Untuk meningkatkan keamanan masuk bagi semua RAM user di Akun Alibaba Cloud Anda serta memenuhi persyaratan keamanan dan kepatuhan perusahaan, Anda dapat mengonfigurasi kebijakan kata sandi terpadu. Kebijakan ini mencakup aturan mengenai panjang kata sandi, periode validitas kata sandi, dan riwayat kata sandi. Topik ini menjelaskan cara mengonfigurasi kebijakan tersebut serta menyediakan praktik terbaik.
Kebijakan kata sandi merupakan pengaturan global tingkat akun. Setelah diubah, kebijakan ini berlaku untuk semua RAM user dalam Akun Alibaba Cloud saat ini. RAM tidak mendukung kebijakan kata sandi yang berbeda untuk kelompok pengguna atau Pengguna individu yang berbeda.
Catatan penggunaan
Sebelum mengonfigurasi kebijakan kata sandi, perhatikan hal-hal berikut:
Cakupan kebijakan: Kebijakan kata sandi hanya berlaku untuk RAM user yang masuk ke Konsol menggunakan username dan password. Kebijakan ini tidak berpengaruh pada akses programatik yang menggunakan AccessKey.
Kapan perubahan kebijakan mulai berlaku: Setelah Anda mengubah kebijakan kata sandi—misalnya dengan menambah panjang minimal kata sandi atau menetapkan periode kedaluwarsa—pengguna yang sudah ada tidak langsung dipaksa mengganti kata sandinya. Kebijakan baru akan diberlakukan saat pengguna diminta mengganti kata sandi berikutnya saat masuk atau ketika mereka secara manual mengatur ulang kata sandinya.
Skenario masuk khusus:
Integrasi SSO: Jika perusahaan Anda menggunakan penyedia identitas (IdP) untuk integrasi Single Sign-On (SSO) dengan Alibaba Cloud, Anda tidak perlu menetapkan kata sandi masuk untuk RAM user. Namun, jika Anda tetap mengonfigurasi kata sandi masuk untuk RAM user, kata sandi tersebut tetap tunduk pada kebijakan kata sandi dan dapat digunakan untuk masuk setelah SSO dinonaktifkan.
Alibaba Cloud tidak menyimpan password Anda dalam teks biasa. Sistem hanya menyimpan nilai hash yang telah diberi salt melalui enkripsi satu arah. Nilai ini tidak dapat dikembalikan menjadi password aslinya, sehingga password Anda tetap aman.
Prosedur
Sebagai akun root atau RAM user dengan izin administrator RAM (AliyunRAMFullAccess), Anda dapat mengonfigurasi atau mengubah kebijakan kata sandi terpadu untuk semua RAM user.
Konsol
Masuk ke RAM console.
Pada halaman Settings, di bagian Password Policy, klik Modify untuk mengonfigurasi aturan kata sandi.
Klik OK.
API
Panggil operasi GetPasswordPolicy untuk melihat kebijakan kata sandi saat ini.
Panggil operasi SetPasswordPolicy untuk mengubah kebijakan kata sandi.
Parameter kebijakan kata sandi
Parameter | Deskripsi | Bawaan | Rekomendasi |
Password length | Jumlah minimum karakter yang diperlukan dalam sebuah password. Nilai yang valid: 8 hingga 32. | 8 | |
Required character types | Jenis karakter yang harus disertakan dalam password. Opsi mencakup huruf kapital, huruf kecil, angka, dan simbol. | Disabled | Kami merekomendasikan memilih minimal tiga jenis karakter. |
Minimum unique characters | Jumlah minimum karakter unik yang diperlukan dalam password. Nilai maksimum: 8. Misalnya, jika Anda menetapkan nilai ini menjadi 3, password seperti | Disabled | Tetapkan nilai ini menjadi 4 atau lebih tinggi untuk mencegah password lemah yang dibuat dari pengulangan karakter. |
Do not contain username | Mencegah password mengandung username. | Disabled | Kami merekomendasikan agar Anda mengaktifkan pengaturan ini. |
Disable login after password expiration | Menentukan apakah pengguna dengan password kedaluwarsa masih dapat masuk ke Konsol untuk menggantinya. Jika diaktifkan, pengguna harus menghubungi administrator untuk reset their password sebelum dapat masuk kembali. | Disabled | Menetapkan password validity period atau initial password validity period dapat menyebabkan beberapa password langsung kedaluwarsa. Untuk menghindari gangguan masuk, kami merekomendasikan agar Anda tidak mengaktifkan pengaturan ini saat menyesuaikan periode validitas tersebut. |
Password validity period | Jumlah maksimum hari penggunaan password sebelum kedaluwarsa. Satuan: hari. Nilai maksimum: 1095. Catatan Mengatur ulang password akan memulai ulang periode validitasnya. | Disabled | Kami merekomendasikan periode 90 hari atau kurang. |
Initial Password Max Age | Mengontrol periode validitas initial password. Jika pengguna tidak berhasil masuk setidaknya sekali dalam periode ini, initial password secara otomatis kedaluwarsa. Anda dapat menetapkan periode dari 0 hingga 90 hari. Nilai 0 menonaktifkan kebijakan ini. | 14 hari | Kami merekomendasikan mempertahankan nilai bawaan 14 hari. Periode validitas initial password sebaiknya tidak melebihi password validity period. |
Password history | Menentukan apakah pengguna dicegah menggunakan kembali password yang baru-baru ini digunakan. Anda dapat mencegah penggunaan ulang hingga 24 password terakhir. | Disabled | |
Password retry attempts | Jumlah maksimum percobaan masuk yang berturut-turut gagal dalam satu jam sebelum akun dikunci selama satu jam. Nilai maksimum: 32. Catatan Mengatur ulang password akan menghapus hitungan percobaan masuk yang gagal. | Disabled | Kami merekomendasikan maksimal 5 percobaan. |
Intercept Risk Password From API | Jika diaktifkan, sistem melakukan penilaian risiko terhadap password yang ditetapkan melalui parameter | Disabled | Sebelum mengaktifkan pengaturan ini, tinjau skrip dan program otomatisasi yang ada untuk memastikan password yang ditetapkan dapat lolos penilaian risiko. Setelah fitur ini diaktifkan, panggilan API yang mencoba menetapkan password lemah akan gagal, yang dapat mengganggu alur kerja pembuatan pengguna atau pengaturan ulang password. |