Existen varias herramientas diferentes que puedes usar para comprender las actividades de autenticación de las cuentas de servicio y las claves. En esta página, se describen las herramientas disponibles y sus usos previstos.
Si quieres ver cómo las cuentas de servicio usan sus permisos y, luego, identificar las cuentas de servicio con privilegios excesivos, usa las recomendaciones de roles. Para obtener más información, consulta Descripción general de las recomendaciones de roles.
Actividades de autenticación
Cada vez que se usa una cuenta de servicio o una clave para llamar a una API de Google, incluida una API que no forma parte de Google Cloud, se genera una actividad de autenticación. Para comprender el uso de las cuentas de servicio, puedes hacer un seguimiento de estas actividades de autenticación con las herramientas que se describen en esta página.
Las actividades de autenticación incluyen llamadas a la API correctas y fallidas. Por ejemplo, si una llamada a la API falla porque el emisor no está autorizado a llamar a esa API, o porque la solicitud hace referencia a un recurso que no existe, la acción igualmente se considera una actividad de autenticación de la cuenta de servicio o la clave que se usó para esa llamada a la API.
Las actividades de autenticación de las claves de cuentas de servicio también se incluyen cada vez que un sistema las enumera mientras intenta autenticar una solicitud, incluso si el sistema no las usa para autenticar la solicitud. Este comportamiento es más común cuando se usan URL firmadas para Cloud Storage o cuando se autentica en aplicaciones de terceros.
Las claves de autenticación de HMAC de Cloud Storage no generan actividades de autenticación para cuentas de servicio ni para claves de cuenta de servicio.
Analizador de actividades
El Analizador de actividad de Policy Intelligence te permite ver las actividades de autenticación más recientes de tus cuentas de servicio y claves de cuenta de servicio. La fecha de la actividad de autenticación más reciente se determina en función de la hora estándar del Pacífico de EE.UU. y Canadá (UTC-8), incluso cuando está vigente la hora de verano del Pacífico.
Usa el Analizador de actividades para identificar las cuentas de servicio y las claves sin usar. Con el Analizador de actividad, puedes usar tu propia definición de lo que significa que una cuenta de servicio o clave esté "sin usar". Por ejemplo, algunas organizaciones podrían definir "sin usar" como 90 días de inactividad, mientras que otras podrían definir "sin usar" como 30 días de inactividad.
Te recomendamos inhabilitar o borrar estas cuentas de servicio y claves sin usar, ya que generan un riesgo de seguridad innecesario.
Para obtener información sobre cómo ver las actividades de autenticación de la cuenta de servicio, consulta Cómo ver el uso reciente de las cuentas de servicio y sus claves.
Estadísticas de cuentas de servicio
El recomendador proporciona estadísticas de las cuentas de servicio, que identifican las cuentas de servicio de tu proyecto que no se usaron en los últimos 90 días. Usa las estadísticas de la cuenta de servicio para identificar rápidamente las cuentas de servicio sin usar. Te recomendamos inhabilitar o borrar estas cuentas de servicio sin usar, ya que generan un riesgo de seguridad innecesario.
Para obtener información sobre cómo usar las estadísticas de las cuentas de servicio, consulta Cómo encontrar cuentas de servicio sin usar.
Métricas de uso de la cuenta de servicio
Cloud Monitoring proporciona métricas de uso para tus cuentas de servicio y claves de cuenta de servicio. Las métricas de uso registran cada actividad de autenticación de tus cuentas de servicio y claves de cuenta de servicio.
Usa las métricas de uso de la cuenta de servicio para hacer un seguimiento de los patrones de uso de la cuenta de servicio a lo largo del tiempo. Estos patrones pueden ayudarte a identificar anomalías de forma automática o manual.
Para obtener información sobre cómo ver las métricas de uso de las cuentas de servicio, consulta Supervisa los patrones de uso de las cuentas de servicio y las claves en la documentación de IAM.
Detección de cuentas de servicio inactivas
Event Threat Detection detecta y, luego, informa cuando una cuenta de servicio inactiva activa una acción. Las cuentas de servicio inactivas son cuentas de servicio que han estado inactivas durante más de 180 días.
Esta función solo está disponible para los clientes de Security Command Center Premium.
Para obtener información sobre cómo ver y corregir los resultados de las acciones de cuentas de servicio inactivas, consulta Cómo investigar y responder a amenazas.