Herramientas para comprender el uso de las cuentas de servicio

Existen varias herramientas diferentes que puedes usar para comprender las actividades de autenticación de las cuentas de servicio y las claves. En esta página, se describen las herramientas disponibles y sus usos previstos.

Actividades de autenticación

Cada vez que se usa una cuenta de servicio o una clave para llamar a una API de Google, incluida una API que no forma parte de Google Cloud, genera una actividad de autenticación. Para comprender el uso de la cuenta de servicio, puedes realizar un seguimiento de estas actividades de autenticación mediante las herramientas descritas en esta página.

Las actividades de autenticación incluyen llamadas a la API correctas y fallidas. Por ejemplo, si una llamada a la API falla porque el emisor no está autorizado a llamar a esa API, o porque la solicitud hace referencia a un recurso que no existe, la acción igualmente se considera una actividad de autenticación de la cuenta de servicio o la clave que se usó para esa llamada a la API.

Las actividades de autenticación de las claves de cuentas de servicio también se incluyen cada vez que un sistema las enumera mientras intenta autenticar una solicitud, incluso si el sistema no las usa para autenticar la solicitud. Este comportamiento es más común cuando se usan URL firmadas para Cloud Storage o cuando se autentica en aplicaciones de terceros.

Las claves de autenticación de HMAC de Cloud Storage no generan actividades de autenticación para las cuentas de servicio ni para las claves de cuenta de servicio.

Analizador de actividad

El analizador de actividades de Policy Intelligence te permite ver las actividades de autenticación más recientes de tus cuentas de servicio y claves de cuenta de servicio. La fecha de la actividad de autenticación más reciente se determina en función de la hora estándar del Pacífico de EE.UU. y Canadá (UTC-8), incluso cuando la hora de verano del Pacífico está activa.

Usa el Analizador de actividad para identificar cuentas de servicio y claves que no se usan. Con el Analizador de actividad, puedes usar tu propia definición de lo que significa para una cuenta de servicio o una clave que no está en uso. Por ejemplo, algunas organizaciones pueden definir 90 días de inactividad sin usar, mientras que otras pueden definir 30 días de inactividad.

Recomendamos inhabilitar o borrar estas cuentas de servicio y claves sin usar, ya que generan un riesgo de seguridad innecesario.

Para obtener información sobre cómo ver las actividades de autenticación de cuentas de servicio, consulta Visualiza el uso reciente de las cuentas de servicio y las claves.

Estadísticas de cuentas de servicio

El recomendador proporciona estadísticas de la cuenta de servicio, que identifican las cuentas de servicio de tu proyecto que no se usaron en los últimos 90 días. Usa las estadísticas de las cuentas de servicio para identificar rápidamente las cuentas de servicio sin usar. Recomendamos inhabilitar o borrar estas cuentas de servicio sin usar, ya que generan un riesgo de seguridad innecesario.

Para obtener información sobre cómo usar las estadísticas de la cuenta de servicio, consulta Encuentra cuentas de servicio sin usar.

Métricas de uso de la cuenta de servicio

Cloud Monitoring proporciona métricas de uso para las cuentas de servicio y las claves de cuenta de servicio. Las métricas de uso informan cada actividad de autenticación para tus cuentas de servicio y claves de cuenta de servicio.

Usa las métricas de uso de la cuenta de servicio para hacer un seguimiento de los patrones de uso de la cuenta de servicio en el tiempo. Estos patrones pueden ayudarte a identificar anomalías de forma automática o manual.

Para obtener información sobre cómo ver las métricas de uso de la cuenta de servicio, consulta Supervisa patrones de uso para cuentas de servicio y claves en la documentación de IAM.