Es gibt verschiedene Tools, mit denen Sie Authentifizierungsaktivitäten für Dienstkonten und Schlüssel nachvollziehen können. Auf dieser Seite werden die verfügbaren Tools und ihre Verwendungszwecke beschrieben.
Wenn Sie sehen möchten, wie Dienstkonten ihre Berechtigungen verwenden, und Dienstkonten mit zu vielen Berechtigungen identifizieren möchten, verwenden Sie Rollempfehlungen. Weitere Informationen finden Sie unter Übersicht über Rollenempfehlungen.
Authentifizierungsaktivitäten
Jedes Mal, wenn ein Dienstkonto oder ein Schlüssel zum Aufrufen einer Google API verwendet wird, einschließlich einer API, die nicht Teil von Google Cloudist, wird eine Authentifizierungsaktivität generiert. Um die Nutzung von Dienstkonten nachzuvollziehen, können Sie die auf dieser Seite beschriebenen Tools verwenden, um diese Authentifizierungsaktivitäten zu verfolgen.
Authentifizierungsaktivitäten umfassen sowohl erfolgreiche als auch fehlgeschlagene API-Aufrufe. Wenn beispielsweise ein API-Aufruf fehlschlägt, weil der Aufrufer nicht berechtigt ist, diese API aufzurufen, oder weil die Anfrage auf eine Ressource verwiesen hat, die nicht existiert, zählt die Aktion trotzdem als Authentifizierungsaktivität für das Dienstkonto oder den Schlüssel, der für den API-Aufruf verwendet wurde.
Authentifizierungsaktivitäten für Dienstkontoschlüssel umfassen auch jedes Mal, wenn ein System die Schlüssel beim Authentifizieren einer Anfrage auflistet, auch wenn das System den Schlüssel nicht zur Authentifizierung der Anfrage verwendet. Dieses Verhalten ist besonders häufig bei der Verwendung signierter URLs für Cloud Storage oder bei der Authentifizierung der Anwendungen von Drittanbietern.
Mit HMAC-Authentifizierungsschlüsseln von Cloud Storage werden keine Authentifizierungsaktivitäten für Dienstkonten oder Dienstkontoschlüssel generiert.
Activity Analyzer
Mit der Aktivitätsanalyse von Policy Intelligence können Sie die letzten Authentifizierungsaktivitäten für Ihre Dienstkonten und Dienstkontoschlüssel ansehen. Das Datum der letzten Authentifizierungsaktivität wird anhand der Zeitzone U.S. Pacific und der Zeitzone Pacific Time (UTC-8) bestimmt, auch wenn die Sommerzeit gilt.
Mit der Aktivitätsanalyse können Sie nicht verwendete Dienstkonten und Schlüssel ermitteln. Mit der Aktivitätsanalyse können Sie selbst definieren, was es bedeutet, dass ein Dienstkonto oder ein Schlüssel „nicht verwendet“ wird. Einige Organisationen definieren „nicht verwendet“ beispielsweise als 90 Tage Inaktivität, andere als 30 Tage Inaktivität.
Wir empfehlen, diese nicht verwendeten Dienstkonten und Schlüssel zu deaktivieren oder zu löschen, da sie ein unnötiges Sicherheitsrisiko darstellen.
Informationen zum Aufrufen von Dienstkonto-Authentifizierungsaktivitäten finden Sie unter Aktuelle Nutzung von Dienstkonten und Schlüsseln ansehen.
Dienstkontostatistiken
Der Recommender bietet Statistiken zu Dienstkonten, mit denen Sie ermitteln können, welche Dienstkonten in Ihrem Projekt in den letzten 90 Tagen nicht verwendet wurden. Mit Dienstkontostatistiken können Sie schnell nicht verwendete Dienstkonten ermitteln. Wir empfehlen, diese nicht verwendeten Dienstkonten zu deaktivieren oder zu löschen, da sie ein unnötiges Sicherheitsrisiko darstellen.
Informationen zur Verwendung von Dienstkonto-Statistiken finden Sie unter Nicht verwendete Dienstkonten ermitteln.
Messwerte zur Dienstkontonutzung
Cloud Monitoring bietet Nutzungsmesswerte für Ihre Dienstkonten und Dienstkontoschlüssel. Nutzungsmesswerte enthalten Berichte zu jeder Authentifizierungsaktivität für Ihre Dienstkonten und Dienstkontoschlüssel.
Mit Messwerten zur Dienstkontonutzung können Sie Nutzungsmuster von Dienstkonten im Zeitverlauf nachvollziehen. Mithilfe dieser Muster können Sie Anomalien erkennen – entweder automatisch oder manuell.
Informationen zum Aufrufen von Nutzungsmesswerten für Dienstkonten finden Sie in der IAM-Dokumentation unter Nutzungsmuster für Dienstkonten und Schlüssel überwachen.
Erkennung inaktiver Dienstkonten
Event Threat Detection erkennt und meldet, wenn ein inaktives Dienstkonto eine Aktion auslöst. Inaktive Dienstkonten sind Dienstkonten, die seit mehr als 180 Tagen inaktiv sind.
Dieses Feature ist nur für Kunden mit Aktivierungen auf Organisationsebene der Premium- oder Enterprise-Stufe von Security Command Center verfügbar.
Informationen zum Ansehen und Beheben von Ergebnissen zu Aktionen in inaktiven Dienstkonten finden Sie unter Bedrohungen untersuchen und darauf reagieren.