Insights da conta de serviço do gerenciamento de identidade e acesso

Visão geral

Nesta página, descrevemos os insights da conta de serviço do gerenciamento de identidade e acesso.

ID do tipo de insight

O ID do tipo de insight do IAM é:

google.iam.serviceAccount.Insight

Use esse ID quando visualizar e modificar insights usando comandos do gcloud ou as APIs REST e RPC.

Local

Os comandos gcloud e as APIs do recomendador exigem que você especifique um local para insights que quer visualizar ou modificar. Um local é uma região, zona ou área multirregional. Para ver insights da conta de serviço do gerenciamento de identidade e acesso, use global como o local em gcloud e interações com a API.

Permissões

Para visualizar ou atualizar insights da conta de serviço do gerenciamento de identidade e acesso, é preciso ter as permissões necessárias.

Permissões necessárias

Para ver os insights da conta de serviço do gerenciamento de identidade e acesso:

  • recommender.iamServiceAccountInsights.get
  • recommender.iamServiceAccountInsights.list

Para modificar os insights da conta de serviço do gerenciamento de identidade e acesso:

  • recommender.iamServiceAccountInsights.update

Como conceder permissões

Para conceder as permissões necessárias para visualizar ou modificar os insights da conta de serviço do gerenciamento de identidade e acesso, atribua os papéis da seguinte maneira:

  • Para visualizar somente insights, conceda um destes papéis:
    • Papel de Leitor do recomendador do IAM (roles/recommender.iamViewer)
    • Papel de Revisor de segurança do IAM (roles/iam.securityReviewer)
    • Papel de Administrador de segurança do IAM (roles/iam.securityAdmin)
  • Para visualizar e modificar insights, conceda o papel de Administrador do recomendador do IAM (roles/recommender.iamAdmin).

Como alternativa, você também pode conceder os seguintes papéis básicos:

  • Para visualizar somente os insights, conceda o papel de Leitor (roles/viewer)
  • Para visualizar e modificar insights, conceda o papel de Proprietário (roles/owner) ou Editor (roles/editor)

Subtipos de insight

Esse tipo de insight é compatível com os seguintes subtipos:

  • SERVICE_ACCOUNT_USAGE: este insight fornece informações sobre contas de serviço que não foram autenticadas nos últimos 90 dias. Por exemplo, esse insight indica que a conta de serviço test-sa@test-project.iam.gserviceaccount.com não foi autenticada desde o dia 8 de janeiro de 2020.

Conteúdo do insight

Exemplo de conteúdo para insights SERVICE_ACCOUNT_USAGE:

{
  service_account_id: 123456789
  email: "test-sa@test-project.iam.gserviceaccount.com"
  last_authenticated_time: "2020-01-08T12:30:55Z"
}