サービス アカウントの使用状況を把握するためのツール

サービス アカウントとキーの認証アクティビティを把握するために使用できるツールがいくつかあります。このページでは、使用可能なツールとそれらのツールの目的について説明します。

サービス アカウントの権限の使用方法を確認する、および過剰な権限が付与されたサービス アカウントを特定する場合は、ロールの推奨事項を使用してください。詳しくは、ロールの推奨事項の概要をご覧ください。

認証アクティビティ

Google API(Google Cloud に含まれていない API を含む)の呼び出しにサービス アカウントまたはキーが使用されるたびに、認証アクティビティが生成されます。サービス アカウントの使用状況を把握するには、このページで説明するツールを使用して、これらの認証アクティビティを追跡します。

認証アクティビティには、成功した API 呼び出しと失敗した API 呼び出しの両方が含まれます。たとえば、呼び出し側に必要な権限がないため、あるいはリクエストで存在しないリソースが参照されているために API の呼び出しが失敗した場合でも、その API 呼び出しに使用されたサービス アカウントまたはキーの認証アクティビティとしてアクションがカウントされます。

サービス アカウント キーの認証アクティビティには、リクエストの認証にキーが使用されていない場合でも、リクエストの認証中にシステムがキーの一覧を取得する時間が含まれます。このような動作は、Cloud Storage に署名付き URL を使用する場合や、サードパーティのアプリケーションの認証でよく行われます。

Cloud Storage HMAC 認証キーの場合、サービス アカウントまたはサービス アカウント キーのいずれの認証アクティビティも作成しません。

Activity Analyzer

Policy Intelligence の Activity Analyzer では、サービス アカウントとサービス アカウント キーの最新の認証アクティビティを表示できます。最新の認証アクティビティの日付は、太平洋夏時間が有効であっても、米国およびカナダの太平洋標準時(UTC-8)に基づいて特定されます。

Activity Analyzer を使用して、未使用のサービス アカウントとキーを識別します。Activity Analyzer では、サービス アカウントやキーが「未使用」であることの意味を独自に定義できます。たとえば、90 日間の非アクティブな期間をもって「未使用」と定義する組織もあれば、30 日間の非アクティブをもって定義する組織もあることでしょう。

このような未使用のサービス アカウントとキーは、セキュリティ リスクとなるため、無効にするか削除することをおすすめします。

サービス アカウントの認証アクティビティを表示する方法については、サービス アカウントとキーの最近の使用状況を表示するをご覧ください。

サービス アカウントの分析情報

Recommender から得られる分析情報により、プロジェクト内の過去 90 日間使用されていないサービス アカウントを特定できます。サービス アカウントの分析情報を使用して、使用されていないサービス アカウントをすばやく特定できます。このような使用されていないサービス アカウントによって、不要なセキュリティ リスクが発生するため、無効にするか削除することをおすすめします。

サービス アカウントの分析情報の使用方法については、使用されていないサービス アカウントを検索するをご覧ください。

サービス アカウントの使用状況に関する指標

Cloud Monitoring には、サービス アカウントとサービス アカウント キーの使用状況の指標が用意されています。使用状況の指標は、サービス アカウントとサービス アカウント キーの各認証アクティビティを報告します。

サービス アカウントの使用状況の指標を使用して、サービス アカウントの使用パターンを時系列で追跡します。これらのパターンによって、自動的にまたは手動で異常を特定できます。

サービス アカウントの使用状況の指標を表示する方法については、IAM ドキュメントのサービス アカウントとキーの使用状況をモニタリングするをご覧ください。

休止状態のサービス アカウントの検出

Event Threat Detection は、休止状態のサービス アカウントがアクションをトリガーしたことを検出して報告します。休止状態のサービス アカウントとは、180 日以上アクティブでないサービス アカウントを指します。

この機能は、Security Command Center Premium のお客様にのみご利用いただけます。

休止状態のサービス アカウントによるアクションの検出を表示および対処する方法については、脅威の調査と対処をご覧ください。