Es gibt verschiedene Tools, mit denen Sie Authentifizierungsaktivitäten für Dienstkonten und Schlüssel nachvollziehen können. Auf dieser Seite werden die verfügbaren Tools und ihre Verwendung beschrieben.
Wenn Sie sehen möchten, wie Dienstkonten ihre Berechtigungen verwenden, und Dienstkonten mit zu vielen Berechtigungen identifizieren möchten, verwenden Sie Rollenempfehlungen. Weitere Informationen finden Sie unter Übersicht über Rollenempfehlungen.
Authentifizierungsaktivitäten
Jedes Mal, wenn ein Dienstkonto oder ein Schlüssel zum Aufrufen einer Google API verwendet wird, einschließlich einer API, die nicht Teil von Google Cloud ist, wird eine Authentifizierungsaktivität generiert. Mit den auf dieser Seite beschriebenen Tools können Sie diese Authentifizierungsaktivitäten im Blick behalten, um die Nutzung des Dienstkontos besser nachvollziehen zu können.
Authentifizierungsaktivitäten umfassen sowohl erfolgreiche als auch fehlgeschlagene API-Aufrufe. Wenn beispielsweise ein API-Aufruf fehlschlägt, weil der Aufrufer nicht berechtigt ist, diese API aufzurufen, oder weil die Anfrage auf eine Ressource verwiesen hat, die nicht existiert, zählt die Aktion trotzdem als Authentifizierungsaktivität für das Dienstkonto oder den Schlüssel, der für den API-Aufruf verwendet wurde.
Authentifizierungsaktivitäten für Dienstkontoschlüssel umfassen auch jedes Mal, wenn ein System die Schlüssel beim Authentifizieren einer Anfrage auflistet, auch wenn das System den Schlüssel nicht zur Authentifizierung der Anfrage verwendet. Dieses Verhalten ist besonders häufig bei der Verwendung signierter URLs für Cloud Storage oder bei der Authentifizierung der Anwendungen von Drittanbietern.
Mit HMAC-Authentifizierungsschlüsseln von Cloud Storage werden keine Authentifizierungsaktivitäten für Dienstkonten oder Dienstkontoschlüssel generiert.
Aktivitätsanalyse
Mit der Aktivitätsanalyse von Policy Intelligence können Sie die neuesten Authentifizierungsaktivitäten für Ihre Dienstkonten und Dienstkontoschlüssel aufrufen. Das Datum der letzten Authentifizierungsaktivität wird anhand der Zeitzone U.S. Pacific und der Zeitzone Pacific Time (UTC-8) bestimmt, auch wenn die Sommerzeit gilt.
Verwenden Sie die Aktivitätsanalyse, um nicht verwendete Dienstkonten und Schlüssel zu identifizieren. Mit der Aktivitätsanalyse können Sie selbst festlegen, was „nicht verwendet“ bedeutet. So kann beispielsweise eine Organisation „nicht verwendet“ als 90 Tage Inaktivität definieren, während eine andere Organisation „nicht verwendet“ als 30 Tage Inaktivität definiert.
Wir empfehlen, diese nicht verwendeten Dienstkonten und Schlüssel zu deaktivieren oder zu löschen, da sie ein unnötiges Sicherheitsrisiko darstellen.
Informationen zum Aufrufen von Authentifizierungsaktivitäten für Dienstkonten finden Sie unter Aktuelle Nutzung von Dienstkonten und Schlüsseln ansehen.
Dienstkontostatistiken
Der Recommender bietet Dienstkontostatistiken, mit denen Sie Dienstkonten in Ihrem Projekt ermitteln können, die in den letzten 90 Tagen nicht verwendet wurden. Mithilfe von Dienstkontostatistiken können Sie schnell nicht verwendete Dienstkonten ermitteln. Wir empfehlen, diese nicht verwendeten Dienstkonten zu deaktivieren oder zu löschen, da sie ein unnötiges Sicherheitsrisiko darstellen.
Informationen zur Verwendung von Statistiken zu Dienstkonten finden Sie unter Nicht verwendete Dienstkonten finden.
Messwerte zur Dienstkontonutzung
Cloud Monitoring bietet Nutzungsmesswerte für Ihre Dienstkonten und Dienstkontoschlüssel. In den Nutzungsmesswerten werden alle Authentifizierungsaktivitäten für Ihre Dienstkonten und Dienstkontoschlüssel erfasst.
Mithilfe von Messwerten zur Dienstkontonutzung können Sie die Nutzungsmuster von Dienstkonten im Zeitverlauf verfolgen. Anhand dieser Muster können Sie Anomalien erkennen – entweder automatisch oder manuell.
Informationen zum Aufrufen von Nutzungsmesswerten für Dienstkonten finden Sie in der IAM-Dokumentation unter Nutzungsmuster für Dienstkonten und Schlüssel überwachen.
Erkennung inaktiver Dienstkonten
Event Threat Detection erkennt und meldet, wenn ein inaktives Dienstkonto eine Aktion auslöst. Inaktive Dienstkonten sind Dienstkonten, die seit mehr als 180 Tagen inaktiv sind.
Diese Funktion ist nur für Security Command Center Premium-Kunden verfügbar.
Informationen zum Ansehen und Beheben von Ergebnissen zu inaktiven Dienstkontoaktionen finden Sie unter Bedrohungen untersuchen und darauf reagieren.