA_2048", "keyOrigin": "GOOGLE_PROVIDED", "keyType": "USER_MANAGED", "disabled": true } ] }
Utilizza i metadati nella risposta per identificare la chiave che vuoi monitorare. Poi, copia l'ID univoco della chiave dalla fine del campo
name
.Il campo
name
ha il seguente formato:"name": "projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID"
L'ID univoco della chiave è tutto ciò che segue il campo
keys/
.Ad esempio, l'ID univoco nel seguente nome della chiave è
0f561cc41650ff521899de2fd653bd3de08e2da4
:"name": "projects/my-project/serviceAccounts/my-account@my-project.iam.gserviceaccount.com/keys/0f561cc41650ff521899de2fd653bd3de08e2da4"
Dopo aver trovato gli ID univoci delle chiavi degli account di servizio, utilizzali per filtrare i risultati dell'Analizzatore di attività:
Per ottenere l'attività di autenticazione più recente per chiavi specifiche degli account di servizio, utilizza il metodo activities.query
dell'API Policy Analyzer.
Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
PROJECT_ID
: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempiomy-project
.-
FILTER
: un filtro che specifica i nomi completi delle risorse delle chiavi degli account di servizio di cui vuoi visualizzare l'utilizzo. Il nome risorsa completo di una chiave dell'account di servizio include l'ID progetto, l'indirizzo email dell'account di servizio associato alla chiave e l'ID della chiave.Per filtrare in base a una singola chiave dell'account di servizio, utilizza un filtro con il seguente formato:
activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_EMAIL%2Fkeys%2FKEY_ID%22
Per filtrare in base a più chiavi dell'account di servizio, utilizza
%20OR%20
per specificare più nomi completi accettabili delle risorse:activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_1_EMAIL%2Fkeys%2FKEY_ID_1%22%20OR%20activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_2_EMAIL%2Fkeys%2FKEY_ID_2%22
Puoi filtrare fino a 10 chiavi degli account di servizio.
Metodo HTTP e URL:
GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountKeyLastAuthentication/activities:query?filter=FILTER
Per inviare la richiesta, espandi una di queste opzioni:
Nella risposta viene descritto l'utilizzo più recente delle chiavi degli account di servizio:
{ "activities": [ { "activity": { "lastAuthenticatedTime": "2021-06-11T07:00:00Z", "serviceAccountKey": { "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c", "projectNumber": "123456789012", "serviceAccountId": "123456789012345678901" } }, "activityType": "serviceAccountKeyLastAuthentication", "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1t@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c", "observationPeriod": { "endTime": "2021-07-06T07:00:00Z", "startTime": "2020-04-20T07:00:00Z" } } ] }
Per scoprire come interpretare questi risultati, consulta Comprendere le attività in questa pagina.
Comprendere le attività
Console
Nella pagina dei risultati della query sono elencati i parametri di ricerca e i risultati della query.
Per una query sull'account di servizio, la tabella dei risultati elenca ogni account di servizio della query e la data dell'ultima autenticazione:
Per una query sulla chiave dell'account di servizio, la tabella dei risultati elenca ogni chiave dell'account di servizio della query, l'account di servizio a cui è associata e la data dell'ultima autenticazione.
I risultati potrebbero non includere eventi di autenticazione molto recenti. Controlla la descrizione comando per visualizzare l'intervallo di date esatto utilizzato durante l'analisi. I risultati non includono gli eventi di autenticazione che si sono verificati al di fuori di questo intervallo.
La tabella dei risultati per entrambe le query elenca anche i ruoli IAM dell'account di servizio nel progetto, oltre a eventuali insight sulla sicurezza. Questi insight evidenziano i pattern di accesso alle risorse degli account di servizio. Ad esempio, alcuni insight mettono in evidenza le autorizzazioni in eccesso, o non necessarie per un'entità. Altri insight evidenziano gli account di servizio con autorizzazioni di spostamento laterale o autorizzazioni che consentono all'account di servizio di impersonare un account di servizio in un altro progetto.
Alcuni insight includono anche consigli per i ruoli che suggeriscono modifiche che puoi apportare per ridurre le autorizzazioni in eccesso. Per scoprire come gestire i consigli e gli approfondimenti, vedi Esaminare e applicare i consigli.
gcloud
Lo Strumento di analisi attività indica i risultati come elenco di attività. Le attività hanno i seguenti campi:
fullResourceName
: il nome completo della risorsa dell'account di servizio o della chiave dell'account di servizio di cui viene segnalata l'attività. Questo formato è descritto nelle sezioni seguenti e in Nomi completi delle risorse.activityType
: il tipo di attività segnalato. Per le attività recenti di autenticazione degli account di servizio, il valore èserviceAccountLastAuthentication
. Per l'attività recente di autenticazione della chiave dell'account di servizio, il valore èserviceAccountKeyLastAuthentication
.observationPeriod
: ore di inizio e di fine che indicano l'intervallo di tempo per il quale l'account di servizio o la chiave di servizio sono stati osservati per l'attività. L'ora di questi timestamp è sempreT07:00:00Z
.activity
: i dettagli dell'attività. I contenuti di questo campo variano in base al tipo di attività. Per informazioni dettagliate, consulta le sezioni seguenti.
Dettagli delle attività degli account di servizio
Il campo activity
per le attività serviceAccountLastAuthentication
contiene i seguenti campi:
serviceAccount
: dettagli sull'account di servizio di cui viene segnalata l'attività, tra cui:fullResourceName
: il nome completo della risorsa dell'account di servizio nel formato//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL
.projectNumber
: l'ID numerico del progetto proprietario dell'account di servizio.serviceAccountId
: l'ID numerico dell'account di servizio.
lastAuthenticatedTime
: un timestamp che rappresenta la data in cui si è verificato l'evento di autenticazione più recente. L'ora in questo timestamp è sempreT07:00:00Z
, indipendentemente dall'ora esatta dell'evento di autenticazione.I risultati potrebbero non includere eventi di autenticazione molto recenti. Controlla
observationPeriod
per visualizzare l'intervallo di date esatto utilizzato durante l'analisi. I risultati non includono gli eventi di autenticazione che si sono verificati al di fuori di questo intervallo.Questo campo non è incluso per gli account di servizio mai utilizzati.
Dettagli delle attività relative alle chiavi dell'account di servizio
Il campo activity
per le attività serviceAccountKeyLastAuthentication
contiene i seguenti campi:
serviceAccountKey
: dettagli sulla chiave dell'account di servizio di cui viene segnalata l'attività, tra cui:fullResourceName
: il nome completo della risorsa della chiave dell'account di servizio nel formato//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID
.projectNumber
: l'ID numerico del progetto proprietario dell'account di servizio a cui è associata la chiave.serviceAccountId
: l'ID numerico dell'account di servizio a cui è associata la chiave.
lastAuthenticatedTime
: un timestamp che rappresenta la data in cui si è verificato l'evento di autenticazione più recente. L'ora in questo timestamp è sempreT07:00:00Z
, indipendentemente dall'ora esatta dell'evento di autenticazione.I risultati potrebbero non includere eventi di autenticazione molto recenti. Controlla
observationPeriod
per visualizzare l'intervallo di date esatto utilizzato durante l'analisi. I risultati non includono gli eventi di autenticazione che si sono verificati al di fuori di questo intervallo.Questo campo non è incluso per le chiavi degli account di servizio che non sono mai state utilizzate.
REST
Lo Strumento di analisi attività indica i risultati come elenco di attività. Le attività hanno i seguenti campi:
fullResourceName
: il nome completo della risorsa dell'account di servizio o della chiave dell'account di servizio di cui viene segnalata l'attività. Questo formato è descritto nelle sezioni seguenti e in Nomi completi delle risorse.activityType
: il tipo di attività segnalato. Per le attività recenti di autenticazione degli account di servizio, il valore èserviceAccountLastAuthentication
. Per l'attività recente di autenticazione della chiave dell'account di servizio, il valore èserviceAccountKeyLastAuthentication
.observationPeriod
: ore di inizio e di fine che indicano l'intervallo di tempo per il quale l'account di servizio o la chiave di servizio sono stati osservati per l'attività. L'ora di questi timestamp è sempreT07:00:00Z
.activity
: i dettagli dell'attività. I contenuti di questo campo variano in base al tipo di attività. Per informazioni dettagliate, consulta le sezioni seguenti.
Dettagli delle attività degli account di servizio
Il campo activity
per le attività serviceAccountLastAuthentication
contiene i seguenti campi:
serviceAccount
: dettagli sull'account di servizio di cui viene segnalata l'attività, tra cui:fullResourceName
: il nome completo della risorsa dell'account di servizio nel formato//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL
.projectNumber
: l'ID numerico del progetto proprietario dell'account di servizio.serviceAccountId
: l'ID numerico dell'account di servizio.
lastAuthenticatedTime
: un timestamp che rappresenta la data in cui si è verificato l'evento di autenticazione più recente. L'ora in questo timestamp è sempreT07:00:00Z
, indipendentemente dall'ora esatta dell'evento di autenticazione.I risultati potrebbero non includere eventi di autenticazione molto recenti. Controlla
observationPeriod
per visualizzare l'intervallo di date esatto utilizzato durante l'analisi. I risultati non includono gli eventi di autenticazione che si sono verificati al di fuori di questo intervallo.Questo campo non è incluso per gli account di servizio mai utilizzati.
Dettagli delle attività relative alle chiavi dell'account di servizio
Il campo activity
per le attività serviceAccountKeyLastAuthentication
contiene i seguenti campi:
serviceAccountKey
: dettagli sulla chiave dell'account di servizio di cui viene segnalata l'attività, tra cui:fullResourceName
: il nome completo della risorsa della chiave dell'account di servizio nel formato//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID
.projectNumber
: l'ID numerico del progetto proprietario dell'account di servizio a cui è associata la chiave.serviceAccountId
: l'ID numerico dell'account di servizio a cui è associata la chiave.
lastAuthenticatedTime
: un timestamp che rappresenta la data in cui si è verificato l'evento di autenticazione più recente. L'ora in questo timestamp è sempreT07:00:00Z
, indipendentemente dall'ora esatta dell'evento di autenticazione.I risultati potrebbero non includere eventi di autenticazione molto recenti. Controlla
observationPeriod
per visualizzare l'intervallo di date esatto utilizzato durante l'analisi. I risultati non includono gli eventi di autenticazione che si sono verificati al di fuori di questo intervallo.Questo campo non è incluso per le chiavi degli account di servizio che non sono mai state utilizzate.
Passaggi successivi
- Esamina gli altri strumenti disponibili per comprendere l'utilizzo degli account di servizio.
- Scopri come disabilitare gli account di servizio o eliminare gli account di servizio.
- Scopri come eliminare le chiavi degli account di servizio.