了解服务帐号使用情况的工具

使用集合让一切井井有条 根据您的偏好保存内容并对其进行分类。

您可以使用几种不同的工具来了解服务帐号和密钥的身份验证活动。本页介绍了可用的工具及其预期用途。

身份验证活动

每当服务帐号或密钥(包括不属于 Google Cloud 的 API)用于调用 Google API 时,都会生成一个身份验证活动。如需了解服务帐号的使用情况,您可以使用本页所述的工具跟踪这些身份验证活动。

身份验证活动既包括成功的 API 调用,也包括失败的 API 调用。例如,如果由于调用者无权调用相应 API 或者由于请求引用了不存在的资源而导致 API 调用失败,则该操作仍会计为用于该 API 调用的服务帐号或密钥的身份验证活动。

服务帐号密钥的身份验证活动还包括每次系统尝试对请求进行身份验证时列出密钥时的情况,即使系统不使用密钥对请求进行身份验证也是如此。当使用 Cloud Storage 签名网址或向第三方应用进行身份验证时,此行为最常见。

Cloud Storage HMAC 身份验证密钥不会为服务帐号密钥或服务帐号密钥生成身份验证活动。

活动分析器

Policy Intelligence 的 Activity 分析器可让您查看服务帐号和服务帐号密钥的最新身份验证活动。最近的身份验证活动的日期根据美国和加拿大的太平洋标准时间 (UTC-8) 确定,即使太平洋夏令时生效也是如此。

使用活动分析器识别未使用的服务帐号和密钥。借助 Activity 分析器,您可以根据自己的定义,让服务帐号或密钥处于“未使用”状态。例如,一些组织可能会将“未使用的”定义为 90 天不活跃,而有些组织可能会将“未使用”定义为 30 天不活跃。

我们建议您停用或删除这些未使用的服务帐号和密钥,因为它们会带来不必要的安全风险。

如需了解如何查看服务帐号身份验证活动,请参阅查看服务帐号和密钥的近期使用情况

服务帐号数据分析

Recommender 会提供服务帐号数据分析,这些分析数据可以识别项目中的 90 天内未使用过的服务帐号。使用服务帐号数据分析快速识别未使用的服务帐号。我们建议您停用或删除这些未使用的服务帐号,因为它们会带来不必要的安全风险。

如需了解如何使用服务帐号数据分析,请参阅查找未使用的服务帐号

服务帐号使用情况指标

Cloud Monitoring 为您的服务帐号和服务帐号密钥提供使用情况指标。使用情况指标会报告服务帐号和服务帐号密钥的每个身份验证活动

使用服务帐号使用情况指标跟踪服务帐号在一段时间内的使用情况。这些模式可帮助您自动或手动识别异常情况。

如需了解如何查看服务帐号使用情况指标,请参阅 IAM 文档中的监控服务帐号和密钥的使用模式