Strumenti per comprendere l'utilizzo degli account di servizio

Esistono diversi strumenti che puoi utilizzare per comprendere le attività di autenticazione per account di servizio e chiavi. In questa pagina vengono descritti gli strumenti disponibili e i relativi utilizzi previsti.

Attività di autenticazione

Ogni volta che viene utilizzata una chiave o un account di servizio per le chiamate a un'API Google, inclusa un'API che non fa parte di Google Cloud, viene generata un'attività di autenticazione. Per comprendere l'utilizzo degli account di servizio, puoi monitorare queste attività di autenticazione utilizzando gli strumenti descritti in questa pagina.

Le attività di autenticazione includono chiamate API riuscite e non riuscite. Ad esempio, se una chiamata API non va a buon fine perché il chiamante non è autorizzato a chiamare tale API o perché la richiesta fa riferimento a una risorsa inesistente, l'azione viene comunque conteggiata come un'attività di autenticazione per l'account di servizio o la chiave utilizzata per la chiamata API in questione.

Le attività di autenticazione per le chiavi degli account di servizio includono anche ogni volta che un sistema elenca le chiavi durante l'autenticazione di una richiesta, anche se il sistema non utilizza la chiave per autenticare la richiesta. Questo comportamento è più comune quando si utilizzano URL firmati per Cloud Storage o quando si esegue l'autenticazione per applicazioni di terze parti.

Le chiavi di autenticazione HMAC di Cloud Storage non generano attività di autenticazione per gli account di servizio o le chiavi degli account di servizio.

Analizzatore attività

Lo strumento di analisi delle attività di Policy Intelligence consente di visualizzare le attività di autenticazione più recenti per gli account di servizio e le chiavi degli account di servizio. La data dell'attività di autenticazione più recente è determinata in base al fuso orario UTC-8 (Stati Uniti e Canada), anche quando viene applicata l'ora legale del Pacifico.

Usa lo Strumento di analisi attività per identificare le chiavi e gli account di servizio non utilizzati. Con lo Strumento di analisi attività puoi utilizzare una tua definizione personale di cosa significa per "account o chiave di servizio" come "non utilizzato". Ad esempio, alcune organizzazioni potrebbero definire "non utilizzata" come 90 giorni di inattività, mentre altre potrebbero definirla inutilizzata come 30 giorni.

Ti consigliamo di disabilitare o eliminare le chiavi e gli account di servizio inutilizzati poiché generano un rischio per la sicurezza non necessario.

Per informazioni su come visualizzare le attività di autenticazione degli account di servizio, consulta la sezione Visualizzare l'utilizzo recente di account e chiavi di servizio.

Insight sugli account di servizio

Il motore per suggerimenti fornisce informazioni sugli account di servizio, che identificano gli account di servizio nel tuo progetto che non sono stati utilizzati negli ultimi 90 giorni. Utilizza gli insight sull'account di servizio per identificare rapidamente gli account di servizio inutilizzati. Ti consigliamo di disattivare o eliminare questi account di servizio inutilizzati perché creano un rischio per la sicurezza non necessario.

Per informazioni su come utilizzare gli account di servizio, vedi Trovare gli account di servizio inutilizzati.

Metriche di utilizzo dell'account di servizio

Cloud Monitoring fornisce metriche di utilizzo per gli account di servizio e le chiavi degli account di servizio. Le metriche di utilizzo riportano ogni attività di autenticazione per gli account di servizio e le chiavi degli account di servizio.

Utilizza le metriche di utilizzo dell'account di servizio per monitorare i pattern di utilizzo dell'account di servizio nel tempo. Questi pattern possono aiutarti a identificare le anomalie in modo automatico o manuale.

Per informazioni su come visualizzare le metriche di utilizzo dell'account di servizio, consulta la sezione Monitorare i pattern di utilizzo per chiavi e account di servizio nella documentazione di IAM.