サービス アカウントの使用状況を把握するためのツール

サービス アカウントとキーの認証アクティビティを把握するには、いくつかのツールを使用できます。このページでは、使用可能なツールと用途について説明します。

認証アクティビティ

Google API(Google Cloud 以外の API を含む)の呼び出しにサービス アカウントまたはキーが使用されるたびに、認証アクティビティが生成されます。サービス アカウントの使用状況を把握するには、このページで説明するツールを使用して、これらの認証アクティビティを追跡します。

認証アクティビティには、成功した API 呼び出しと失敗した API 呼び出しの両方が含まれます。たとえば、呼び出し側に必要な権限がないため、あるいはリクエストで存在しないリソースが参照されているために API の呼び出しが失敗した場合でも、その API 呼び出しに使用されたサービス アカウントまたはキーの認証アクティビティとしてアクションがカウントされます。

サービス アカウント キーの認証アクティビティには、リクエストの認証にキーが使用されていない場合でも、リクエストの認証中にシステムがキーの一覧を取得する時間が含まれます。このような動作は、Cloud Storage に署名付き URL を使用する場合や、サードパーティのアプリケーションの認証でよく行われます。

Cloud Storage HMAC 認証キーの場合、サービス アカウントまたはサービス アカウント キーのいずれの認証アクティビティも作成しません。

アクティビティ アナライザ

Policy Intelligence の Activity Analyzer を使用すると、サービス アカウントとサービス アカウント キーに対する最新の認証アクティビティを確認できます。最新の認証アクティビティの日付は、太平洋夏時間(PDT)が有効であっても、米国およびカナダ太平洋標準時(UTC-8)に基づいて決定されます。

Activity Analyzer を使用して、未使用のサービス アカウントとキーを識別します。Activity Analyzer では、サービス アカウントやキーが「未使用」であることの意味を独自に定義できます。たとえば、90 日間の非アクティブな期間をもって「未使用」と定義する組織もあれば、30 日間の非アクティブをもって定義する組織もあることでしょう。

このような未使用のサービス アカウントとキーは、セキュリティ リスクとなるため、無効にするか削除することをおすすめします。

サービス アカウントの認証アクティビティを表示する方法については、サービス アカウントとキーの最近の使用状況を表示するをご覧ください。

サービス アカウントの分析情報

Recommender は、プロジェクトで過去 90 日間使用されていないサービス アカウントを識別するサービス アカウントの分析情報を提供します。サービス アカウントの分析情報を使用して、未使用のサービス アカウントをすばやく識別できます。このような未使用のサービス アカウントは、セキュリティ リスクとなるため、無効にするか削除することをおすすめします。

サービス アカウントの分析情報の使用方法については、未使用のサービス アカウントを検索するをご覧ください。

サービス アカウントの使用状況の指標

Cloud Monitoring は、サービス アカウントとサービス アカウント キーの使用状況の指標を提供します。使用状況の指標は、サービス アカウントとサービス アカウント キーの各認証アクティビティを報告します。

サービス アカウントの使用状況の指標を使用して、サービス アカウントの使用パターンの推移を追跡します。これらのパターンを使用すると、自動的にまたは手動で異常を特定できます。

サービス アカウントの使用状況の指標を表示する方法については、IAM ドキュメントのサービス アカウントとキーの使用パターンをモニタリングするをご覧ください。