您可以使用多种不同的工具来了解服务账号和密钥的身份验证活动。本页介绍了可用的工具及其预期用途。
如果您想查看服务账号如何使用其权限并识别拥有过多权限的服务账号,请使用角色建议。如需了解详情,请参阅角色建议概览。
身份验证活动
每当使用服务账号或密钥调用 Google API(包括不属于 Google Cloud 的 API)时,都会生成一次身份验证活动。如需了解服务账号使用情况,您可以使用本页面中介绍的工具跟踪这些身份验证活动。
身份验证活动既包括成功的 API 调用,也包括失败的 API 调用。例如,如果由于调用者无权调用相应 API 或者由于请求引用了不存在的资源而导致 API 调用失败,则该操作仍会计为用于该 API 调用的服务账号或密钥的身份验证活动。
服务账号密钥的身份验证活动还包括每次系统尝试对请求进行身份验证时列出密钥时的情况,即使系统不使用密钥对请求进行身份验证也是如此。当使用 Cloud Storage 签名网址或向第三方应用进行身份验证时,此行为最常见。
Cloud Storage HMAC 身份验证密钥不会为服务账号或服务账号密钥生成身份验证活动。
Activity 分析器
借助 Policy Intelligence 的活动分析器,您可以查看服务账号和服务账号密钥的最新身份验证活动。近期身份验证活动的日期是根据美国和加拿大太平洋标准时间 (UTC-8) 确定的,即使太平洋夏令时生效也是如此。
使用活动分析器识别未使用的服务账号和密钥。借助活动分析器,您可以自行定义服务账号或密钥处于“未使用”状态的含义。例如,有些组织可能会将“未使用的”定义为连续 90 天无活动,而其他组织可能会将“未使用的”定义为连续 30 天无活动。
我们建议您停用或删除这些未使用的服务账号和密钥,因为它们会带来不必要的安全风险。
如需了解如何查看服务账号身份验证活动,请参阅查看服务账号和密钥的近期使用情况。
服务账号数据分析
Recommender 会提供服务账号数据分析,以识别项目中过去 90 天内未使用的服务账号。使用服务账号数据分析可快速识别未使用的服务账号。我们建议您停用或删除这些未使用的服务账号,因为它们会带来不必要的安全风险。
如需了解如何使用服务账号数据分析,请参阅查找未使用的服务账号。
服务账号使用情况指标
Cloud Monitoring 会提供服务账号和服务账号密钥的使用情况指标。使用情况指标会报告服务账号和服务账号密钥的每项身份验证活动。
使用服务账号使用情况指标跟踪服务账号使用模式随时间的变化。这些模式可帮助您自动或手动识别异常情况。
如需了解如何查看服务账号使用情况指标,请参阅 IAM 文档中的监控服务账号和密钥的使用情况模式。
休眠服务账号检测
Event Threat Detection 会检测休眠服务账号触发操作的情况,并进行报告。休眠服务账号是处于非活跃状态超过 180 天的服务账号。
此功能仅适用于 Security Command Center 高级方案客户。
如需了解如何查看和修复闲置服务账号操作发现结果,请参阅调查和响应威胁。