Questa pagina è stata tradotta dall'API Cloud Translation.

Visualizzazione dell'utilizzo recente di chiavi e account di servizio

Questa pagina mostra come utilizzare Activity Analyzer per vedere quando i tuoi service account e le tue chiavi sono stati utilizzati l'ultima volta per chiamare un'API di Google. Questi utilizzi sono chiamati attività di autenticazione.

L'attività di autenticazione recente può aiutarti a identificare gli account di servizio e le chiavi degli account di servizio che non utilizzi più. Ti consigliamo di disattivare o eliminare questi account di servizio e queste chiavi inutilizzati perché creano un risico per la sicurezza non necessario.

Prima di iniziare

Scopri di più sulle attività di autenticazione.
Enable the Policy Analyzer API.
Enable the API

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per elencare le attività di autenticazione più recenti per i tuoi account di servizio e le relative chiavi, chiedi all'amministratore di concederti il ruolo IAM Visualizzatore analisi attività (roles/policyanalyzer.activityAnalysisViewer) nel progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Questo ruolo predefinito contiene le autorizzazioni necessarie per elencare le attività di autenticazione più recenti per i tuoi account di servizio e le relative chiavi. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:

Autorizzazioni obbligatorie

Per elencare le attività di autenticazione più recenti per i tuoi account di servizio e le relative chiavi, sono necessarie le seguenti autorizzazioni:

policyanalyzer.serviceAccountKeyLastAuthenticationActivities.query
policyanalyzer.serviceAccountLastAuthenticationActivities.query

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Visualizzare l'utilizzo recente di tutti gli account di servizio o le chiavi

Per elencare le date delle attività di autenticazione più recenti per tutti i tuoi account di servizio o le chiavi degli account di servizio, utilizza Google Cloud CLI o l'API REST.

gcloud

Per elencare le attività di autenticazione più recenti per i tuoi account di servizio o le tue chiavi, utilizza il comando gcloud policy-intelligence query-activity:

gcloud policy-intelligence query-activity --activity-type=ACTIVITY_TYPE \
    --project=PROJECT_ID --limit=LIMIT

Sostituisci i seguenti valori:

ACTIVITY_TYPE: il tipo di attività da elencare. Per elencare le ultime date e ore di utilizzo dei tuoi account di servizio, utilizza serviceAccountLastAuthentication. Per elencare le ultime date e ore di utilizzo delle chiavi degli account di servizio, utilizza serviceAccountKeyLastAuthentication.
PROJECT_ID: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project.
LIMIT: facoltativo. Il numero massimo di risultati da restituire. Il valore predefinito è 1000.

La risposta è simile alla seguente, che elenca i tempi di utilizzo recenti per gli account di servizio di un progetto:

---
activity:
  lastAuthenticatedTime: '2021-04-27T07:00:00Z'
  serviceAccount:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
    projectNumber: '123456789012'
    serviceAccountId: '123456789012345678901'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-03-12T07:00:00Z'
---
activity:
  lastAuthenticatedTime: '2021-02-09T08:00:00Z'
  serviceAccount:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com
    projectNumber: '123456789012'
    serviceAccountId: '234567890123456789012'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-09-01T07:00:00Z'

Per scoprire come interpretare questi risultati, consulta la sezione Informazioni sulle attività in questa pagina.

REST

Per elencare le attività di autenticazione più recenti per i tuoi account di servizio o le tue chiavi, utilizza il metodo activities.query dell'API Policy Analyzer.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

PROJECT_ID: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project.
ACTIVITY_TYPE: il tipo di attività da elencare. Per elencare gli utilizzi più recenti di tutti i tuoi account di servizio, utilizza serviceAccountLastAuthentication. Per elencare gli utilizzi più recenti di tutte le chiavi degli account di servizio, utilizza serviceAccountKeyLastAuthentication.
PAGE_SIZE: facoltativo. Il numero massimo di risultati da restituire da questa richiesta. Se non viene specificato, il server determinerà il numero di risultati da restituire. Se il numero di attività è superiore alle dimensioni della pagina, la risposta contiene un token di paginazione che puoi utilizzare per recuperare la pagina di risultati successiva.
PAGE_TOKEN: facoltativo. Il token di pagina restituito in una risposta precedente di questo metodo. Se specificato, l'elenco delle attività inizierà dove è terminata la richiesta precedente.

Metodo HTTP e URL:

GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/ACTIVITY_TYPE/activities:query?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

Per inviare la richiesta, espandi una di queste opzioni:

curl (Linux, macOS o Cloud Shell)

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login oppure utilizzando Cloud Shell, che ti consente di accedere automaticamente all'interfaccia a riga di comando gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Esegui questo comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/ACTIVITY_TYPE/activities:query?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN"

PowerShell (Windows)

Nota: il comando seguente presuppone che tu abbia eseguito l'accesso alla CLI gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login . Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/ACTIVITY_TYPE/activities:query?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN" | Select-Object -Expand Content

La risposta è simile alla seguente, che elenca i tempi di utilizzo recenti per gli account di servizio di un progetto:

{
  "activities": [
    {
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
      "activityType": "serviceAccountLastAuthentication",
      "observationPeriod": {
        "startTime": "2020-04-20T07:00:00Z",
        "endTime": "2021-05-17T07:00:00Z"
      },
      "activity": {
        "lastAuthenticatedTime": "2021-04-28T07:00:00Z",
        "serviceAccount": {
          "projectNumber": "123456789012",
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
          "serviceAccountId": "123456789012345678901"
        }
      }
    },
    {
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com",
      "activityType": "serviceAccountLastAuthentication",
      "observationPeriod": {
        "startTime": "2020-04-20T07:00:00Z",
        "endTime": "2021-05-17T07:00:00Z"
      },
      "activity": {
        "lastAuthenticatedTime": "2021-04-29T07:00:00Z",
        "serviceAccount": {
          "projectNumber": "123456789012",
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com",
          "serviceAccountId": "234567890123456789012"
        }
      }
    }
  ],
  "nextPageToken": "AVgRrQV4b5nISN6cGJvTPFJ2v_"
}

Per scoprire come interpretare questi risultati, consulta la sezione Informazioni sulle attività in questa pagina.

Visualizzare l'utilizzo recente di account di servizio specifici

Per trovare l'ultima data in cui sono stati utilizzati account di servizio specifici, utilizza la console Google Cloud, gcloud CLI o l'API REST.

Console

Nella console Google Cloud, vai alla pagina Policy Analyzer.

Vai ad Analizzatore criteri
In Analizza l'attività recente, individua il riquadro Quando è stato utilizzato questo account di servizio l'ultima volta? e fai clic su Crea query in quel riquadro.
Nella casella Seleziona l'ambito della query, inserisci il nome del progetto di cui vuoi analizzare gli account di servizio.
Nella sezione Aggiungi account di servizio, fai clic sulla casella Account di servizio. Viene visualizzato un elenco di tutti gli account di servizio nel progetto. L'elenco include anche il progetto a cui è associato ogni account di servizio e l'indirizzo email di ogni account di servizio.
Seleziona l'account di servizio per cui vuoi visualizzare l'utilizzo recente.
(Facoltativo) Per visualizzare l'utilizzo recente di più account di servizio, fai clic su Aggiungi account e seleziona un altro account di servizio. Puoi analizzare fino a 10 account di servizio alla volta.
Nel riquadro Query per le attività di accesso, fai clic su Esegui query.

La pagina dei risultati mostra l'utilizzo più recente degli account di servizio. Per scoprire come interpretare questi risultati, consulta la sezione Informazioni sulle attività in questa pagina.

gcloud

Per ottenere l'attività di autenticazione più recente per account di servizio specifici, utilizza il comando gcloud policy-intelligence query-activity con un filtro:

gcloud policy-intelligence query-activity --activity-type=serviceAccountLastAuthentication \
    --project=PROJECT_ID \
    --query-filter='FILTER'

Sostituisci i seguenti valori:

PROJECT_ID: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project.
FILTER: un filtro che specifica i nomi completi delle risorse degli account di servizio di cui vuoi visualizzare l'utilizzo. Il nome completo della risorsa di un account di servizio include l'ID progetto e l'indirizzo email dell'account di servizio.

Per filtrare in base a un singolo account di servizio, utilizza un filtro con il seguente formato:
```
activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL"
```
Per filtrare in base a più account di servizio, utilizza OR per specificare più nomi completi delle risorse accettabili:
```
activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_1_EMAIL" OR activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_2_EMAIL"
```
Puoi filtrare fino a 10 account di servizio.

La risposta descrive l'utilizzo più recente degli account di servizio:

---
activity:
  lastAuthenticatedTime: '2021-04-27T07:00:00Z'
  serviceAccount:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
    projectNumber: '123456789012'
    serviceAccountId: '123456789012345678901'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-03-12T07:00:00Z'

Per scoprire come interpretare questi risultati, consulta la sezione Informazioni sulle attività in questa pagina.

REST

Per ottenere l'attività di autenticazione più recente per account di servizio specifici, utilizza il metodo activities.query dell'API Analizzatore criteri.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

PROJECT_ID: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project.

FILTER: un filtro che specifica i nomi completi delle risorse degli account di servizio di cui vuoi visualizzare l'utilizzo.

Per filtrare in base a un singolo account di servizio, utilizza un filtro con il seguente formato:

activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_EMAIL%22

Per filtrare in base a più account di servizio, utilizza %20OR%20 per specificare più nomi di risorse completi accettabili:

activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_1_EMAIL%22%20OR%20activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_2_EMAIL%22

Metodo HTTP e URL:

GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountLastAuthentication/activities:query?filter=FILTER

Per inviare la richiesta, espandi una di queste opzioni:

curl (Linux, macOS o Cloud Shell)

Esegui questo comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountLastAuthentication/activities:query?filter=FILTER"

PowerShell (Windows)

Esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountLastAuthentication/activities:query?filter=FILTER" | Select-Object -Expand Content

La risposta descrive l'utilizzo più recente degli account di servizio:

{
  "activities": [
    {
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
      "activityType": "serviceAccountLastAuthentication",
      "observationPeriod": {
        "startTime": "2020-04-20T07:00:00Z",
        "endTime": "2021-05-17T07:00:00Z"
      },
      "activity": {
        "lastAuthenticatedTime": "2021-04-28T07:00:00Z",
        "serviceAccount": {
          "projectNumber": "123456789012",
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
          "serviceAccountId": "123456789012345678901"
        }
      }
    }
  ]
}

Visualizzare l'utilizzo recente di chiavi di account di servizio specifiche

Per trovare l'ultima data in cui sono state utilizzate chiavi dell'account di servizio specifiche, identifica la chiave dell'account di servizio per cui vuoi visualizzare l'utilizzo recente e poi crea una query utilizzando questo ID.

Se hai un file di chiavi JSON, puoi trovare l'ID univoco di una chiave dell'account di servizio nel campo private_key_id del file.

Se non hai un file della chiave JSON, puoi trovare l'ID unico di una chiave dell'account di servizio seguendo questi passaggi:

Console

Nella console Google Cloud, vai alla pagina Policy Analyzer.

Vai ad Analizzatore criteri
In Analizza l'attività recente, individua il riquadro Quando è stata utilizzata la chiave di questo account di servizio l'ultima volta? e fai clic su Crea query in quel riquadro.
Nella casella Seleziona l'ambito della query, inserisci il nome del progetto di cui vuoi analizzare le chiavi dell'account di servizio.
Nella sezione Aggiungi chiave account di servizio, fai clic sulla casella Chiave account di servizio. Viene visualizzato un elenco di tutte le chiavi degli account di servizio nel progetto. L'elenco include anche il progetto e l'account di servizio a cui è associata ogni chiave.
Seleziona la chiave di cui vuoi visualizzare l'utilizzo recente.
(Facoltativo) Per visualizzare l'utilizzo recente di più chiavi, fai clic su Aggiungi chiave e selezionate un'altra chiave. Puoi analizzare fino a 10 chiavi alla volta.
Nel riquadro Query per le attività di accesso, fai clic su Esegui query.

La pagina dei risultati mostra l'utilizzo più recente delle chiavi del account di servizio. Per scoprire come interpretare questi risultati, consulta la sezione Informazioni sulle attività in questa pagina.

gcloud

Innanzitutto, identifica la chiave dell'account di servizio per cui vuoi visualizzare l'utilizzo recente:

Elenca le chiavi dell'account di servizio.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
- SERVICE_ACCOUNT_EMAIL: l'indirizzo email dell'account di servizio a cui è associata la chiave.
Esegui il comando gcloud iam service-accounts keys list:
Linux, macOS o Cloud Shell

Nota: assicurati di aver inizializzato Google Cloud CLI con l'autenticazione e un progetto eseguendo gcloud init; oppure gcloud auth login e gcloud config set project.
```
gcloud iam service-accounts keys list --iam-account=SERVICE_ACCOUNT_EMAIL
```
Windows (PowerShell)

Nota: assicurati di aver inizializzato Google Cloud CLI con l'autenticazione e un progetto eseguendo gcloud init; oppure gcloud auth login e gcloud config set project.
```
gcloud iam service-accounts keys list --iam-account=SERVICE_ACCOUNT_EMAIL
```
Windows (cmd.exe)

Nota: assicurati di aver inizializzato Google Cloud CLI con l'autenticazione e un progetto eseguendo gcloud init; oppure gcloud auth login e gcloud config set project.
```
gcloud iam service-accounts keys list --iam-account=SERVICE_ACCOUNT_EMAIL
```
L'output mostra un elenco di tutte le chiavi create dall'utente associate all'account di servizio, inclusi l'ID univoco, la data di creazione e la data di scadenza di ogni chiave.
Utilizza i dati in output per identificare la chiave che vuoi monitorare e copiarne l'ID univoco.

Dopo aver trovato gli ID univoci per le chiavi dell'account di servizio, utilizzali per filtrare i risultati di Activity Analyzer:

Per ottenere l'attività di autenticazione più recente per chiavi di account di servizio specifiche, utilizza il comando gcloud policy-intelligence query-activity con un filtro.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

PROJECT_ID: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project.
FILTER: un filtro che specifica i nomi completi delle risorse delle chiavi del service account di cui vuoi visualizzare l'utilizzo. Il nome risorsa completo di una chiave dell'account di servizio include l'ID progetto, l'indirizzo email dell'account di servizio associato alla chiave e l'ID chiave.

Per filtrare in base a una singola chiave dell'account di servizio, utilizza un filtro con il seguente formato:
```
activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID"
```
Per filtrare in base a più chiavi dell'account di servizio, utilizza OR per specificare più nomi completi delle risorse accettabili:
```
activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_1_EMAIL/keys/KEY_ID_1" OR activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_2_EMAIL/keys/KEY_ID_2"
```
Puoi filtrare fino a 10 chiavi dell'account di servizio.

Esegui il seguente comando:

Linux, macOS o Cloud Shell

gcloud policy-intelligence query-activity --activity-type=serviceAccountKeyLastAuthentication \
    --project=PROJECT_ID \
    --query-filter='FILTER'

Windows (PowerShell)

gcloud policy-intelligence query-activity --activity-type=serviceAccountKeyLastAuthentication `
    --project=PROJECT_ID `
    --query-filter='FILTER'

Windows (cmd.exe)

Nota: se questo comando utilizza ' per inserire i contenuti tra virgolette, sostituisci queste virgolette singole con virgolette doppie. Se le virgolette sono nidificate, utilizza \" per eseguire l'escapismo delle virgolette interne.

gcloud policy-intelligence query-activity --activity-type=serviceAccountKeyLastAuthentication ^
    --project=PROJECT_ID ^
    --query-filter='FILTER'

Dovresti ricevere una risposta simile alla seguente:

activity:
  lastAuthenticatedTime: '2021-06-11T07:00:00Z'
  serviceAccountKey:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c
    projectNumber: '232342569935'
    serviceAccountId: '103185812403937829397'
activityType: serviceAccountKeyLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-09-10T07:00:00Z'

Questa risposta descrive l'utilizzo più recente delle chiavi dell'account di servizio. Per scoprire come interpretare questi risultati, consulta la sezione Informazioni sulle attività in questa pagina.

REST

Innanzitutto, identifica la chiave dell'account di servizio per cui vuoi visualizzare l'utilizzo recente:

Elenca le chiavi dell'account di servizio:

Per elencare tutte le chiavi dell'account di servizio per un account di servizio, utilizza il metodo projects.serviceAccounts.keys.list dell'API IAM.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

PROJECT_ID: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project.
SA_NAME: il nome dell'account di servizio di cui vuoi elencare le chiavi.
KEY_TYPES: facoltativo. Un elenco separato da virgole di tipi di chiavi da includere nella risposta. Il tipo di chiave indica se una chiave è gestita dall'utente (USER_MANAGED) o dal sistema (SYSTEM_MANAGED). Se non viene specificato, vengono restituite tutte le chiavi.

Metodo HTTP e URL:

GET https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_NAME@PROJECT_ID.iam.gserviceaccount.com/keys?keyTypes=KEY_TYPES

Per inviare la richiesta, espandi una di queste opzioni:

curl (Linux, macOS o Cloud Shell)

Esegui questo comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_NAME@PROJECT_ID.iam.gserviceaccount.com/keys?keyTypes=KEY_TYPES"

PowerShell (Windows)

Esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_NAME@PROJECT_ID.iam.gserviceaccount.com/keys?keyTypes=KEY_TYPES" | Select-Object -Expand Content

Explorer API (browser)

Apri la pagina di riferimento del metodo. Il riquadro Esplora API si apre sul lato destro della pagina. Puoi interagire con questo strumento per inviare richieste. Compila i campi obbligatori e fai clic su Esegui.

La risposta descrive l'utilizzo più recente delle chiavi dell'account di servizio:

{
  "keys": [
    {
      "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/90c48f61c65cd56224a12ab18e6ee9ca9c3aee7c",
      "validAfterTime": "2020-03-04T17:39:47Z",
      "validBeforeTime": "9999-12-31T23:59:59Z",
      "keyAlgorithm": "KEY_ALG_RSA_2048",
      "keyOrigin": "GOOGLE_PROVIDED",
      "keyType": "USER_MANAGED"
    },
    {
      "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/e5e3800831ac1adc8a5849da7d827b4724b1fce8",
      "validAfterTime": "2020-03-31T23:50:09Z",
      "validBeforeTime": "9999-12-31T23:59:59Z",
      "keyAlgorithm": "KEY_ALG_RSA_2048",
      "keyOrigin": "GOOGLE_PROVIDED",
      "keyType": "USER_MANAGED"
    },
    {
      "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/b97699f042b8eee6a846f4f96259fbcd13e2682e",
      "validAfterTime": "2020-05-17T18:58:13Z",
      "validBeforeTime": "9999-12-31T23:59:59Z",
      "keyAlgorithm": "KEY_ALG_RSA_2048",
      "keyOrigin": "GOOGLE_PROVIDED",
      "keyType": "USER_MANAGED",
      "disabled": true
    }
  ]
}

Utilizza i metadati nella risposta per identificare la chiave da monitorare. Poi, copia l'ID univoco della chiave dalla fine del campo name.

Il campo name ha il seguente formato:
```
"name": "projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID"
```
L'ID univoco della chiave è tutto ciò che segue keys/.

Ad esempio, l'ID univoco nel seguente nome chiave è 0f561cc41650ff521899de2fd653bd3de08e2da4:
```
"name": "projects/my-project/serviceAccounts/my-account@my-project.iam.gserviceaccount.com/keys/0f561cc41650ff521899de2fd653bd3de08e2da4"
```

Dopo aver trovato gli ID univoci per le chiavi dell'account di servizio, utilizzali per filtrare i risultati di Activity Analyzer:

Per ottenere l'attività di autenticazione più recente per chiavi di account di servizio specifiche, utilizza il metodo activities.query dell'API Analizzatore criteri.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

PROJECT_ID: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project.
FILTER: un filtro che specifica i nomi completi delle risorse delle chiavi del service account di cui vuoi visualizzare l'utilizzo. Il nome risorsa completo di una chiave dell'account di servizio include l'ID progetto, l'indirizzo email dell'account di servizio associato alla chiave e l'ID chiave.

Per filtrare in base a una singola chiave dell'account di servizio, utilizza un filtro con il seguente formato:
```
activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_EMAIL%2Fkeys%2FKEY_ID%22
```
Per filtrare in base a più chiavi dell'account di servizio, utilizza %20OR%20 per specificare più nomi completi delle risorse accettabili:
```
activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_1_EMAIL%2Fkeys%2FKEY_ID_1%22%20OR%20activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_2_EMAIL%2Fkeys%2FKEY_ID_2%22
```
Puoi filtrare fino a 10 chiavi dell'account di servizio.

Metodo HTTP e URL:

GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountKeyLastAuthentication/activities:query?filter=FILTER

Per inviare la richiesta, espandi una di queste opzioni:

curl (Linux, macOS o Cloud Shell)

Esegui questo comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountKeyLastAuthentication/activities:query?filter=FILTER"

PowerShell (Windows)

Esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountKeyLastAuthentication/activities:query?filter=FILTER" | Select-Object -Expand Content

La risposta descrive l'utilizzo più recente delle chiavi dell'account di servizio:

{
  "activities": [
    {
      "activity": {
        "lastAuthenticatedTime": "2021-06-11T07:00:00Z",
        "serviceAccountKey": {
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c",
          "projectNumber": "123456789012",
          "serviceAccountId": "123456789012345678901"
        }
      },
      "activityType": "serviceAccountKeyLastAuthentication",
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1t@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c",
      "observationPeriod": {
        "endTime": "2021-07-06T07:00:00Z",
        "startTime": "2020-04-20T07:00:00Z"
      }
    }
  ]
}

Per scoprire come interpretare questi risultati, consulta la sezione Informazioni sulle attività in questa pagina.

Informazioni sulle attività

Console

La pagina dei risultati della query elenca i parametri di ricerca e i risultati della query.

Per una query sull'account di servizio, la tabella dei risultati elenca ogni account di servizio della query e la data dell'ultima autenticazione:

Per una query sulla chiave dell'account di servizio, la tabella dei risultati elenca ogni chiave dell'account di servizio della query, l'account di servizio a cui è associata e l'ultima autenticazione.

I risultati potrebbero non includere eventi di autenticazione molto recenti. Controlla la tooltip per visualizzare l'intervallo di date esatto utilizzato durante l'analisi. I risultati non includono gli eventi di autenticazione che si sono verificati al di fuori di questo intervallo.

La tabella dei risultati di entrambe le query elenca anche i ruoli IAM dell'account di servizio nel progetto, insieme a eventuali approfondimenti sulla sicurezza. Questi insight evidenziano i pattern di accesso alle risorse da parte dei tuoi account di servizio. Ad esempio, alcuni approfondimenti evidenziano le autorizzazioni in eccesso o le autorizzazioni di cui un principale non ha bisogno. Altri approfondimenti mettono in evidenza gli account di servizio con autorizzazioni di movimento laterale o autorizzazioni che consentono all'account di servizio di simulare l'identità di un account di servizio in un altro progetto.

Alcuni approfondimenti sono accompagnati da consigli per i ruoli che suggeriscono le modifiche che puoi apportare per ridurre le autorizzazioni in eccesso. Per scoprire come gestire i consigli e gli approfondimenti, consulta Rivedere e applicare i consigli.

gcloud

L'analisi attività genera report sui risultati sotto forma di elenco di attività. Le attività hanno i seguenti campi:

fullResourceName: il nome completo della risorsa del account di servizio o della chiave del service account di cui viene segnalata l'attività. Questo formato è descritto nelle sezioni seguenti e in Nomi completi delle risorse.
activityType: il tipo di attività che viene segnalata. Per l'attività di autenticazione del account di servizio recente, il valore è serviceAccountLastAuthentication. Per l'attività di autenticazione della chiave del account di servizio recente, il valore è serviceAccountKeyLastAuthentication.
observationPeriod: ore di inizio e di fine che indicano l'intervallo di tempo per il quale è stata osservata l'attività della chiave o del account di servizio. L'ora in questi timestamp è sempre T07:00:00Z.
activity: i dettagli dell'attività. I contenuti di questo campo variano in base al tipo di attività. Per maggiori dettagli, consulta le sezioni seguenti.

Dettagli delle attività dell'account di servizio

Il campo activity per le attività serviceAccountLastAuthentication contiene i seguenti campi:

serviceAccount: dettagli sull'account di servizio di cui viene segnalata l'attività, tra cui:
- fullResourceName: il nome completo della risorsa dell'account servizio, nel formato//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL.
- projectNumber: l'ID numerico del progetto proprietario dell'account di servizio.
- serviceAccountId: l'ID numerico dell'account del servizio.
lastAuthenticatedTime: un timestamp che rappresenta la data in cui si è verificato l'evento di autenticazione più recente. L'ora in questo timestamp è sempre T07:00:00Z, indipendentemente dall'ora esatta dell'evento di autenticazione.

I risultati potrebbero non includere eventi di autenticazione molto recenti. Seleziona observationPeriod per visualizzare l'intervallo di date esatto utilizzato durante l'analisi. I risultati non includono gli eventi di autenticazione che si sono verificati al di fuori di questo intervallo.

Questo campo non è incluso per gli account di servizio che non sono mai stati utilizzati.

Dettagli per le attività delle chiavi dell'account di servizio

Il campo activity per le attività serviceAccountKeyLastAuthentication contiene i seguenti campi:

serviceAccountKey: dettagli sulla chiave dell'account di servizio di cui viene segnalata l'attività, tra cui:
- fullResourceName: il nome completo della risorsa della chiave dell'account di servizio, nel formato//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID.
- projectNumber: l'ID numerico del progetto proprietario dell'account di servizio a cui è associata la chiave.
- serviceAccountId: l'ID numerico dell'account di servizio a cui è associata la chiave.
lastAuthenticatedTime: un timestamp che rappresenta la data in cui si è verificato l'evento di autenticazione più recente. L'ora in questo timestamp è sempre T07:00:00Z, indipendentemente dall'ora esatta dell'evento di autenticazione.

I risultati potrebbero non includere eventi di autenticazione molto recenti. Seleziona observationPeriod per visualizzare l'intervallo di date esatto utilizzato durante l'analisi. I risultati non includono gli eventi di autenticazione che si sono verificati al di fuori di questo intervallo.

Questo campo non è incluso per le chiavi dell'account di servizio che non sono mai state utilizzate.

REST

L'analisi attività genera report sui risultati sotto forma di elenco di attività. Le attività hanno i seguenti campi:

fullResourceName: il nome completo della risorsa del account di servizio o della chiave del service account di cui viene segnalata l'attività. Questo formato è descritto nelle sezioni seguenti e in Nomi completi delle risorse.
activityType: il tipo di attività che viene segnalata. Per l'attività di autenticazione del account di servizio recente, il valore è serviceAccountLastAuthentication. Per l'attività di autenticazione della chiave del account di servizio recente, il valore è serviceAccountKeyLastAuthentication.
observationPeriod: ore di inizio e di fine che indicano l'intervallo di tempo per il quale è stata osservata l'attività della chiave o del account di servizio. L'ora in questi timestamp è sempre T07:00:00Z.
activity: i dettagli dell'attività. I contenuti di questo campo variano in base al tipo di attività. Per maggiori dettagli, consulta le sezioni seguenti.

Dettagli delle attività dell'account di servizio

Il campo activity per le attività serviceAccountLastAuthentication contiene i seguenti campi:

serviceAccount: dettagli sull'account di servizio di cui viene segnalata l'attività, tra cui:
- fullResourceName: il nome completo della risorsa dell'account servizio, nel formato//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL.
- projectNumber: l'ID numerico del progetto proprietario dell'account di servizio.
- serviceAccountId: l'ID numerico dell'account del servizio.
lastAuthenticatedTime: un timestamp che rappresenta la data in cui si è verificato l'evento di autenticazione più recente. L'ora in questo timestamp è sempre T07:00:00Z, indipendentemente dall'ora esatta dell'evento di autenticazione.

I risultati potrebbero non includere eventi di autenticazione molto recenti. Seleziona observationPeriod per visualizzare l'intervallo di date esatto utilizzato durante l'analisi. I risultati non includono gli eventi di autenticazione che si sono verificati al di fuori di questo intervallo.

Questo campo non è incluso per gli account di servizio che non sono mai stati utilizzati.

Dettagli per le attività delle chiavi dell'account di servizio

Il campo activity per le attività serviceAccountKeyLastAuthentication contiene i seguenti campi:

serviceAccountKey: dettagli sulla chiave dell'account di servizio di cui viene segnalata l'attività, tra cui:
- fullResourceName: il nome completo della risorsa della chiave dell'account di servizio, nel formato//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID.
- projectNumber: l'ID numerico del progetto proprietario dell'account di servizio a cui è associata la chiave.
- serviceAccountId: l'ID numerico dell'account di servizio a cui è associata la chiave.
lastAuthenticatedTime: un timestamp che rappresenta la data in cui si è verificato l'evento di autenticazione più recente. L'ora in questo timestamp è sempre T07:00:00Z, indipendentemente dall'ora esatta dell'evento di autenticazione.

I risultati potrebbero non includere eventi di autenticazione molto recenti. Seleziona observationPeriod per visualizzare l'intervallo di date esatto utilizzato durante l'analisi. I risultati non includono gli eventi di autenticazione che si sono verificati al di fuori di questo intervallo.

Questo campo non è incluso per le chiavi dell'account di servizio che non sono mai state utilizzate.

Passaggi successivi

Esamina gli altri strumenti disponibili per comprendere l'utilizzo degli account di servizio.
Scopri come disattivare gli account di servizio o eliminarli.
Scopri come eliminare le chiavi dell'account di servizio.