Tools zur Nutzung des Dienstkontos

Es gibt mehrere verschiedene Tools, mit denen Sie Authentifizierungsaktivitäten für Dienstkonten und Schlüssel nachvollziehen können. Auf dieser Seite werden die verfügbaren Tools und ihre Verwendungszwecke beschrieben.

Authentifizierungsaktivitäten

Wenn ein Dienstkonto oder ein Schlüssel zum Aufrufen einer Google API verwendet wird, einschließlich einer API, die nicht Teil von Google Cloud ist, wird eine Authentifizierungsaktivität generiert. Mit den auf dieser Seite beschriebenen Tools kannst du die Nutzung von Dienstkonten nachvollziehen.

Authentifizierungsaktivitäten umfassen sowohl erfolgreiche als auch fehlgeschlagene API-Aufrufe. Wenn beispielsweise ein API-Aufruf fehlschlägt, weil der Aufrufer nicht berechtigt ist, diese API aufzurufen, oder weil die Anfrage auf eine Ressource verwiesen hat, die nicht existiert, zählt die Aktion trotzdem als Authentifizierungsaktivität für das Dienstkonto oder den Schlüssel, der für den API-Aufruf verwendet wurde.

Authentifizierungsaktivitäten für Dienstkontoschlüssel umfassen auch jedes Mal, wenn ein System die Schlüssel beim Authentifizieren einer Anfrage auflistet, auch wenn das System den Schlüssel nicht zur Authentifizierung der Anfrage verwendet. Dieses Verhalten ist besonders häufig bei der Verwendung signierter URLs für Cloud Storage oder bei der Authentifizierung der Anwendungen von Drittanbietern.

Cloud Storage-HMAC-Authentifizierungsschlüssel generieren keine Authentifizierungsaktivitäten für Dienstkonten oder Dienstkontoschlüssel.

Aktivitätsanalysegerät

Das Policy Intelligence-Tool von Policy Intelligence zeigt Ihnen die letzten Authentifizierungsaktivitäten für Ihre Dienstkonten und Dienstkontoschlüssel. Das Datum der letzten Authentifizierungsaktivität wird anhand der US- und der Pacific Pacific Time (UTC-8) ermittelt, auch wenn die Zeitzone Pacific Time (UTC -7) gültig ist.

Verwenden Sie das Aktivitätsanalysetool, um nicht verwendete Dienstkonten und Schlüssel zu identifizieren. Mit dem Aktivitätsanalysetool können Sie Ihre eigene Definition dessen verwenden, was ein Dienstkonto oder ein Schlüssel als „nicht verwendet“ bedeutet. In einigen Organisationen kann sie beispielsweise „nicht verwendet“ als 90 Tage Inaktivität verwenden, in anderen hingegen 30 Tage.

Sie sollten diese nicht verwendeten Dienstkonten und Schlüssel deaktivieren oder löschen, da sie ein unnötiges Sicherheitsrisiko darstellen.

Informationen zum Aufrufen der Dienstkonto-Authentifizierungsaktivitäten finden Sie unter Aktuelle Nutzung für Dienstkonten und Schlüssel ansehen.

Dienstkontostatistiken

Recommender liefert Dienstkontoinformationen, die die Dienstkonten in Ihrem Projekt identifizieren, die seit 90 Tagen nicht verwendet wurden. Mit Dienstkontostatistiken können Sie nicht verwendete Dienstkonten schnell identifizieren. Wir empfehlen, diese nicht verwendeten Dienstkonten zu deaktivieren oder zu löschen, da sie ein unnötiges Sicherheitsrisiko darstellen.

Informationen zum Verwenden von Dienstkontostatistiken finden Sie unter Nicht verwendete Dienstkonten suchen.

Messwerte zur Dienstkontonutzung

Cloud Monitoring bietet Nutzungsmesswerte für Ihre Dienstkonten und Dienstkontoschlüssel. Nutzungsmesswerte melden jede Authentifizierungsaktivität für Ihre Dienstkonten und Dienstkontoschlüssel.

Mit Nutzungsmesswerten für Dienstkonten können Sie die Nutzungsmuster von Dienstkonten im Zeitverlauf verfolgen. Mit diesen Mustern können Sie Anomalien ermitteln, entweder automatisch oder manuell.

Informationen zum Aufrufen von Nutzungsmesswerten für Dienstkonten finden Sie in der IAM-Dokumentation unter Nutzungsmuster für Dienstkonten und Schlüssel überwachen.