您可以使用多種工具,瞭解服務帳戶和金鑰的驗證活動。本頁面說明可用的工具及其用途。
如要查看服務帳戶如何使用權限,並找出權限過多的服務帳戶,請使用角色建議。詳情請參閱「角色建議總覽」。
驗證活動
每當使用服務帳戶或金鑰呼叫 Google API (包括不屬於 Google Cloud的 API) 時,系統都會產生驗證活動。如要瞭解服務帳戶的使用情形,可以運用本頁面所述工具追蹤這些驗證活動。
驗證活動包括成功和失敗的 API 呼叫。舉例來說,如果 API 呼叫失敗,是因為呼叫端未獲授權呼叫該 API,或是因為要求參照不存在的資源,則該動作仍會計為服務帳戶或金鑰的驗證活動,而這些服務帳戶或金鑰用於該 API 呼叫。
服務帳戶金鑰的驗證活動也包括系統嘗試驗證要求時列出金鑰的任何時間,即使系統未使用金鑰驗證要求也算在內。使用 Cloud Storage 簽署網址或向第三方應用程式驗證時,最常發生這種情況。
Cloud Storage HMAC 驗證金鑰不會為服務帳戶或服務帳戶金鑰產生驗證活動。
活動分析工具
透過 Policy Intelligence 的活動分析工具,您可以查看服務帳戶和服務帳戶金鑰的最近驗證活動。系統會根據美國和加拿大太平洋標準時間 (UTC-8) 判斷最近一次的驗證活動日期,即使當時實施太平洋夏令時間也一樣。
使用活動分析工具找出未使用的服務帳戶和金鑰。您可以透過「活動分析器」,根據自己的定義判斷服務帳戶或金鑰是否「未使用」。舉例來說,有些機構可能會將「未使用」定義為 90 天沒有活動,有些則可能定義為 30 天沒有活動。
建議您停用或刪除這些未使用的服務帳戶和金鑰,因為這會造成不必要的安全風險。
如要瞭解如何查看服務帳戶的驗證活動,請參閱「查看服務帳戶和金鑰的近期使用情形」。
服務帳戶深入分析
建議引擎會提供服務帳戶洞察資料,找出專案中過去 90 天內未使用的服務帳戶。使用服務帳戶洞察資料,快速找出未使用的服務帳戶。我們建議停用或刪除這些未使用的服務帳戶,因為這會造成不必要的安全風險。
如要瞭解如何使用服務帳戶洞察資料,請參閱「找出未使用的服務帳戶」。
服務帳戶使用指標
Cloud Monitoring 提供服務帳戶和服務帳戶金鑰的用量指標。用量指標會針對服務帳戶和服務帳戶金鑰,回報每項驗證活動。
使用服務帳戶用量指標,追蹤一段時間內的服務帳戶用量模式。這些模式可協助您自動或手動找出異常情況。
如要瞭解如何查看服務帳戶用量指標,請參閱 IAM 說明文件中的「監控服務帳戶和金鑰的使用模式」。
偵測休眠服務帳戶
Event Threat Detection 會偵測並回報閒置服務帳戶觸發動作的情況。如果服務帳戶閒置超過 180 天,就會變成停滯帳戶。
這項功能僅適用於在機構層級啟用 Security Command Center 進階或 Enterprise 方案的客戶。
如要瞭解如何查看及修正閒置服務帳戶動作的調查結果,請參閱調查及因應威脅。