背景:我在 GCP 中部署了第二代 Node.js 函数,在 HttpsOptions 对象中指定服务帐户,而不指定任何其他内容。
有没有办法检查哪个服务帐户密钥已用于此函数发出的请求?
我可以看到,自从该功能部署以来,已经生成并禁用了许多密钥,并且在某些情况下,密钥同时处于活动状态。
您可以使用云监控指标来监控服务帐户或服务帐户密钥的使用情况。
如果服务帐号和服务帐号密钥用于调用任何 Google API(包括不属于 Google Cloud 的 API),它们就会出现在这些指标中。这些指标包括成功和失败的 API 调用。如果系统在尝试验证请求时列出密钥,则服务帐户密钥也会出现在这些指标中,即使系统不使用密钥来验证请求。当使用 Cloud Storage 的签名 URL 或向第三方应用程序进行身份验证时,此行为最常见。因此,可以查看尚未用于身份验证的密钥的使用指标。还可以使用策略分析器查看服务帐户和密钥的最近使用情况
注意:此功能受服务特定条款的一般服务条款部分中的“正式发布前产品条款”的约束。正式发布前的功能“按原样”提供,并且可能提供有限的支持。有关更多信息,请参阅启动阶段描述。使用活动分析器查看您的服务帐户和密钥上次用于调用 Google API 的时间。这些用法称为身份验证活动。
最近的身份验证活动可以帮助您识别不再使用的服务帐户和服务帐户密钥。我们建议禁用或删除这些未使用的服务帐户和密钥,因为它们会造成不必要的安全风险。