Hay varias herramientas que puedes usar para conocer las actividades de autenticación de las cuentas de servicio y las claves. En esta página se describen las herramientas disponibles y los usos previstos.
Si quieres ver cómo usan las cuentas de servicio sus permisos e identificar las que tienen demasiados privilegios, usa las recomendaciones de roles. Para obtener más información, consulta el artículo Descripción general de las recomendaciones de roles.
Actividades de autenticación
Cada vez que se usa una cuenta o una clave de servicio para llamar a una API de Google, incluida una API que no forma parte de Google Cloud, se genera una actividad de autenticación. Para conocer el uso de las cuentas de servicio, puedes monitorizar estas actividades de autenticación con las herramientas que se describen en esta página.
Las actividades de autenticación incluyen llamadas a la API correctas y fallidas. Por ejemplo, si una llamada a una API falla porque el llamante no está autorizado para llamar a esa API o porque la solicitud hace referencia a un recurso que no existe, la acción sigue contando como actividad de autenticación de la cuenta de servicio o la clave que se usó para esa llamada a la API.
Las actividades de autenticación de las claves de cuentas de servicio también incluyen cualquier momento en el que un sistema enumera las claves al intentar autenticar una solicitud, aunque el sistema no utilice la clave para autenticar la solicitud. Este comportamiento es más habitual cuando se usan URLs firmadas de Cloud Storage o cuando se autentican aplicaciones de terceros.
Las claves de autenticación HMAC de Cloud Storage no generan actividades de autenticación para cuentas de servicio ni para claves de cuentas de servicio.
Analizador de actividad
El analizador de actividad de Estadísticas de políticas te permite ver las actividades de autenticación más recientes de tus cuentas de servicio y claves de cuenta de servicio. La fecha de la actividad de autenticación más reciente se determina en función de la hora estándar del Pacífico de EE. UU. y Canadá (UTC-8), incluso cuando está en vigor el horario de verano del Pacífico.
Usa Analizador de actividad para identificar cuentas de servicio y claves sin usar. Con el analizador de actividad, puedes usar tu propia definición de lo que significa que una cuenta de servicio o una clave no se haya usado. Por ejemplo, algunas organizaciones pueden definir "sin usar" como 90 días de inactividad, mientras que otras pueden definirlo como 30 días de inactividad.
Te recomendamos que inhabilite o elimine estas cuentas de servicio y claves sin usar, ya que suponen un riesgo de seguridad innecesario.
Para saber cómo ver las actividades de autenticación de las cuentas de servicio, consulta Ver el uso reciente de claves y cuentas de servicio.
Información valiosa sobre las cuentas de servicio
Recommender proporciona estadísticas de cuentas de servicio que identifican las cuentas de servicio de tu proyecto que no se han usado en los últimos 90 días. Usa la información valiosa de las cuentas de servicio para identificar rápidamente las cuentas de servicio que no se utilizan. Te recomendamos que inhabilite o elimine estas cuentas de servicio no utilizadas, ya que suponen un riesgo de seguridad innecesario.
Para saber cómo usar las estadísticas de las cuentas de servicio, consulta Buscar cuentas de servicio sin usar.
Métricas de uso de cuentas de servicio
Cloud Monitoring proporciona métricas de uso de tus cuentas de servicio y claves de cuenta de servicio. Las métricas de uso registran cada actividad de autenticación de tus cuentas de servicio y claves de cuenta de servicio.
Usa las métricas de uso de las cuentas de servicio para monitorizar los patrones de uso de las cuentas de servicio a lo largo del tiempo. Estos patrones pueden ayudarte a identificar anomalías de forma automática o manual.
Para saber cómo ver las métricas de uso de las cuentas de servicio, consulta el artículo Monitorizar patrones de uso de las claves y las cuentas de servicio de la documentación de IAM.
Detección de cuentas de servicio inactivas
Event Threat Detection detecta y comunica cuándo una cuenta de servicio inactiva activa una acción. Las cuentas de servicio inactivas son cuentas de servicio que no se han usado durante más de 180 días.
Esta función solo está disponible para los clientes que hayan activado el nivel Premium o Enterprise de Security Command Center en toda la organización.
Para saber cómo ver y corregir los resultados de las acciones de cuentas de servicio inactivas, consulta Investigar y responder a amenazas.