Existen varias herramientas diferentes que puedes usar para comprender las actividades de autenticación de las cuentas de servicio y las claves. En esta página, se describen las herramientas disponibles y sus usos previstos.
Si deseas ver cómo las cuentas de servicio usan sus permisos y, además, identificar las cuentas de servicio con privilegios excesivos, usa las recomendaciones de funciones. Para obtener más información, consulta Descripción general de las recomendaciones de funciones.
Actividades de autenticación
Cuando se usa una cuenta o clave de servicio para llamar a una API de Google, incluida una API que no forma parte de Google Cloud, genera una actividad de autenticación. Para comprender el uso de las cuentas de servicio, puedes hacer un seguimiento de estas actividades de autenticación con las herramientas que se describen en esta página.
Las actividades de autenticación incluyen llamadas a la API correctas y fallidas. Por ejemplo, si una llamada a la API falla porque el emisor no está autorizado a llamar a esa API, o porque la solicitud hace referencia a un recurso que no existe, la acción igualmente se considera una actividad de autenticación de la cuenta de servicio o la clave que se usó para esa llamada a la API.
Las actividades de autenticación de las claves de cuentas de servicio también se incluyen cada vez que un sistema las enumera mientras intenta autenticar una solicitud, incluso si el sistema no las usa para autenticar la solicitud. Este comportamiento es más común cuando se usan URL firmadas para Cloud Storage o cuando se autentica en aplicaciones de terceros.
Las claves de autenticación de HMAC de Cloud Storage no generan actividades de autenticación para las cuentas de servicio ni para las claves de cuenta de servicio.
Analizador de actividad
El Analizador de actividad de Policy Intelligence te permite ver las actividades de autenticación más recientes de tus cuentas de servicio y claves de cuentas de servicio. La fecha de la actividad de autenticación más reciente se determina según la hora estándar del Pacífico de EE.UU. y Canadá (UTC-8), incluso cuando está vigente el horario de verano del Pacífico.
Usar el Analizador de actividad para identificar cuentas de servicio y claves sin usar Con el Analizador de actividad, puedes usar tu propia definición de lo que significa que una cuenta de servicio o clave esté "sin usar". Por ejemplo, algunas organizaciones pueden definir “sin usar” como 90 días de inactividad, mientras que otras pueden definir “sin usar” como 30 días de inactividad.
Te recomendamos inhabilitar o borrar estas claves y cuentas de servicio sin usar, ya que crean un riesgo de seguridad innecesario.
Si quieres aprender a ver las actividades de autenticación de la cuenta de servicio, consulta Consulta el uso reciente de las cuentas de servicio y claves.
Estadísticas de cuentas de servicio
El recomendador proporciona estadísticas de cuentas de servicio, que identifican las cuentas de servicio de tu proyecto que no se usaron en los últimos 90 días. Usa las estadísticas de cuentas de servicio para identificar con rapidez las cuentas de servicio que no se usan. Te recomendamos inhabilitar o borrar estas cuentas de servicio sin usar, ya que crean un riesgo de seguridad innecesario.
Para obtener información sobre cómo usar las estadísticas de cuentas de servicio, consulta Encuentra cuentas de servicio sin usar.
Métricas de uso de la cuenta de servicio
Cloud Monitoring proporciona métricas de uso para tus cuentas de servicio y claves de cuenta de servicio. Las métricas de uso informan cada actividad de autenticación de tus cuentas de servicio y claves de cuenta de servicio.
Usa las métricas de uso de la cuenta de servicio para realizar un seguimiento de los patrones de uso de estas a lo largo del tiempo. Estos patrones pueden ayudarte a identificar anomalías, ya sea de forma automática o manual.
Si quieres obtener información para ver las métricas de uso de las cuentas de servicio, consulta Supervisa los patrones de uso de las cuentas de servicio y claves en la documentación de IAM.
Detección de cuentas de servicio inactivas
Event Threat Detection detecta y también informa cuando una cuenta de servicio inactiva activa una acción. Las cuentas de servicio inactivas son cuentas de servicio que han estado inactivas durante más de 180 días.
Esta función solo está disponible para los clientes de la versión Premium de Security Command Center.
Para obtener información sobre cómo ver y solucionar los resultados de acciones de cuentas de servicio inactivas, consulta Investiga las amenazas y responde a ellas.