Esistono diversi strumenti che puoi utilizzare per comprendere le attività di autenticazione per le chiavi e gli account di servizio. In questa pagina vengono descritti gli strumenti disponibili e i relativi usi previsti.
Se vuoi vedere in che modo gli account di servizio utilizzano le relative autorizzazioni e identificare gli account di servizio con privilegi in eccesso, utilizza i suggerimenti sui ruoli. Per ulteriori informazioni, consulta la panoramica dei suggerimenti sui ruoli.
Attività di autenticazione
Ogni volta che un account o una chiave di servizio viene utilizzato per chiamare un'API di Google, inclusa un'API che non fa parte di Google Cloud, genera un'attività di autenticazione. Per comprendere l'utilizzo degli account di servizio, puoi tenere traccia di queste attività di autenticazione utilizzando gli strumenti descritti in questa pagina.
Le attività di autenticazione includono le chiamate API riuscite e non riuscite. Ad esempio, se una chiamata API ha esito negativo perché il chiamante non è autorizzato a chiamare l'API o perché la richiesta fa riferimento a una risorsa inesistente, l'azione viene comunque conteggiata come un'attività di autenticazione per l'account di servizio o la chiave utilizzati per la chiamata API.
Le attività di autenticazione per le chiavi degli account di servizio includono anche ogni volta che un sistema elenca le chiavi durante il tentativo di autenticare una richiesta, anche se il sistema non utilizza la chiave per autenticare la richiesta. Questo comportamento è più comune quando vengono utilizzati URL firmati per Cloud Storage o durante l'autenticazione in applicazioni di terze parti.
Le chiavi di autenticazione HMAC di Cloud Storage non generano attività di autenticazione per gli account di servizio o per le chiavi degli account di servizio.
Analizzatore attività
L'analizzatore attività di Policy Intelligence consente di visualizzare le attività di autenticazione più recenti per gli account di servizio e le chiavi degli account di servizio. La data dell'attività di autenticazione più recente è determinata in base all'ora standard del Pacifico degli Stati Uniti (UTC-8), anche quando è in vigore l'ora legale del Pacifico.
Usare l'Analizzatore attività per identificare le chiavi e gli account di servizio inutilizzati. Con Analizzatore attività puoi definire autonomamente cosa significa "inutilizzato" per un account di servizio o una chiave. Ad esempio, alcune organizzazioni potrebbero definire "non utilizzato" come 90 giorni di inattività, mentre altre potrebbero definire "non utilizzato" come 30 giorni di inattività.
Ti consigliamo di disabilitare o eliminare questi account di servizio e chiavi inutilizzati perché creano un rischio per la sicurezza non necessario.
Per scoprire come visualizzare le attività di autenticazione degli account di servizio, vedi Visualizzare l'utilizzo recente di chiavi e account di servizio.
Insight sugli account di servizio
Il motore per suggerimenti fornisce insight sugli account di servizio, che identificano gli account di servizio nel progetto non utilizzati negli ultimi 90 giorni. Utilizza gli insight sugli account di servizio per identificare rapidamente gli account di servizio non utilizzati. Ti consigliamo di disabilitare o eliminare questi account di servizio inutilizzati perché creano un rischio per la sicurezza non necessario.
Per scoprire come utilizzare gli insight sugli account di servizio, vedi Trovare gli account di servizio inutilizzati.
Metriche di utilizzo dell'account di servizio
Cloud Monitoring fornisce metriche di utilizzo per gli account di servizio e le chiavi degli account di servizio. Le metriche di utilizzo segnalano ogni attività di autenticazione relativa agli account di servizio e alle chiavi degli account di servizio.
Utilizza le metriche di utilizzo degli account di servizio per tracciare i relativi pattern di utilizzo nel tempo. Questi pattern possono aiutarti a identificare le anomalie, in modo automatico o manuale.
Per informazioni su come visualizzare le metriche di utilizzo degli account di servizio, consulta Monitorare i pattern di utilizzo per gli account di servizio e le chiavi nella documentazione di IAM.
Rilevamento degli account di servizio inattivi
Event Threat Detection rileva e segnala quando un account di servizio inattivo attiva un'azione. Gli account di servizio inattivi sono account di servizio che sono rimasti inattivi per più di 180 giorni.
Questa funzionalità è disponibile solo per i clienti di Security Command Center Premium.
Per informazioni su come visualizzare e risolvere i risultati delle azioni relative agli account di servizio inattivi, consulta Esaminare e rispondere alle minacce.