Há várias ferramentas diferentes que você pode usar para entender as atividades de autenticação de chaves e contas de serviço. Esta página descreve as ferramentas disponíveis e os usos pretendidos.
Se você quiser saber como as contas de serviço estão usando as permissões e identificar contas de serviço com privilégios excessivos, use as recomendações de função. Para mais informações, consulte Visão geral das recomendações de papéis.
Atividades de autenticação
Sempre que uma conta de serviço ou chave é usada para chamar uma API do Google, incluindo uma API que não faz parte do Google Cloud, ela gera uma atividade de autenticação. Para entender o uso da conta de serviço, é possível acompanhar essas atividades de autenticação usando as ferramentas descritas nesta página.
As atividades de autenticação incluem chamadas de API bem-sucedidas e com falha. Por exemplo, se uma chamada de API falhar porque o autor da chamada não está autorizado a chamar essa API ou porque a solicitação faz referência a um recurso inexistente, a ação ainda conta como uma atividade de autenticação para a conta de serviço ou chave usada para essa chamada de API.
As atividades de autenticação para chaves da conta de serviço também incluem sempre que um sistema lista as chaves ao tentar autenticar uma solicitação, mesmo que o sistema não use a chave para autenticar a solicitação. Esse comportamento é mais comum ao usar URLs assinados para o Cloud Storage ou ao autenticar aplicativos de terceiros.
As chaves de autenticação HMAC do Cloud Storage não geram atividades de autenticação para contas de serviço ou chaves de conta de serviço.
Analisador de atividades
O Activity Analyzer da Policy Intelligence permite que você visualize as atividades de autenticação mais recentes das suas contas de serviço e chaves de conta de serviço. A data da atividade de autenticação mais recente é determinada com base no horário padrão do Pacífico dos EUA e do Canadá (UTC-8), mesmo quando o horário de verão do Pacífico está em vigor.
Use o Activity Analyzer para identificar chaves e contas de serviço não utilizadas. Com o Activity Analyzer, você pode usar sua própria definição do que significa que uma conta de serviço ou chave está "sem uso". Por exemplo, algumas organizações podem definir "não utilizado" como 90 dias de inatividade, enquanto outras podem definir "não utilizado" como 30 dias de inatividade.
Recomendamos desativar ou excluir essas chaves e contas de serviço não usadas porque elas criam um risco de segurança desnecessário.
Para saber como conferir as atividades de autenticação de conta de serviço, consulte Conferir o uso recente de chaves e contas de serviço.
Insights de conta de serviço
O recomendador fornece insights da conta de serviço, que identificam as contas de serviço no seu projeto que não foram usadas nos últimos 90 dias. Use os insights de conta de serviço para identificar rapidamente contas de serviço não utilizadas. Recomendamos desativar ou excluir essas contas de serviço não usadas porque elas criam um risco de segurança desnecessário.
Para saber como usar os insights de conta de serviço, consulte Encontrar contas de serviço não utilizadas.
Métricas de uso da conta de serviço
O Cloud Monitoring fornece métricas de uso das suas contas de serviço e chaves de contas de serviço. As métricas de uso informam cada atividade de autenticação para suas contas de serviço e chaves de conta de serviço.
Use as métricas de uso da conta de serviço para acompanhar os padrões de uso da conta de serviço ao longo do tempo. Esses padrões podem ajudar a identificar anomalias de forma automática ou manual.
Para saber como conferir as métricas de uso da conta de serviço, consulte Monitorar padrões de uso de chaves e contas de serviço na documentação do IAM.
Detecção de conta de serviço inativas
A Detecção de ameaças do evento detecta e informa quando uma conta de serviço inativa aciona uma ação. As contas de serviço inativas ficam inativas há mais de 180 dias.
Esse recurso está disponível apenas para clientes do Security Command Center Premium.
Para saber como conferir e corrigir as descobertas de ações conta de serviço inativas, consulte Como investigar e responder a ameaças.