Outils pour comprendre l'utilisation des comptes de service

Différents outils permettent de comprendre les activités d'authentification pour les comptes de service et les clés. Cette page décrit les outils disponibles et leur utilisation prévue.

Activités d'authentification

Chaque fois qu'un compte de service ou une clé est utilisé pour appeler une API Google, y compris une API ne faisant pas partie de Google Cloud, une activité d'authentification est générée. Pour comprendre l'utilisation des comptes de service, vous pouvez suivre ces activités d'authentification à l'aide des outils décrits sur cette page.

Les activités d'authentification incluent les appels d'API ayant réussi et ceux ayant échoué. Par exemple, si un appel d'API échoue parce que l'appelant n'est pas autorisé à appeler cette API, ou si la requête fait référence à une ressource qui n'existe pas, l'action est toujours comptabilisée comme une activité d'authentification pour le compte de service ou la clé de compte de service utilisé pour cet appel d'API.

Les activités d'authentification pour les clés de compte de service incluent également chaque fois qu'un système liste les clés lors d'une tentative d'authentification d'une requête, même si le système n'utilise pas la clé pour authentifier la requête. Ce comportement est le plus courant lorsque vous utilisez des URL signées pour Cloud Storage ou lorsque vous vous authentifiez auprès d'applications tierces.

Les clés d'authentification HMAC Cloud Storage ne génèrent pas d'activités d'authentification pour les comptes de service ou les comptes de service.

Analyseur d'activité

L'Analyseur d'activité de Policy Intelligence vous permet de consulter les activités d'authentification les plus récentes pour vos comptes de service et vos clés de compte de service. La date de l'activité d'authentification la plus récente est déterminée par l'heure normale du Canada et des États-Unis (UTC-8), même lorsque l'heure avancée du Pacifique est en vigueur.

Utilisez l'outil d'analyse d'activité pour identifier les comptes de service et les clés inutilisés. Avec l'outil d'analyse d'activités, vous pouvez utiliser votre propre définition pour désigner un compte de service ou une clé à utiliser. Par exemple, certaines organisations peuvent définir qu'il ne s'agit pas de 90 jours d'inactivité, tandis que d'autres peuvent utiliser 30 jours d'inactivité.

Nous vous recommandons de désactiver ou de supprimer ces clés et comptes de service inutilisés, car ils présentent un risque de sécurité inutile.

Pour savoir comment afficher les activités d'authentification d'un compte de service, consultez la section Afficher l'utilisation récente des comptes de service et des clés.

Insights sur les comptes de service

L'outil de recommandation fournit des insights sur les comptes de service, qui identifient les comptes de service de votre projet qui n'ont pas été utilisés depuis 90 jours. Identifiez rapidement les comptes de service inutilisés à l'aide des insights sur les comptes de service. Nous vous recommandons de désactiver ou de supprimer ces comptes de service inutilisés, car ils présentent un risque de sécurité inutile.

Pour savoir comment utiliser les insights sur les comptes de service, consultez la section Rechercher les comptes de service inutilisés.

Métriques d'utilisation du compte de service

Cloud Monitoring fournit des métriques d'utilisation pour vos comptes de service et vos clés de compte de service. Les métriques d'utilisation indiquent chaque activité d'authentification pour vos comptes de service et vos clés de compte de service.

Utilisez les métriques d'utilisation du compte de service pour suivre les modèles d'utilisation du compte de service au fil du temps. Ces modèles peuvent vous aider à identifier les anomalies, automatiquement ou manuellement.

Pour savoir comment afficher les métriques d'utilisation des comptes de service, consultez la section Surveiller les schémas d'utilisation des comptes de service et des clés dans la documentation IAM.