Es gibt verschiedene Tools, mit denen Sie die Authentifizierungsaktivitäten für Dienstkonten und Schlüssel nachvollziehen können. Auf dieser Seite werden die verfügbaren Tools und ihre vorgesehenen Verwendungszwecke beschrieben.
Wenn Sie sehen möchten, wie Dienstkonten ihre Berechtigungen verwenden, und überprivilegierte Dienstkonten identifizieren möchten, verwenden Sie Rollenempfehlungen. Weitere Informationen finden Sie in der Übersicht über Rollenempfehlungen.
Authentifizierungsaktivitäten
Immer wenn ein Dienstkonto oder ein Schlüssel zum Aufrufen einer Google API, einschließlich einer API, die nicht Teil von Google Cloud ist, verwendet wird, wird eine Authentifizierungsaktivität generiert. Zum besseren Verständnis der Dienstkontonutzung können Sie diese Authentifizierungsaktivitäten mit den auf dieser Seite beschriebenen Tools verfolgen.
Authentifizierungsaktivitäten umfassen sowohl erfolgreiche als auch fehlgeschlagene API-Aufrufe. Wenn beispielsweise ein API-Aufruf fehlschlägt, weil der Aufrufer nicht berechtigt ist, diese API aufzurufen, oder weil die Anfrage auf eine Ressource verwiesen hat, die nicht existiert, zählt die Aktion trotzdem als Authentifizierungsaktivität für das Dienstkonto oder den Schlüssel, der für den API-Aufruf verwendet wurde.
Authentifizierungsaktivitäten für Dienstkontoschlüssel umfassen auch jedes Mal, wenn ein System die Schlüssel beim Authentifizieren einer Anfrage auflistet, auch wenn das System den Schlüssel nicht zur Authentifizierung der Anfrage verwendet. Dieses Verhalten ist besonders häufig bei der Verwendung signierter URLs für Cloud Storage oder bei der Authentifizierung der Anwendungen von Drittanbietern.
HMAC-Authentifizierungsschlüssel von Cloud Storage generieren keine Authentifizierungsaktivitäten für Dienstkonten oder Dienstkontoschlüssel.
Aktivitätsanalysator
Mit der Activity Analyzer-Funktion von Policy Intelligence können Sie die neuesten Authentifizierungsaktivitäten für Ihre Dienstkonten und Dienstkontoschlüssel aufrufen. Das Datum der letzten Authentifizierungsaktivität wird auf Basis der Pacific Standard Time (UTC-8) in den USA und Kanada ermittelt, selbst wenn Pacific Daylight Time in Kraft ist.
Verwenden Sie Activity Analyzer, um nicht verwendete Dienstkonten und Schlüssel zu identifizieren. Mit Activity Analyzer können Sie Ihre eigene Definition dessen, was es bedeutet, wenn ein Dienstkonto oder ein Schlüssel „nicht verwendet“ ist, verwenden. Einige Organisationen definieren beispielsweise „ungenutzt“ als 90 Tage Inaktivität, während andere „ungenutzt“ als 30 Tage Inaktivität definieren.
Wir empfehlen, diese nicht verwendeten Dienstkonten und Schlüssel zu deaktivieren oder zu löschen, da sie ein unnötiges Sicherheitsrisiko darstellen.
Informationen zum Aufrufen der Dienstkonto-Authentifizierungsaktivitäten finden Sie unter Letzte Nutzung von Dienstkonten und Schlüsseln ansehen.
Dienstkontostatistiken
Recommender bietet Dienstkontostatistiken, die darauf hinweisen, dass die Dienstkonten in Ihrem Projekt in den letzten 90 Tagen nicht verwendet wurden. Anhand von Dienstkontostatistiken können Sie nicht verwendete Dienstkonten schnell identifizieren. Wir empfehlen, diese nicht verwendeten Dienstkonten zu deaktivieren oder zu löschen, da sie ein unnötiges Sicherheitsrisiko darstellen.
Informationen zur Verwendung von Dienstkontostatistiken finden Sie unter Nicht verwendete Dienstkonten finden.
Messwerte zur Dienstkontonutzung
Cloud Monitoring bietet Nutzungsmesswerte für Ihre Dienstkonten und Dienstkontoschlüssel. Nutzungsmesswerte erfassen alle Authentifizierungsaktivitäten für Ihre Dienstkonten und Dienstkontoschlüssel.
Mit Nutzungsmesswerten für Dienstkonten können Sie die Nutzungsmuster von Dienstkonten im Zeitverlauf verfolgen. Diese Muster können Ihnen helfen, Anomalien entweder automatisch oder manuell zu identifizieren.
Informationen zum Aufrufen von Nutzungsmesswerten für Dienstkonten finden Sie in der IAM-Dokumentation unter Nutzungsmuster für Dienstkonten und Schlüssel überwachen.
Erkennung inaktiver Dienstkonten
Event Threat Detection erkennt und meldet, wenn ein inaktives Dienstkonto eine Aktion auslöst. Inaktive Dienstkonten sind Dienstkonten, die seit mehr als 180 Tagen inaktiv sind.
Dieses Feature ist nur für Kunden von Security Command Center Premium verfügbar.
Informationen zum Ansehen und Beheben inaktiver Dienstkontoaktionen finden Sie unter Bedrohungen untersuchen und darauf reagieren.