查看服务账号和密钥的近期使用情况

gcloud

如需列出您的服务账号或密钥的最新身份验证活动，请使用 gcloud policy-intelligence query-activity 命令：

gcloud policy-intelligence query-activity --activity-type=ACTIVITY_TYPE \
    --project=PROJECT_ID --limit=LIMIT

替换以下值：

• ACTIVITY_TYPE：要列出的活动类型。如需列出您的服务账号的最近使用时间，请使用 serviceAccountLastAuthentication。要列出服务账号密钥的最近使用时间，请使用 serviceAccountKeyLastAuthentication。
• PROJECT_ID：您的 Google Cloud 项目 ID。 项目 ID 是字母数字字符串，例如 my-project。
• LIMIT：可选。要返回的结果数的上限。默认值为 1000。

响应如下所示，其中列出了项目的服务账号的近期使用时间：

---
activity:
  lastAuthenticatedTime: '2021-04-27T07:00:00Z'
  serviceAccount:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
    projectNumber: '123456789012'
    serviceAccountId: '123456789012345678901'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-03-12T07:00:00Z'
---
activity:
  lastAuthenticatedTime: '2021-02-09T08:00:00Z'
  serviceAccount:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com
    projectNumber: '123456789012'
    serviceAccountId: '234567890123456789012'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-09-01T07:00:00Z'

如需了解如何理解这些结果，请参阅本页面上的了解活动。

REST

如需列出您的服务帐号或密钥的最新身份验证活动，请使用 Policy Analyzer API 的 activities.query 方法。

在使用任何请求数据之前，请先进行以下替换：

• PROJECT_ID：您的 Google Cloud 项目 ID。项目 ID 是字母数字字符串，例如 my-project。
• ACTIVITY_TYPE：要列出的活动类型。如需列出所有服务账号的最新使用情况，请使用 serviceAccountLastAuthentication。如需列出所有服务账号密钥的最新使用情况，请使用 serviceAccountKeyLastAuthentication。
• PAGE_SIZE：可选。要从此请求返回的最大结果数。如果未指定，则服务器将决定要返回的结果数。如果活动数大于页面大小，则响应会包含用于检索下一页结果的分页令牌。
• PAGE_TOKEN：可选。此方法之前的响应中返回的分页令牌。如果已指定，则活动列表将从上一个请求结束的位置开始。

HTTP 方法和网址：

GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/ACTIVITY_TYPE/activities:query?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

如需发送您的请求，请展开以下选项之一：

curl -X GET \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    "https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/ACTIVITY_TYPE/activities:query?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/ACTIVITY_TYPE/activities:query?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN" | Select-Object -Expand Content

响应如下所示，其中列出了项目的服务账号的近期使用时间：

{
  "activities": [
    {
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
      "activityType": "serviceAccountLastAuthentication",
      "observationPeriod": {
        "startTime": "2020-04-20T07:00:00Z",
        "endTime": "2021-05-17T07:00:00Z"
      },
      "activity": {
        "lastAuthenticatedTime": "2021-04-28T07:00:00Z",
        "serviceAccount": {
          "projectNumber": "123456789012",
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
          "serviceAccountId": "123456789012345678901"
        }
      }
    },
    {
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com",
      "activityType": "serviceAccountLastAuthentication",
      "observationPeriod": {
        "startTime": "2020-04-20T07:00:00Z",
        "endTime": "2021-05-17T07:00:00Z"
      },
      "activity": {
        "lastAuthenticatedTime": "2021-04-29T07:00:00Z",
        "serviceAccount": {
          "projectNumber": "123456789012",
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com",
          "serviceAccountId": "234567890123456789012"
        }
      }
    }
  ],
  "nextPageToken": "AVgRrQV4b5nISN6cGJvTPFJ2v_"
}

如需了解如何理解这些结果，请参阅本页面上的了解活动。

控制台

1. 在 Google Cloud 控制台中，前往政策分析器页面。

   前往政策分析器

2. 在分析近期活动下，找到标有上次使用此服务帐号的时间？的窗格，然后点击该窗格中的创建查询。

   

   

3. 在选择查询范围框中，输入您要分析其服务帐号的项目的名称。

4. 在添加服务帐号部分中，点击服务帐号框。系统会显示项目中所有服务帐号的列表。该列表还包含与每个服务帐号关联的项目以及每个服务帐号的电子邮件地址。

5. 选择要查看其近期使用情况的服务帐号。

6. 可选：如需查看多个服务帐号的近期使用情况，请点击添加帐号，然后选择其他服务账号。您一次最多可以分析 10 个服务帐号。

7. 在 Query for access activity 面板中，点击 Run query。

结果页面会显示服务帐号的最新使用情况。 如需了解如何理解这些结果，请参阅本页面上的了解活动。

gcloud

要获取特定服务账号的最新身份验证活动，请使用带有过滤条件的 gcloud policy-intelligence query-activity 命令：

gcloud policy-intelligence query-activity --activity-type=serviceAccountLastAuthentication \
    --project=PROJECT_ID \
    --query-filter='FILTER'

替换以下值：

• PROJECT_ID：您的 Google Cloud 项目 ID。 项目 ID 是字母数字字符串，例如 my-project。

• FILTER：一个过滤条件，用于指定要查看其使用情况的服务账号的完整资源名称。服务账号的完整资源名称包括项目 ID 以及服务账号的电子邮件地址。

  要过滤单个服务账号，请使用以下格式的过滤条件：

  activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL"
  

  要过滤多个服务账号，请使用 OR 指定多个可接受的完整资源名称：

  activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_1_EMAIL" OR activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_2_EMAIL"
  

  您最多可以过滤 10 个服务账号。

响应说明了服务账号的最近使用情况：

---
activity:
  lastAuthenticatedTime: '2021-04-27T07:00:00Z'
  serviceAccount:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
    projectNumber: '123456789012'
    serviceAccountId: '123456789012345678901'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-03-12T07:00:00Z'

如需了解如何理解这些结果，请参阅本页面上的了解活动。

REST

如需获取特定服务帐号的最新身份验证活动，请使用 Policy Analyzer API 的 activities.query 方法。

在使用任何请求数据之前，请先进行以下替换：

• PROJECT_ID：您的 Google Cloud 项目 ID。项目 ID 是字母数字字符串，例如 my-project。

• FILTER：一个过滤条件，用于指定要查看其使用情况的服务账号的完整资源名称。

  要过滤单个服务账号，请使用以下格式的过滤条件：

  activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_EMAIL%22

  要过滤多个服务账号，请使用 %20OR%20 指定多个可接受的完整资源名称：

  activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_1_EMAIL%22%20OR%20activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_2_EMAIL%22

HTTP 方法和网址：

GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountLastAuthentication/activities:query?filter=FILTER

如需发送您的请求，请展开以下选项之一：

curl -X GET \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    "https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountLastAuthentication/activities:query?filter=FILTER"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountLastAuthentication/activities:query?filter=FILTER" | Select-Object -Expand Content

响应说明了服务账号的最近使用情况：

{
  "activities": [
    {
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
      "activityType": "serviceAccountLastAuthentication",
      "observationPeriod": {
        "startTime": "2020-04-20T07:00:00Z",
        "endTime": "2021-05-17T07:00:00Z"
      },
      "activity": {
        "lastAuthenticatedTime": "2021-04-28T07:00:00Z",
        "serviceAccount": {
          "projectNumber": "123456789012",
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
          "serviceAccountId": "123456789012345678901"
        }
      }
    }
  ]
}

控制台

1. 在 Google Cloud 控制台中，前往政策分析器页面。

   前往政策分析器

2. 在分析近期活动下，找到标有上次使用此服务帐号密钥吗？的窗格，然后点击该窗格中的创建查询。

   

   

3. 在选择查询范围框中，输入您要分析其服务帐号密钥的项目的名称。

4. 在添加服务帐号密钥部分，点击服务帐号密钥复选框。系统会显示项目中所有服务帐号密钥的列表。该列表还包含与每个密钥关联的项目和服务帐号。

5. 选择要查看其近期使用情况的密钥。

6. 可选：如需查看多个密钥的近期使用情况，请点击添加密钥，然后选择其他密钥。您一次最多可以分析 10 个密钥。

7. 在 Query for access activity 面板中，点击 Run query。

结果页面会显示服务帐号密钥的最新使用情况。 如需了解如何理解这些结果，请参阅本页面上的了解活动。

gcloud

首先，确定要查看其近期使用情况的服务帐号密钥：

1. 列出服务账号密钥。

   在使用下面的命令数据之前，请先进行以下替换：

   • SERVICE_ACCOUNT_EMAIL：与密钥关联的服务账号的电子邮件地址。

   执行 gcloud iam service-accounts keys list 命令：

   Linux、macOS 或 Cloud Shell

   gcloud iam service-accounts keys list --iam-account=SERVICE_ACCOUNT_EMAIL

   Windows (PowerShell)

   gcloud iam service-accounts keys list --iam-account=SERVICE_ACCOUNT_EMAIL

   Windows (cmd.exe)

   gcloud iam service-accounts keys list --iam-account=SERVICE_ACCOUNT_EMAIL

   输出会显示用户创建的与服务账号关联的所有密钥的列表，包括每个密钥的唯一 ID、创建时间和到期时间。

2. 使用输出中的数据来识别您要跟踪的密钥并复制其唯一 ID。

找到服务帐号密钥的唯一 ID 后，使用这些 ID 来过滤 Activity 分析器的结果：

如需获取特定服务账号密钥的最新身份验证活动，请使用带有过滤条件的 gcloud policy-intelligence query-activity 命令。

在使用下面的命令数据之前，请先进行以下替换：

• PROJECT_ID：您的 Google Cloud 项目 ID。 项目 ID 是字母数字字符串，例如 my-project。

• FILTER：一个过滤条件，用于指定要查看其使用情况的服务账号密钥的完整资源名称。服务账号密钥的完整资源名称包括项目 ID、与密钥关联的服务账号的电子邮件地址以及密钥 ID。

  要过滤单个服务账号密钥，请使用以下格式的过滤条件：

  activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID"

  要过滤多个服务账号密钥，请使用 OR 指定多个可接受的完整资源名称：

  activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_1_EMAIL/keys/KEY_ID_1" OR activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_2_EMAIL/keys/KEY_ID_2"

  您最多可以过滤 10 个服务账号密钥。

执行以下命令：

gcloud policy-intelligence query-activity --activity-type=serviceAccountKeyLastAuthentication \
    --project=PROJECT_ID \
    --query-filter='FILTER'

gcloud policy-intelligence query-activity --activity-type=serviceAccountKeyLastAuthentication `
    --project=PROJECT_ID `
    --query-filter='FILTER'

gcloud policy-intelligence query-activity --activity-type=serviceAccountKeyLastAuthentication ^
    --project=PROJECT_ID ^
    --query-filter='FILTER'

您应该会收到类似如下所示的响应：

activity:
  lastAuthenticatedTime: '2021-06-11T07:00:00Z'
  serviceAccountKey:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c
    projectNumber: '232342569935'
    serviceAccountId: '103185812403937829397'
activityType: serviceAccountKeyLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-09-10T07:00:00Z'

此响应说明了服务账号密钥的最近使用情况。如需了解如何理解这些结果，请参阅本页面上的了解活动。

REST

首先，确定要查看其近期使用情况的服务帐号密钥：

1. 列出服务账号密钥：

   如需列出某个服务帐号的所有服务帐号密钥，请使用 IAM API 的 projects.serviceAccounts.keys.list 方法。

   在使用任何请求数据之前，请先进行以下替换：

   • PROJECT_ID：您的 Google Cloud 项目 ID。项目 ID 是字母数字字符串，例如 my-project。
   • SA_NAME：您要列出其密钥的服务账号的名称。
   • KEY_TYPES：可选。您想要在响应中包含的密钥类型的英文逗号分隔列表。密钥类型会指出密钥是由用户管理 (USER_MANAGED) 还是由系统管理 (SYSTEM_MANAGED)。如果留空，则返回所有密钥。

   HTTP 方法和网址：

   GET https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_NAME@PROJECT_ID.iam.gserviceaccount.com/keys?keyTypes=KEY_TYPES

   如需发送您的请求，请展开以下选项之一：

   curl（Linux、macOS 或 Cloud Shell）

   执行以下命令：

   curl -X GET \
       -H "Authorization: Bearer $(gcloud auth print-access-token)" \
       "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_NAME@PROJECT_ID.iam.gserviceaccount.com/keys?keyTypes=KEY_TYPES"

   PowerShell (Windows)

   执行以下命令：

   $cred = gcloud auth print-access-token
   $headers = @{ "Authorization" = "Bearer $cred" }
   
   Invoke-WebRequest `
       -Method GET `
       -Headers $headers `
       -Uri "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_NAME@PROJECT_ID.iam.gserviceaccount.com/keys?keyTypes=KEY_TYPES" | Select-Object -Expand Content

   APIs Explorer（浏览器）

   打开方法参考页面。APIs Explorer 面板会在页面右侧打开。您可以与此工具进行交互以发送请求。填写所有必填字段，然后点击执行。

   响应说明了服务账号密钥的最近使用情况：

   {
     "keys": [
       {
         "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/90c48f61c65cd56224a12ab18e6ee9ca9c3aee7c",
         "validAfterTime": "2020-03-04T17:39:47Z",
         "validBeforeTime": "9999-12-31T23:59:59Z",
         "keyAlgorithm": "KEY_ALG_RSA_2048",
         "keyOrigin": "GOOGLE_PROVIDED",
         "keyType": "USER_MANAGED"
       },
       {
         "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/e5e3800831ac1adc8a5849da7d827b4724b1fce8",
         "validAfterTime": "2020-03-31T23:50:09Z",
         "validBeforeTime": "9999-12-31T23:59:59Z",
         "keyAlgorithm": "KEY_ALG_RSA_2048",
         "keyOrigin": "GOOGLE_PROVIDED",
         "keyType": "USER_MANAGED"
       },
       {
         "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/b97699f042b8eee6a846f4f96259fbcd13e2682e",
         "validAfterTime": "2020-05-17T18:58:13Z",
         "validBeforeTime": "9999-12-31T23:59:59Z",
         "keyAlgorithm": "KEY_ALG_RSA_2048",
         "keyOrigin": "GOOGLE_PROVIDED",
         "keyType": "USER_MANAGED",
         "disabled": true
       }
     ]
   }
   

2. 使用响应中的元数据来识别您要跟踪的密钥。然后，从 name 字段的末尾复制密钥的唯一 ID。

   name 字段采用以下格式：

   "name": "projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID"
   

   密钥的唯一 ID 是 keys/ 之后的所有内容。

   例如，以下密钥名称中的唯一 ID 为 0f561cc41650ff521899de2fd653bd3de08e2da4：

   "name": "projects/my-project/serviceAccounts/my-account@my-project.iam.gserviceaccount.com/keys/0f561cc41650ff521899de2fd653bd3de08e2da4"
   

找到服务帐号密钥的唯一 ID 后，使用这些 ID 来过滤 Activity 分析器的结果：

如需获取特定服务帐号密钥的最新身份验证活动，请使用 Policy Analyzer API 的 activities.query 方法。

在使用任何请求数据之前，请先进行以下替换：

• PROJECT_ID：您的 Google Cloud 项目 ID。项目 ID 是字母数字字符串，例如 my-project。

• FILTER：一个过滤条件，用于指定要查看其使用情况的服务账号密钥的完整资源名称。服务账号密钥的完整资源名称包括项目 ID、与密钥关联的服务账号的电子邮件地址以及密钥 ID。

  要过滤单个服务账号密钥，请使用以下格式的过滤条件：

  activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_EMAIL%2Fkeys%2FKEY_ID%22

  要过滤多个服务账号密钥，请使用 %20OR%20 指定多个可接受的完整资源名称：

  activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_1_EMAIL%2Fkeys%2FKEY_ID_1%22%20OR%20activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_2_EMAIL%2Fkeys%2FKEY_ID_2%22

  您最多可以过滤 10 个服务账号密钥。

HTTP 方法和网址：

GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountKeyLastAuthentication/activities:query?filter=FILTER

如需发送您的请求，请展开以下选项之一：

curl -X GET \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    "https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountKeyLastAuthentication/activities:query?filter=FILTER"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountKeyLastAuthentication/activities:query?filter=FILTER" | Select-Object -Expand Content

响应说明了服务账号密钥的最近使用情况：

{
  "activities": [
    {
      "activity": {
        "lastAuthenticatedTime": "2021-06-11T07:00:00Z",
        "serviceAccountKey": {
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c",
          "projectNumber": "123456789012",
          "serviceAccountId": "123456789012345678901"
        }
      },
      "activityType": "serviceAccountKeyLastAuthentication",
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1t@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c",
      "observationPeriod": {
        "endTime": "2021-07-06T07:00:00Z",
        "startTime": "2020-04-20T07:00:00Z"
      }
    }
  ]
}

如需了解如何理解这些结果，请参阅本页面上的了解活动。

控制台

查询结果页面列出了查询参数和查询结果。

对于服务帐号查询，结果表列出了查询中的每个服务帐号及其上次进行身份验证的时间：

对于服务帐号密钥查询，结果表列出了查询中的每个服务帐号密钥、与其关联的服务帐号以及上次身份验证的时间。

结果可能不包含最新的身份验证事件。请查看提示，了解分析过程中使用的确切日期范围。结果不包含在此范围之外发生的身份验证事件。

这两个查询的结果表还列出了服务帐号对项目拥有的 IAM 角色，以及安全性方面的所有数据分析。这些数据分析突出显示您的服务帐号访问资源的方式。例如，一些数据分析突出显示了多余权限或主帐号不需要的权限。其他数据分析突出显示了具有侧面移动权限的服务帐号，或可让服务帐号模拟另一个项目中的服务帐号的权限。

一些数据分析还会随附角色建议，向您说明您可以进行哪些更改以减少多余的权限。如需了解如何管理建议和数据分析，请参阅查看和应用建议。

gcloud

活动分析器会将结果作为活动列表进行报告。活动具有以下字段：

• fullResourceName：要报告其活动的服务账号或服务账号密钥的完整资源名称。以下部分和完整资源名称中介绍了此格式。
• activityType：要报告的活动的类型。对于近期服务账号身份验证活动，值为 serviceAccountLastAuthentication。对于近期服务账号密钥身份验证活动，值为 serviceAccountKeyLastAuthentication。
• observationPeriod：开始时间和结束时间，表示在服务账号或密钥中观察到活动的时间范围。这些时间戳中的时间始终为 T07:00:00Z。
• activity：活动的详情。此字段的内容因活动类型而异。有关详情，请参阅以下部分。

服务账号活动的详细信息

serviceAccountLastAuthentication 活动的 activity 字段包含以下字段：

• serviceAccount：正在报告其活动的服务账号的详细信息，包括：

  • fullResourceName：服务账号的完整资源名称，格式为 //iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL。
  • projectNumber：拥有服务账号的项目的数字 ID。
  • serviceAccountId：服务账号的数字 ID。

• lastAuthenticatedTime：一个时间戳，表示身份验证事件上次发生的日期。此时间戳中的时间始终为 T07:00:00Z，与身份验证事件的确切时间无关。

  结果可能不包含最新的身份验证事件。请查看 observationPeriod，了解分析过程中使用的确切日期范围。结果不包含在此范围之外发生的身份验证事件。

  从未使用过的服务账号不包含此字段。

服务账号密钥活动详情

serviceAccountKeyLastAuthentication 活动的 activity 字段包含以下字段：

• serviceAccountKey：正在报告其活动的服务账号密钥的详细信息，包括：

  • fullResourceName：服务账号密钥的完整资源名称，格式为 //iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID。
  • projectNumber：拥有与密钥关联的服务账号的项目的数字 ID。
  • serviceAccountId：与密钥关联的服务账号的数字 ID。

• lastAuthenticatedTime：一个时间戳，表示身份验证事件上次发生的日期。此时间戳中的时间始终为 T07:00:00Z，与身份验证事件的确切时间无关。

  结果可能不包含最新的身份验证事件。请查看 observationPeriod，了解分析过程中使用的确切日期范围。结果不包含在此范围之外发生的身份验证事件。

  从未使用过的服务账号密钥不包括此字段。

REST

活动分析器会将结果作为活动列表进行报告。活动具有以下字段：

• fullResourceName：要报告其活动的服务账号或服务账号密钥的完整资源名称。以下部分和完整资源名称中介绍了此格式。
• activityType：要报告的活动的类型。对于近期服务账号身份验证活动，值为 serviceAccountLastAuthentication。对于近期服务账号密钥身份验证活动，值为 serviceAccountKeyLastAuthentication。
• observationPeriod：开始时间和结束时间，表示在服务账号或密钥中观察到活动的时间范围。这些时间戳中的时间始终为 T07:00:00Z。
• activity：活动的详情。此字段的内容因活动类型而异。有关详情，请参阅以下部分。

服务账号活动的详细信息

serviceAccountLastAuthentication 活动的 activity 字段包含以下字段：

• serviceAccount：正在报告其活动的服务账号的详细信息，包括：

  • fullResourceName：服务账号的完整资源名称，格式为 //iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL。
  • projectNumber：拥有服务账号的项目的数字 ID。
  • serviceAccountId：服务账号的数字 ID。

• lastAuthenticatedTime：一个时间戳，表示身份验证事件上次发生的日期。此时间戳中的时间始终为 T07:00:00Z，与身份验证事件的确切时间无关。

  结果可能不包含最新的身份验证事件。请查看 observationPeriod，了解分析过程中使用的确切日期范围。结果不包含在此范围之外发生的身份验证事件。

  从未使用过的服务账号不包含此字段。

服务账号密钥活动详情

serviceAccountKeyLastAuthentication 活动的 activity 字段包含以下字段：

• serviceAccountKey：正在报告其活动的服务账号密钥的详细信息，包括：

  • fullResourceName：服务账号密钥的完整资源名称，格式为 //iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID。
  • projectNumber：拥有与密钥关联的服务账号的项目的数字 ID。
  • serviceAccountId：与密钥关联的服务账号的数字 ID。

• lastAuthenticatedTime：一个时间戳，表示身份验证事件上次发生的日期。此时间戳中的时间始终为 T07:00:00Z，与身份验证事件的确切时间无关。

  结果可能不包含最新的身份验证事件。请查看 observationPeriod，了解分析过程中使用的确切日期范围。结果不包含在此范围之外发生的身份验证事件。

  从未使用过的服务账号密钥不包括此字段。