Há várias ferramentas diferentes que podem ser usadas para entender as atividades de autenticação de chaves e contas de serviço. Nesta página, descrevemos as ferramentas disponíveis e os usos pretendidos.
Se você quiser ver como as contas de serviço estão usando as permissões e identificar contas de serviço excessivamente privilegiadas, use as recomendações de papéis. Para mais informações, consulte Visão geral das recomendações de papéis.
Atividades de autenticação
Sempre que uma conta de serviço ou chave é usada para chamar uma API do Google, incluindo uma API que não faz parte do Google Cloud, ela gera uma atividade de autenticação. Para entender o uso da conta de serviço, acompanhe essas atividades de autenticação com as ferramentas descritas nesta página.
As atividades de autenticação incluem chamadas de API bem-sucedidas e com falha. Por exemplo, se uma chamada de API falhar porque o autor da chamada não está autorizado a chamar essa API ou porque a solicitação faz referência a um recurso inexistente, a ação ainda conta como uma atividade de autenticação para a conta de serviço ou chave usada para essa chamada de API.
As atividades de autenticação para chaves da conta de serviço também incluem sempre que um sistema lista as chaves ao tentar autenticar uma solicitação, mesmo que o sistema não use a chave para autenticar a solicitação. Esse comportamento é mais comum ao usar URLs assinados para o Cloud Storage ou ao autenticar aplicativos de terceiros.
As chaves de autenticação HMAC do Cloud Storage não geram atividades de autenticação para contas de serviço ou chaves de conta de serviço.
Analisador de atividade
Com o analisador de atividades do Policy Intelligence, é possível visualizar as atividades de autenticação mais recentes das suas contas de serviço e chaves de conta de serviço. A data da atividade de autenticação mais recente é determinada com base no horário padrão do Pacífico dos EUA e do Canadá (UTC-8), mesmo quando o horário de verão do Pacífico está em vigor.
Use o Activity Analyzer para identificar contas de serviço e chaves não usadas. Com o Activity Analyzer, é possível usar sua própria definição do que significa que uma chave ou conta de serviço não está sendo usada. Por exemplo, algumas organizações podem definir "não utilizado" como 90 dias de inatividade, enquanto outras podem definir "não usado" como 30 dias de inatividade.
Recomendamos desativar ou excluir essas contas de serviço e chaves não usadas, porque elas criam um risco de segurança desnecessário.
Para saber como ver as atividades de autenticação da conta de serviço, consulte Visualizar o uso recente de contas e chaves de serviço.
Insights de conta de serviço
O recomendador fornece insights de conta de serviço, que identificam as contas de serviço no seu projeto que não foram usadas nos últimos 90 dias. Use insights de conta de serviço para identificar rapidamente as contas de serviço não utilizadas. Recomendamos desativar ou excluir essas contas de serviço não usadas, porque elas criam um risco de segurança desnecessário.
Para saber como usar insights de conta de serviço, consulte Encontrar contas de serviço não usadas.
Métricas de uso da conta de serviço
O Cloud Monitoring fornece métricas de uso para suas contas de serviço e chaves de contas de serviço. As métricas de uso informam cada atividade de autenticação das suas contas de serviço e chaves de conta de serviço.
Use as métricas de uso da conta de serviço para rastrear os padrões de uso da conta de serviço ao longo do tempo. Esses padrões podem ajudar você a identificar anomalias, de forma automática ou manual.
Para saber como ver as métricas de uso da conta de serviço, consulte Monitorar padrões de uso para contas de serviço e chaves na documentação do IAM.
Detecção de conta de serviço inativa
O Event Threat Detection detecta e informa quando uma conta de serviço inativa aciona uma ação. As contas de serviço inativas ficam inativas há mais de 180 dias.
Esse recurso só está disponível para clientes do Security Command Center Premium.
Para saber como ver e corrigir descobertas de ações da conta de serviço inativas, consulte Como investigar e responder a ameaças.