您可以使用多种不同的工具了解服务帐号和密钥的身份验证活动。本页面介绍了可用的工具及其预期用途。
如果您想要查看服务帐号如何使用其权限并识别特权过高的服务帐号,请使用角色建议。如需了解详情,请参阅角色建议概览。
身份验证 activity
每当使用服务帐号或密钥(包括不属于 Google Cloud 的 API)调用 Google API 时,系统都会生成一个身份验证 activity。如需了解服务帐号的使用情况,您可以使用本页面介绍的工具跟踪这些身份验证活动。
身份验证活动既包括成功的 API 调用,也包括失败的 API 调用。例如,如果由于调用者无权调用相应 API 或者由于请求引用了不存在的资源而导致 API 调用失败,则该操作仍会计为用于该 API 调用的服务账号或密钥的身份验证活动。
服务账号密钥的身份验证活动还包括每次系统尝试对请求进行身份验证时列出密钥时的情况,即使系统不使用密钥对请求进行身份验证也是如此。当使用 Cloud Storage 签名网址或向第三方应用进行身份验证时,此行为最常见。
Cloud Storage HMAC 身份验证密钥不会为服务帐号或服务帐号密钥生成身份验证活动。
活动分析器
借助 Policy Intelligence 的 Activity 分析器,您可以查看服务帐号和服务帐号密钥的最新身份验证活动。最近的身份验证活动的日期根据美国和加拿大太平洋标准时间 (UTC-8) 确定,即使太平洋夏令时间有效。
使用 Activity Analyzer 识别未使用的服务账号和密钥。借助活动分析器,您可以根据自己的定义,定义“未使用”的服务帐号或密钥的含义。例如,一些组织可能会将“未使用”定义为处于非活跃状态 90 天,而其他组织可能会将“未使用”定义为处于非活跃状态 30 天。
我们建议您停用或删除这些未使用的服务帐号和密钥,因为它们会带来不必要的安全风险。
如需了解如何查看服务帐号身份验证活动,请参阅查看服务帐号和密钥的近期使用情况。
服务账号数据分析
Recommender 提供服务帐号数据分析,可识别您项目中在过去 90 天内未使用的服务帐号。使用服务帐号数据分析可快速识别未使用的服务帐号。我们建议您停用或删除这些未使用的服务帐号,因为它们会带来不必要的安全风险。
如需了解如何使用服务帐号数据分析,请参阅查找未使用的服务帐号。
服务账号使用情况指标
Cloud Monitoring 为您的服务帐号和服务帐号密钥提供用量指标。使用情况指标会报告您的服务帐号和服务帐号密钥的每个身份验证活动。
使用服务帐号使用情况指标来跟踪服务帐号在一段时间内的使用模式。这些模式可帮助您自动或手动识别异常。
如需了解如何查看服务帐号用量指标,请参阅 IAM 文档中的监控服务帐号和密钥的使用模式。
休眠服务帐号检测
Event Threat Detection 可检测并报告休眠服务帐号何时触发操作。休眠服务账号是处于非活跃状态超过 180 天的服务账号。
此功能仅适用于 Security Command Center 高级方案客户。
如需了解如何查看和修复休眠服务帐号操作发现结果,请参阅调查和应对威胁。