Strumenti per comprendere l'utilizzo degli account di servizio

Esistono diversi strumenti che puoi utilizzare per comprendere le attività di autenticazione per chiavi e account di servizio. Questa pagina descrive gli strumenti disponibili e le relative modalità di utilizzo.

Se vuoi sapere in che modo gli account di servizio utilizzano le loro autorizzazioni e identificare gli account di servizio con privilegi eccessivi, utilizza i consigli sui ruoli. Per ulteriori informazioni, consulta la sezione Panoramica dei suggerimenti sui ruoli.

Attività di autenticazione

Ogni volta che viene utilizzata una chiave o un account di servizio per chiamare un'API Google, inclusa un'API che non fa parte di Google Cloud, viene generata un'attività di autenticazione. Per comprendere l'utilizzo degli account di servizio, puoi monitorare queste attività di autenticazione utilizzando gli strumenti descritti in questa pagina.

Le attività di autenticazione includono le chiamate API riuscite e non riuscite. Ad esempio, se una chiamata API non va a buon fine perché chi chiama non è autorizzato a chiamare l'API o perché la richiesta faceva riferimento a una risorsa inesistente, l'azione viene comunque conteggiata come attività di autenticazione per l'account di servizio o la chiave utilizzata per la chiamata API.

Le attività di autenticazione per le chiavi dell'account di servizio includono anche ogni volta che un sistema elenca le chiavi durante il tentativo di autenticare una richiesta, anche se il sistema non utilizza la chiave per autenticare la richiesta. Questo comportamento è più comune quando si utilizzano URL firmati per Cloud Storage o quando si autenticano applicazioni di terze parti.

Le chiavi di autenticazione HMAC di Cloud Storage non generano attività di autenticazione per gli account di servizio o le chiavi degli account di servizio.

Activity Analyzer

L'Analizzatore attività di Policy Intelligence ti consente di visualizzare le attività di autenticazione più recenti per i tuoi service account e le chiavi dei account di servizio. La data dell'attività di autenticazione più recente viene determinata in base al fuso orario standard della costa del Pacifico (UTC-8) degli Stati Uniti e del Canada, anche quando è in vigore l'ora legale della costa del Pacifico.

Utilizza Activity Analyzer per identificare chiavi e account di servizio inutilizzati. Con Activity Analyzer, puoi utilizzare la tua definizione di "non utilizzato" per un account di servizio o una chiave. Ad esempio, alcune organizzazioni potrebbero definire "inutilizzato" come 90 giorni di inattività, mentre altre potrebbero definire "inutilizzato" come 30 giorni di inattività.

Ti consigliamo di disattivare o eliminare questi account e chiavi di servizio inutilizzati perché rappresentano un rischio per la sicurezza non necessario.

Per scoprire come visualizzare le attività di autenticazione dei service account, consulta Visualizzare l'utilizzo recente di chiavi e account di servizio.

Insight sugli account di servizio

Il Recommender fornisce approfondimenti sugli account di servizio, che identificano gli account di servizio nel tuo progetto che non sono stati utilizzati negli ultimi 90 giorni. Utilizza gli insight sugli account di servizio per identificare rapidamente gli account di servizio inutilizzati. Ti consigliamo di disattivare o eliminare questi account di servizio inutilizzati perché rappresentano un rischio per la sicurezza non necessario.

Per scoprire come utilizzare gli approfondimenti sugli account di servizio, consulta Trovare account di servizio non utilizzati.

Metriche sull'utilizzo dell'account di servizio

Cloud Monitoring fornisce metriche di utilizzo per i tuoi account di servizio e le chiavi dei service account. Le metriche di utilizzo registrano ogni attività di autenticazione per i tuoi account di servizio e le chiavi degli account di servizio.

Utilizza le metriche relative all'utilizzo degli account di servizio per monitorare i pattern di utilizzo degli account di servizio nel tempo. Questi pattern possono aiutarti a identificare le anomalie, automaticamente o manualmente.

Per scoprire come visualizzare le metriche di utilizzo degli account di servizio, consulta Monitorare i pattern di utilizzo di chiavi e account di servizio nella documentazione IAM.

Rilevamento di account di servizio inattivi

Event Threat Detection rileva e segnala quando un account di servizio inattivo attiva un'azione. Gli account di servizio inattivi sono account di servizio non attivi per più di 180 giorni.

Questa funzionalità è disponibile solo per i clienti di Security Command Center Premium.

Per scoprire come visualizzare e correggere i risultati delle azioni relative agli account di servizio inattivi, consulta Eseguire indagini e rispondere alle minacce.