Visualizzazione dell'utilizzo recente di chiavi e account di servizio

Questa pagina mostra come utilizzare Activity Analyzer per vedere quando i service account e le chiavi sono stati utilizzati l'ultima volta per chiamare un'API di Google. Questi utilizzi sono chiamati attività di autenticazione.

L'attività di autenticazione recente può aiutarti a identificare i service account e le chiavi del account di servizio che non utilizzi più. Ti consigliamo di disattivare o eliminare questi account di servizio e queste chiavi inutilizzati perché creano un rischio per la sicurezza non necessario.

Quando visualizzi l'utilizzo per i service account, tieni presente che le richieste autenticate da chiavi API associate ai service account non vengono registrate nelle metriche di utilizzo dei service account.

Prima di iniziare

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per elencare le attività di autenticazione più recenti per i tuoi service account e le chiavi dei account di servizio, chiedi all'amministratore di concederti il ruolo IAM Visualizzatore analisi attività (roles/policyanalyzer.activityAnalysisViewer) nel progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Questo ruolo predefinito contiene le autorizzazioni necessarie per elencare le attività di autenticazione più recenti per i tuoi service account e le chiavi del account di servizio. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per elencare le attività di autenticazione più recenti per i tuoi service account e le tue chiavi del account di servizio, sono richieste le seguenti autorizzazioni:

  • policyanalyzer.serviceAccountKeyLastAuthenticationActivities.query
  • policyanalyzer.serviceAccountLastAuthenticationActivities.query

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Visualizzare l'utilizzo recente di tutte le chiavi o di tutti i service account

Per elencare le date delle attività di autenticazione più recenti per tutti i tuoi service account o chiavi del account di servizio, utilizza Google Cloud CLI o l'API REST.

gcloud

Per elencare le attività di autenticazione più recenti per i tuoi service account o chiavi, utilizza il comando gcloud policy-intelligence query-activity:

gcloud policy-intelligence query-activity --activity-type=ACTIVITY_TYPE \
    --project=PROJECT_ID --limit=LIMIT

Sostituisci i seguenti valori:

  • ACTIVITY_TYPE: Il tipo di attività che vuoi elencare. Per elencare gli orari di utilizzo più recenti dei service account, utilizza serviceAccountLastAuthentication. Per elencare gli orari di utilizzo più recenti delle chiavi del account di servizio, utilizza serviceAccountKeyLastAuthentication.
  • PROJECT_ID: il tuo ID progetto Google Cloud . Gli ID progetto sono stringhe alfanumeriche, come my-project.
  • LIMIT: (Facoltativo). Il numero massimo di risultati da restituire. Il valore predefinito è 1000.

La risposta è simile alla seguente, che elenca i tempi di utilizzo recenti per gli account di servizio di un progetto:

---
activity:
  lastAuthenticatedTime: '2021-04-27T07:00:00Z'
  serviceAccount:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
    projectNumber: '123456789012'
    serviceAccountId: '123456789012345678901'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-03-12T07:00:00Z'
---
activity:
  lastAuthenticatedTime: '2021-02-09T08:00:00Z'
  serviceAccount:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com
    projectNumber: '123456789012'
    serviceAccountId: '234567890123456789012'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-09-01T07:00:00Z'

Per scoprire come interpretare questi risultati, consulta la sezione Comprendere le attività di questa pagina.

REST

Per elencare le attività di autenticazione più recenti per i tuoi service account o le tue chiavi, utilizza il metodo activities.query dell'API Policy Analyzer.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • PROJECT_ID: il tuo ID progetto Google Cloud . Gli ID progetto sono stringhe alfanumeriche, come my-project.
  • ACTIVITY_TYPE: Il tipo di attività che vuoi elencare. Per elencare gli utilizzi più recenti di tutti i tuoi service account, utilizza serviceAccountLastAuthentication. Per elencare gli utilizzi più recenti di tutte le chiavi del account di servizio, utilizza serviceAccountKeyLastAuthentication.
  • PAGE_SIZE: (Facoltativo). Il numero massimo di risultati da restituire da questa richiesta. Se non specificato, il server determinerà il numero di risultati da restituire. Se il numero di attività è maggiore della dimensione della pagina, la risposta contiene un token di impaginazione che puoi utilizzare per recuperare la pagina successiva dei risultati.
  • PAGE_TOKEN: (Facoltativo). Il token di paginazione restituito in una risposta precedente <0A> da questo metodo. Se specificato, l'elenco delle attività inizierà dal punto in cui terminava la richiesta precedente.

Metodo HTTP e URL: 

GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/ACTIVITY_TYPE/activities:query?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

Per inviare la richiesta, espandi una di queste opzioni:

La risposta è simile alla seguente, che elenca i tempi di utilizzo recenti per i service account di un progetto: 

{
  "activities": [
    {
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
      "activityType": "serviceAccountLastAuthentication",
      "observationPeriod": {
        "startTime": "2020-04-20T07:00:00Z",
        "endTime": "2021-05-17T07:00:00Z"
      },
      "activity": {
        "lastAuthenticatedTime": "2021-04-28T07:00:00Z",
        "serviceAccount": {
          "projectNumber": "123456789012",
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
          "serviceAccountId": "123456789012345678901"
        }
      }
    },
    {
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com",
      "activityType": "serviceAccountLastAuthentication",
      "observationPeriod": {
        "startTime": "2020-04-20T07:00:00Z",
        "endTime": "2021-05-17T07:00:00Z"
      },
      "activity": {
        "lastAuthenticatedTime": "2021-04-29T07:00:00Z",
        "serviceAccount": {
          "projectNumber": "123456789012",
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com",
          "serviceAccountId": "234567890123456789012"
        }
      }
    }
  ],
  "nextPageToken": "AVgRrQV4b5nISN6cGJvTPFJ2v_"
}

Per scoprire come interpretare questi risultati, consulta la sezione Comprendere le attività di questa pagina.

Visualizzazione dell'utilizzo recente di service account specifici

Per trovare l'ultima data di utilizzo di service account specifici, utilizza la consoleGoogle Cloud , gcloud CLI o l'API REST.

Console

  1. Nella console Google Cloud , vai alla pagina Policy Analyzer.

    Vai all'analizzatore criteri

  2. Nella sezione Analizza l'attività recente, individua il riquadro con l'etichetta Quando è stato utilizzato questo account di servizio l'ultima volta? e fai clic su Crea query in questo riquadro.

  3. Nella casella Seleziona ambito query, inserisci il nome del progetto di cui vuoi analizzare i service account.

  4. Nella sezione Aggiungi account di servizio, fai clic sulla casella Account di servizio. Viene visualizzato un elenco di tutti i service account nel tuo progetto. L'elenco include anche il progetto a cui è associato ogni account di servizio e l'indirizzo email di ciascun account di servizio.

  5. Seleziona l'account di servizio per cui vuoi visualizzare l'utilizzo recente.

  6. (Facoltativo) Per visualizzare l'utilizzo recente di più di un account di servizio, fai clic su Aggiungi account e seleziona un altroaccount di serviziot. Puoi analizzare fino a 10 service account alla volta.

  7. Nel riquadro Query per le attività di accesso, fai clic su Esegui query.

La pagina dei risultati mostra l'utilizzo più recente degli account di servizio. Per scoprire come interpretare questi risultati, consulta la sezione Comprendere le attività di questa pagina.

gcloud

Per ottenere l'attività di autenticazione più recente per service account specifici, utilizza il comando gcloud policy-intelligence query-activity con un filtro:

gcloud policy-intelligence query-activity --activity-type=serviceAccountLastAuthentication \
    --project=PROJECT_ID \
    --query-filter='FILTER'

Sostituisci i seguenti valori:

  • PROJECT_ID: il tuo ID progetto Google Cloud . Gli ID progetto sono stringhe alfanumeriche, come my-project.

  • FILTER: un filtro che specifica i nomi completi delle risorse degli account di servizio di cui vuoi visualizzare l'utilizzo. Il nome completo della risorsa di un account di servizio include l'ID progetto e l'indirizzo email del service account.

    Per filtrare in base a un singolo account di servizio, utilizza un filtro con il seguente formato:

    activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL"

    Per filtrare più service account, utilizza OR per specificare più nomi di risorse completi accettabili:

    activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_1_EMAIL" OR activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_2_EMAIL"

    Puoi filtrare fino a 10 service account.

La risposta descrive l'utilizzo più recente degli account di servizio:

---
activity:
  lastAuthenticatedTime: '2021-04-27T07:00:00Z'
  serviceAccount:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
    projectNumber: '123456789012'
    serviceAccountId: '123456789012345678901'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-03-12T07:00:00Z'

Per scoprire come interpretare questi risultati, consulta la sezione Comprendere le attività di questa pagina.

REST

Per ottenere l'attività di autenticazione più recente per service account specifici, utilizza il metodo activities.query dell'API Policy Analyzer.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • PROJECT_ID: il tuo ID progetto Google Cloud . Gli ID progetto sono stringhe alfanumeriche, come my-project.

  • FILTER: un filtro che specifica i nomi completi delle risorse dei service account di cui vuoi visualizzare l'utilizzo.

    Per filtrare in base a un singolo account di servizio, utilizza un filtro con il seguente formato: 

    activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_EMAIL%22

    Per filtrare più service account, utilizza %20OR%20 per specificare più nomi di risorse completi accettabili: 

    activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_1_EMAIL%22%20OR%20activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_2_EMAIL%22

Metodo HTTP e URL: 

GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountLastAuthentication/activities:query?filter=FILTER

Per inviare la richiesta, espandi una di queste opzioni:

La risposta descrive l'utilizzo più recente degli account di servizio: 

{
  "activities": [
    {
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
      "activityType": "serviceAccountLastAuthentication",
      "observationPeriod": {
        "startTime": "2020-04-20T07:00:00Z",
        "endTime": "2021-05-17T07:00:00Z"
      },
      "activity": {
        "lastAuthenticatedTime": "2021-04-28T07:00:00Z",
        "serviceAccount": {
          "projectNumber": "123456789012",
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
          "serviceAccountId": "123456789012345678901"
        }
      }
    }
  ]
}

Visualizzazione dell'utilizzo recente di chiavi del account di servizio specifiche

Per trovare l'ultima data di utilizzo di chiavi dell'account di servizio specifiche, identifica la chiave dell'account di servizio per cui vuoi visualizzare l'utilizzo recente, quindi crea una query utilizzando questo ID.

Se hai un file di chiavi JSON, puoi trovare l'ID univoco di una chiave dell'account di servizio nel campo private_key_id del file.

Se non hai un file della chiave JSON, puoi trovare l'ID univoco di una chiave dell'account di servizio seguendo questi passaggi:

Console

  1. Nella console Google Cloud , vai alla pagina Policy Analyzer.

    Vai all'analizzatore criteri

  2. Nella sezione Analizza l'attività recente, individua il riquadro con l'etichetta Quando è stata utilizzata la chiave di questo account di servizio l'ultima volta? e fai clic su Crea query in questo riquadro.

  3. Nella casella Seleziona ambito query, inserisci il nome del progetto di cui vuoi analizzare le chiavi del account di servizio.

  4. Nella sezione Aggiungi account di servizio account, fai clic sulla casella Chiave del service account. Viene visualizzato un elenco di tutte le chiavi dei account di servizio nel tuo progetto. L'elenco include anche il progetto e account di servizio a cui è associata ogni chiave.

  5. Seleziona il tasto di cui vuoi visualizzare l'utilizzo recente.

  6. (Facoltativo) Per visualizzare l'utilizzo recente di più di una chiave, fai clic su Aggiungi chiave e seleziona un'altra chiave. Puoi analizzare fino a 10 tasti alla volta.

  7. Nel riquadro Query per le attività di accesso, fai clic su Esegui query.

La pagina dei risultati mostra l'utilizzo più recente delle chiavi del account di servizio. Per scoprire come interpretare questi risultati, consulta la sezione Comprendere le attività di questa pagina.

gcloud

Innanzitutto, identifica la chiave dell'account di servizio di cui vuoi visualizzare l'utilizzo recente:

  1. Elenca le chiavi del account di servizio.

    Prima di utilizzare i dati dei comandi riportati di seguito, apporta le seguenti sostituzioni:

    • SERVICE_ACCOUNT_EMAIL: L'indirizzo email del account di servizio a cui è associata la chiave.

    Esegui il comando gcloud iam service-accounts keys list:

    Linux, macOS o Cloud Shell

    gcloud iam service-accounts keys list --iam-account=SERVICE_ACCOUNT_EMAIL

    Windows (PowerShell)

    gcloud iam service-accounts keys list --iam-account=SERVICE_ACCOUNT_EMAIL

    Windows (cmd.exe)

    gcloud iam service-accounts keys list --iam-account=SERVICE_ACCOUNT_EMAIL

    L'output mostra un elenco di tutte le chiavi create dall'utente associate all'account di servizio, inclusi l'ID univoco, l'ora di creazione e l'ora di scadenza di ogni chiave.

  2. Utilizza i dati nell'output per identificare la chiave che vuoi monitorare e copiarne l'ID univoco.

Dopo aver trovato gli ID univoci delle chiavi del account di servizio, utilizzali per filtrare i risultati di Activity Analyzer:

Per ottenere l'attività di autenticazione più recente per chiavi del account di servizio specifiche, utilizza il comando gcloud policy-intelligence query-activity con un filtro.

Prima di utilizzare i dati dei comandi riportati di seguito, apporta le seguenti sostituzioni:

  • PROJECT_ID: il tuo ID progetto Google Cloud . Gli ID progetto sono stringhe alfanumeriche, come my-project.

  • FILTER: un filtro che specifica i nomi completi delle risorse delle chiavi dell'account di servizio di cui vuoi visualizzare l'utilizzo. Il nome completo della risorsa di una chiave del account di servizio include l'ID progetto, l'indirizzo email del account di servizio associato alla chiave e l'ID chiave.

    Per filtrare in base a una singola chiave dell'account di servizio, utilizza un filtro con il seguente formato: 

    activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID"

    Per filtrare più chiavi del account di servizio, utilizza OR per specificare più nomi di risorse completi accettabili: 

    activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_1_EMAIL/keys/KEY_ID_1" OR activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_2_EMAIL/keys/KEY_ID_2"

    Puoi filtrare fino a 10 chiavi del account di servizio.

Esegui questo comando:

Linux, macOS o Cloud Shell

gcloud policy-intelligence query-activity --activity-type=serviceAccountKeyLastAuthentication \
    --project=PROJECT_ID \
    --query-filter='FILTER'

Windows (PowerShell)

gcloud policy-intelligence query-activity --activity-type=serviceAccountKeyLastAuthentication `
    --project=PROJECT_ID `
    --query-filter='FILTER'

Windows (cmd.exe)

gcloud policy-intelligence query-activity --activity-type=serviceAccountKeyLastAuthentication ^
    --project=PROJECT_ID ^
    --query-filter='FILTER'

Dovresti ricevere una risposta simile alla seguente:

activity:
  lastAuthenticatedTime: '2021-06-11T07:00:00Z'
  serviceAccountKey:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c
    projectNumber: '232342569935'
    serviceAccountId: '103185812403937829397'
activityType: serviceAccountKeyLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-09-10T07:00:00Z'

Questa risposta descrive l'utilizzo più recente delle chiavi del account di servizio. Per scoprire come interpretare questi risultati, consulta la sezione Comprendere le attività di questa pagina.

REST

Innanzitutto, identifica la chiave dell'account di servizio di cui vuoi visualizzare l'utilizzo recente:

  1. Elenca le chiavi del account di servizio:

    Per elencare tutte le chiavi del account di servizio per un account di servizio, utilizza il metodo projects.serviceAccounts.keys.list dell'API IAM.

    Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

    • PROJECT_ID: il tuo ID progetto Google Cloud . Gli ID progetto sono stringhe alfanumeriche, come my-project.
    • SA_NAME: il nome del account di servizio di cui vuoi elencare le chiavi.
    • KEY_TYPES: (Facoltativo). Un elenco separato da virgole dei tipi di chiavi che vuoi includere nella risposta. Il tipo di chiave indica se una chiave è gestita dall'utente (USER_MANAGED) o dal sistema (SYSTEM_MANAGED). Se lasciato vuoto, vengono restituite tutte le chiavi.

    Metodo HTTP e URL: 

    GET https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_NAME@PROJECT_ID.iam.gserviceaccount.com/keys?keyTypes=KEY_TYPES

    Per inviare la richiesta, espandi una di queste opzioni:

    La risposta descrive l'utilizzo più recente delle chiavi del account di servizio: 

    {
  "keys": [
    {
      "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/90c48f61c65cd56224a12ab18e6ee9ca9c3aee7c",
      "validAfterTime": "2020-03-04T17:39:47Z",
      "validBeforeTime": "9999-12-31T23:59:59Z",
      "keyAlgorithm": "KEY_ALG_RSA_2048",
      "keyOrigin": "GOOGLE_PROVIDED",
      "keyType": "USER_MANAGED"
    },
    {
      "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/e5e3800831ac1adc8a5849da7d827b4724b1fce8",
      "validAfterTime": "2020-03-31T23:50:09Z",
      "validBeforeTime": "9999-12-31T23:59:59Z",
      "keyAlgorithm": "KEY_ALG_RSA_2048",
      "keyOrigin": "GOOGLE_PROVIDED",
      "keyType": "USER_MANAGED"
    },
    {
      "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/b97699f042b8eee6a846f4f96259fbcd13e2682e",
      "validAfterTime": "2020-05-17T18:58:13Z",
      "validBeforeTime": "9999-12-31T23:59:59Z",
      "keyAlgorithm": "KEY_ALG_RSA_2048",
      "keyOrigin": "GOOGLE_PROVIDED",
      "keyType": "USER_MANAGED",
      "disabled": true
    }
  ]
}

  2. Utilizza i metadati nella risposta per identificare la chiave che vuoi monitorare. Poi, copia l'ID univoco della chiave dalla fine del campo name.

    Il campo name ha il seguente formato:

    "name": "projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID"

    L'ID univoco della chiave è tutto ciò che segue keys/.

    Ad esempio, l'ID univoco nel seguente nome della chiave è 0f561cc41650ff521899de2fd653bd3de08e2da4:

    "name": "projects/my-project/serviceAccounts/my-account@my-project.iam.gserviceaccount.com/keys/0f561cc41650ff521899de2fd653bd3de08e2da4"

Dopo aver trovato gli ID univoci delle chiavi del account di servizio, utilizzali per filtrare i risultati di Activity Analyzer:

Per ottenere l'attività di autenticazione più recente per chiavi del account di servizio specifiche, utilizza il metodo activities.query dell'API Policy Analyzer.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • PROJECT_ID: il tuo ID progetto Google Cloud . Gli ID progetto sono stringhe alfanumeriche, come my-project.

  • FILTER: un filtro che specifica i nomi completi delle risorse delle chiavi dell'account di servizio di cui vuoi visualizzare l'utilizzo. Il nome completo della risorsa di una chiave del account di servizio include l'ID progetto, l'indirizzo email del account di servizio associato alla chiave e l'ID chiave.

    Per filtrare in base a una singola chiave dell'account di servizio, utilizza un filtro con il seguente formato: 

    activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_EMAIL%2Fkeys%2FKEY_ID%22

    Per filtrare più chiavi del account di servizio, utilizza %20OR%20 per specificare più nomi di risorse completi accettabili: 

    activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_1_EMAIL%2Fkeys%2FKEY_ID_1%22%20OR%20activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_2_EMAIL%2Fkeys%2FKEY_ID_2%22

    Puoi filtrare fino a 10 chiavi del account di servizio.

Metodo HTTP e URL: 

GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountKeyLastAuthentication/activities:query?filter=FILTER

Per inviare la richiesta, espandi una di queste opzioni:

La risposta descrive l'utilizzo più recente delle chiavi del account di servizio: 

{
  "activities": [
    {
      "activity": {
        "lastAuthenticatedTime": "2021-06-11T07:00:00Z",
        "serviceAccountKey": {
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c",
          "projectNumber": "123456789012",
          "serviceAccountId": "123456789012345678901"
        }
      },
      "activityType": "serviceAccountKeyLastAuthentication",
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1t@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c",
      "observationPeriod": {
        "endTime": "2021-07-06T07:00:00Z",
        "startTime": "2020-04-20T07:00:00Z"
      }
    }
  ]
}

Per scoprire come interpretare questi risultati, consulta la sezione Comprendere le attività di questa pagina.

Informazioni sulle attività

Console

La pagina dei risultati della query elenca i parametri di ricerca e i risultati della query.

Per una query dell'account di servizio, la tabella dei risultati elenca ogni account di servizio della query e la data dell'ultima autenticazione:

Per una query sulle chiavi del account di servizio, la tabella dei risultati elenca ogni chiave del account di servizio della query, il account di servizio a cui è associata e l'ultima autenticazione.

I risultati potrebbero non includere eventi di autenticazione molto recenti. Controlla la descrizione comando per visualizzare l'intervallo di date esatto utilizzato durante l'analisi. I risultati non includono gli eventi di autenticazione che si sono verificati al di fuori di questo intervallo.

La tabella dei risultati per entrambe le query elenca anche i ruoli IAM che ilaccount di serviziot ha nel progetto, insieme a eventuali approfondimenti sulla sicurezza. Questi insight evidenziano i pattern di accesso alle risorse da parte dei tuoi service account. Ad esempio, alcuni approfondimenti evidenziano le autorizzazioni in eccesso o le autorizzazioni di cui un principal non ha bisogno. Altri approfondimenti evidenziano i service account con autorizzazioni di spostamento laterale o autorizzazioni che consentono al account di servizio di rappresentare un account di servizio in un altro progetto.

Alcuni approfondimenti includono anche suggerimenti per i ruoli che consigliano modifiche da apportare per ridurre le autorizzazioni in eccesso. Per scoprire come gestire i consigli e gli approfondimenti, vedi Esaminare e applicare i consigli.

gcloud

Activity Analyzer mostra i risultati come un elenco di attività. Le attività hanno i seguenti campi:

  • fullResourceName: il nome completo della risorsa del account di servizio o della chiave del service account la cui attività viene segnalata. Questo formato è descritto nelle sezioni seguenti e in Nomi completi delle risorse.
  • activityType: il tipo di attività segnalata. Per l'attività di autenticazione recente del account di servizio, il valore è serviceAccountLastAuthentication. Per l'attività di autenticazione recente della chiave del account di servizio, il valore è serviceAccountKeyLastAuthentication.
  • observationPeriod: ora di inizio e di fine che indicano l'intervallo di tempo per il quale è stata osservata l'attività delaccount di serviziot o della chiave. L'ora in questi timestamp è sempre T07:00:00Z.
  • activity: i dettagli dell'attività. Il contenuto di questo campo varia in base al tipo di attività. Per maggiori dettagli, consulta le sezioni seguenti.

Dettagli delle attività del account di servizio

Il campo activity per le attività serviceAccountLastAuthentication contiene i seguenti campi:

  • serviceAccount: dettagli sul account di servizio la cui attività viene segnalata, tra cui:

    • fullResourceName: il nome completo della risorsa del service account, nel formato //iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL.
    • projectNumber: l'ID numerico del progetto proprietario del account di servizio.
    • serviceAccountId: L'ID numerico del service account.

  • lastAuthenticatedTime: un timestamp che rappresenta la data in cui si è verificato l'evento di autenticazione più recente. L'ora in questo timestamp è sempre T07:00:00Z, indipendentemente dall'ora esatta dell'evento di autenticazione.

    I risultati potrebbero non includere eventi di autenticazione molto recenti. Controlla observationPeriod per visualizzare l'intervallo di date esatto utilizzato durante l'analisi. I risultati non includono gli eventi di autenticazione che si sono verificati al di fuori di questo intervallo.

    Questo campo non è incluso per i service account che non sono mai stati utilizzati.

Dettagli delle attività della chiave del account di servizio

Il campo activity per le attività serviceAccountKeyLastAuthentication contiene i seguenti campi:

  • serviceAccountKey: dettagli sulla chiave del account di servizio la cui attività viene segnalata, tra cui:

    • fullResourceName: il nome completo della risorsa della chiave dell'account di servizio, nel formato //iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID.
    • projectNumber: l'ID numerico del progetto proprietario del account di serviziot a cui è associata la chiave.
    • serviceAccountId: l'ID numerico del account di servizio a cui è associata la chiave.

  • lastAuthenticatedTime: un timestamp che rappresenta la data in cui si è verificato l'evento di autenticazione più recente. L'ora in questo timestamp è sempre T07:00:00Z, indipendentemente dall'ora esatta dell'evento di autenticazione.

    I risultati potrebbero non includere eventi di autenticazione molto recenti. Controlla observationPeriod per visualizzare l'intervallo di date esatto utilizzato durante l'analisi. I risultati non includono gli eventi di autenticazione che si sono verificati al di fuori di questo intervallo.

    Questo campo non è incluso per le chiavi del account di servizio che non sono mai state utilizzate.

REST

Activity Analyzer mostra i risultati come un elenco di attività. Le attività hanno i seguenti campi:

  • fullResourceName: il nome completo della risorsa del account di servizio o della chiave del service account la cui attività viene segnalata. Questo formato è descritto nelle sezioni seguenti e in Nomi completi delle risorse.
  • activityType: il tipo di attività segnalata. Per l'attività di autenticazione recente del account di servizio, il valore è serviceAccountLastAuthentication. Per l'attività di autenticazione recente della chiave del account di servizio, il valore è serviceAccountKeyLastAuthentication.
  • observationPeriod: ora di inizio e di fine che indicano l'intervallo di tempo per il quale è stata osservata l'attività delaccount di serviziot o della chiave. L'ora in questi timestamp è sempre T07:00:00Z.
  • activity: i dettagli dell'attività. Il contenuto di questo campo varia in base al tipo di attività. Per maggiori dettagli, consulta le sezioni seguenti.

Dettagli delle attività del account di servizio

Il campo activity per le attività serviceAccountLastAuthentication contiene i seguenti campi:

  • serviceAccount: dettagli sul account di servizio la cui attività viene segnalata, tra cui:

    • fullResourceName: il nome completo della risorsa del service account, nel formato //iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL.
    • projectNumber: l'ID numerico del progetto proprietario del account di servizio.
    • serviceAccountId: L'ID numerico del service account.

  • lastAuthenticatedTime: un timestamp che rappresenta la data in cui si è verificato l'evento di autenticazione più recente. L'ora in questo timestamp è sempre T07:00:00Z, indipendentemente dall'ora esatta dell'evento di autenticazione.

    I risultati potrebbero non includere eventi di autenticazione molto recenti. Controlla observationPeriod per visualizzare l'intervallo di date esatto utilizzato durante l'analisi. I risultati non includono gli eventi di autenticazione che si sono verificati al di fuori di questo intervallo.

    Questo campo non è incluso per i service account che non sono mai stati utilizzati.

Dettagli delle attività della chiave del account di servizio

Il campo activity per le attività serviceAccountKeyLastAuthentication contiene i seguenti campi:

  • serviceAccountKey: dettagli sulla chiave del account di servizio la cui attività viene segnalata, tra cui:

    • fullResourceName: il nome completo della risorsa della chiave dell'account di servizio, nel formato //iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID.
    • projectNumber: l'ID numerico del progetto proprietario del account di serviziot a cui è associata la chiave.
    • serviceAccountId: l'ID numerico del account di servizio a cui è associata la chiave.

  • lastAuthenticatedTime: un timestamp che rappresenta la data in cui si è verificato l'evento di autenticazione più recente. L'ora in questo timestamp è sempre T07:00:00Z, indipendentemente dall'ora esatta dell'evento di autenticazione.

    I risultati potrebbero non includere eventi di autenticazione molto recenti. Controlla observationPeriod per visualizzare l'intervallo di date esatto utilizzato durante l'analisi. I risultati non includono gli eventi di autenticazione che si sono verificati al di fuori di questo intervallo.

    Questo campo non è incluso per le chiavi del account di servizio che non sono mai state utilizzate.

Passaggi successivi