您可以使用多種工具,瞭解服務帳戶和金鑰的驗證活動。本頁面將說明可用的工具及其用途。
如要查看服務帳戶如何使用權限,並找出權限過多的服務帳戶,請使用角色建議。詳情請參閱「角色建議總覽」。
驗證活動
每當使用服務帳戶或金鑰呼叫 Google API (包括不屬於 Google Cloud的 API) 時,系統就會產生驗證活動。如要瞭解服務帳戶的使用情形,您可以使用本頁所述的工具追蹤這些驗證活動。
驗證活動包括成功和失敗的 API 呼叫。舉例來說,如果 API 呼叫失敗,可能是因為呼叫端未獲准呼叫該 API,或是要求參照的資源不存在,但這項操作仍會計為服務帳戶或用於該 API 呼叫的金鑰的驗證活動。
服務帳戶金鑰的驗證活動也包括系統在嘗試驗證要求時列出金鑰的任何時間,即使系統未使用金鑰驗證要求也一樣。使用 Cloud Storage 的已簽署網址或向第三方應用程式進行驗證時,最常會發生這種行為。
Cloud Storage HMAC 驗證金鑰不會為服務帳戶或服務帳戶金鑰產生驗證活動。
活動分析器
您可以使用 Policy Intelligence 的活動分析工具,查看服務帳戶和服務帳戶金鑰的最近驗證活動。即使是太平洋夏令時間,系統仍會根據美國和加拿大太平洋標準時間 (UTC-8) 判定最近一次驗證活動的日期。
使用 Activity Analyzer 找出未使用的服務帳戶和金鑰。您可以使用 Activity Analyzer 自行定義服務帳戶或金鑰「未使用」的意思。舉例來說,部分機構可能將「未使用」定義為 90 天未使用,其他機構則可能將「未使用」定義為 30 天未使用。
這些未使用的服務帳戶和金鑰會造成不必要的安全風險,因此建議您停用或刪除這些帳戶和金鑰。
如要瞭解如何查看服務帳戶驗證活動,請參閱「查看服務帳戶和金鑰的近期使用情形」。
服務帳戶深入分析
推薦工具會提供服務帳戶深入分析資料,找出專案中過去 90 天未使用的服務帳戶。使用服務帳戶深入分析功能,快速找出未使用的服務帳戶。這些未使用的服務帳戶會造成不必要的安全性風險,因此建議您停用或刪除這些帳戶。
如要瞭解如何使用服務帳戶洞察資料,請參閱「找出未使用的服務帳戶」。
服務帳戶使用量指標
Cloud Monitoring 會提供服務帳戶和服務帳戶金鑰的用量指標。用量指標會回報服務帳戶和服務帳戶金鑰的每項驗證活動。
使用服務帳戶使用量指標,追蹤服務帳戶的長期使用模式。這些模式可協助您自動或手動找出異常。
如要瞭解如何查看服務帳戶用量指標,請參閱 IAM 說明文件中的「監控服務帳戶和金鑰的使用模式」。
偵測休眠服務帳戶
Event Threat Detection 會偵測並回報閒置的服務帳戶何時觸發動作。停滯服務帳戶是指服務帳戶閒置超過 180 天。
這項功能僅適用於在機構層級啟用 Security Command Center 進階或企業方案的客戶。
如要瞭解如何查看及修正閒置服務帳戶動作的檢測結果,請參閱「調查及回應威脅」。