All Products
Search

This Product

    Resource Access Management:Kelola pengaturan login konsol

    Document Center

    Resource Access Management:Kelola pengaturan login konsol

    Last Updated:Apr 02, 2026

    Anda dapat mengelola pengaturan logon konsol untuk pengguna Resource Access Management (RAM) guna mengontrol akses mereka ke Alibaba Cloud Management Console, termasuk mengaktifkan atau menonaktifkan akses konsol, mengelola kata sandi, serta mewajibkan multi-factor authentication (MFA) sesuai persyaratan keamanan dan kepatuhan Anda.

    Ikhtisar

    Pengaturan logon konsol untuk pengguna RAM menentukan kemampuan mereka mengakses Alibaba Cloud Management Console dan tindakan keamanan yang diterapkan saat logon. Pengaturan ini hanya berlaku untuk logon konsol dan tidak memengaruhi akses programatik yang menggunakan Pasangan Kunci Akses (AccessKey pairs).

    Parameter

    Description

    Console Access

    Mengontrol apakah pengguna RAM dapat login ke Alibaba Cloud Management Console.

    Set Logon Password

    Menetapkan atau mengatur ulang password logon konsol untuk pengguna RAM.

    Password Reset

    Mewajibkan pengguna mengganti password mereka pada login berikutnya.

    Enable MFA

    Mewajibkan pengguna menggunakan MFA untuk login.

    Catatan

    Pengaturan ini tidak berlaku untuk pengguna RAM yang login melalui single sign-on (SSO) dari penyedia identitas eksternal (IdP).

    Aktifkan logon konsol

    Secara default, pengguna RAM tidak dapat login ke konsol. Sebelum pengguna RAM dapat login dengan kata sandi, Anda harus terlebih dahulu mengaktifkan akses konsol dan menetapkan kata sandi awal.

    Konsol

    1. Login ke RAM console sebagai administrator RAM.

    2. Di panel navigasi sebelah kiri, pilih Identities > Users.

    3. Pada halaman Users, klik pengguna RAM yang dituju.

    4. Pilih tab Authentication. Di bagian Login Profile, klik Enable Console Logon.

    5. Pada kotak dialog Enable Console Logon, konfigurasikan parameter berikut:

      • Console Access: Pilih Enabled.

      • Set Logon Password: Pilih Automatically Regenerate Default Password atau Reset Custom Password.

      • Password Reset: Tentukan apakah pengguna harus mengganti kata sandi mereka pada login berikutnya. Saat menetapkan kata sandi awal, kami menyarankan Anda memilih opsi ini.

      • Enable MFA: Tentukan apakah MFA diwajibkan. Jika Anda memilih Required, pengguna harus mengikat perangkat MFA pada login berikutnya. Kami sangat menyarankan agar MFA diwajibkan.

    6. Klik OK.

    API

    Untuk mengaktifkan logon konsol dan menetapkan kata sandi awal bagi pengguna RAM, panggil operasi CreateLoginProfile. Hal ini memerlukan izin ram:CreateLoginProfile.

    Lihat pengaturan logon konsol

    Administrator dapat melihat konfigurasi logon pengguna RAM, termasuk status akses konsol dan pengaturan MFA.

    Konsol

    1. Login ke RAM console sebagai administrator RAM.

    2. Di panel navigasi sebelah kiri, pilih Identities > Users.

    3. Pada halaman Users, klik pengguna RAM yang dituju.

    4. Pilih tab Authentication. Di bagian Login Profile, Anda dapat melihat pengaturan berikut:

      • Console Access: Menampilkan status akses saat ini (misalnya Unset, Inactive, atau Active).

      • Last Logined Time: Waktu terakhir pengguna RAM berhasil login. Gunakan informasi ini untuk mengaudit akun yang tidak aktif.

      • MFA Required: Menunjukkan apakah MFA diwajibkan untuk login.

        Catatan

        Beberapa faktor menentukan apakah pengguna RAM harus menggunakan MFA, dievaluasi berdasarkan urutan prioritas berikut:

        1. Kebijakan MFA global diatur ke Force all users. Untuk informasi lebih lanjut, lihat Manage security settings.

        2. Pengaturan logon untuk pengguna RAM individual mewajibkan MFA.

        3. Pengguna telah mengikat perangkat MFA.

        Jika tidak ada kondisi tersebut yang terpenuhi, pengguna akan diminta untuk mengikat perangkat MFA pada setiap login, tetapi pengikatan bersifat opsional.

      • Password: Menunjukkan apakah pengguna RAM harus mengganti kata sandi mereka pada login berikutnya.

      • Password: Menampilkan status kata sandi saat ini untuk pengguna RAM. Untuk informasi lebih lanjut, lihat bagian "What are initial passwords" dalam topik ini.

        • Initial Password Available: Kata sandi merupakan kata sandi awal dan belum kedaluwarsa.

        • Initial Password Expired: Kata sandi awal telah kedaluwarsa. Pengguna tidak dapat login.

        • Not Initial Password: Kata sandi merupakan kata sandi standar, yang hanya tunduk pada periode kedaluwarsa kata sandi reguler.

      • Console Sign-in: URL login khusus untuk pengguna RAM.

    API

    Untuk melihat pengaturan logon konsol pengguna RAM, panggil operasi GetLoginProfile. Hal ini memerlukan izin ram:GetLoginProfile.

    Ubah pengaturan logon konsol

    Administrator dapat mengubah pengaturan logon pengguna RAM, seperti mengatur ulang kata sandi atau menonaktifkan akses konsol.

    Konsol

    1. Login ke RAM console sebagai administrator RAM.

    2. Di panel navigasi sebelah kiri, pilih Identities > Users.

    3. Pada halaman Users, klik pengguna RAM yang dituju.

    4. Pilih tab Authentication. Di bagian Login Profile, klik Modify Logon Settings.

    5. Pada kotak dialog Modify Logon Settings, ubah parameter sesuai kebutuhan. Misalnya, Anda dapat mengatur Console Access menjadi Disabled.

      Penting

      • Jika Anda menonaktifkan logon konsol, pengguna RAM dan semua sesi aktif untuk peran RAM yang diasumsikan oleh pengguna tersebut akan segera dihentikan.

      • Menonaktifkan logon konsol juga mencegah pengguna login menggunakan passkey.

    6. Klik OK.

    API

    Untuk mengubah pengaturan logon konsol pengguna RAM, panggil operasi UpdateLoginProfile. Hal ini memerlukan izin ram:UpdateLoginProfile.

    Hapus pengaturan logon konsol

    Menghapus pengaturan logon pengguna RAM secara permanen akan menghapus seluruh informasi logon konsol, termasuk kata sandi mereka. Tindakan ini mencegah pengguna login ke konsol.

    Peringatan

    Tindakan ini tidak dapat dikembalikan. Tindakan ini segera menghentikan sesi konsol pengguna RAM saat ini dan semua sesi peran aktif. Lakukan dengan hati-hati.

    Konsol

    1. Login ke RAM console sebagai administrator RAM.

    2. Di panel navigasi sebelah kiri, pilih Identities > Users.

    3. Pada halaman Users, klik pengguna RAM yang dituju.

    4. Pilih tab Authentication. Di bagian Login Profile, klik Remove Logon Settings.

    5. Pada kotak dialog konfirmasi, klik OK.

    API

    Untuk menghapus pengaturan logon konsol pengguna RAM, panggil operasi DeleteLoginProfile. Hal ini memerlukan izin ram:DeleteLoginProfile.

    Catatan

    Menghapus pengaturan logon tidak memengaruhi Pasangan Kunci Akses (AccessKey pairs), passkey, atau ikatan perangkat MFA pengguna RAM.

    Praktik keamanan terbaik

    • Wajibkan MFA: Selalu wajibkan MFA untuk pengguna RAM yang perlu mengakses konsol. Ini adalah salah satu cara paling efektif untuk melindungi akun Anda.

    • Wajibkan penggantian kata sandi awal: Saat menetapkan kata sandi awal untuk pengguna RAM baru, selalu pilih opsi Required at Next Logon.

    • Pisahkan identitas manusia dan mesin: Untuk akses programatik (seperti pipeline CI/CD atau aplikasi), buat pengguna RAM khusus dan jangan aktifkan logon konsol untuk mereka.

    • Audit akun tidak aktif: Tinjau secara berkala waktu Last Console Logon pengguna RAM dan nonaktifkan akses konsol untuk akun yang tidak lagi aktif.

    FAQ

    Apa perbedaan antara menonaktifkan dan menghapus pengaturan logon?

    Menonaktifkan logon adalah tindakan sementara yang dapat dikembalikan dan tetap menyimpan kata sandi pengguna RAM. Menghapus pengaturan logon adalah tindakan permanen yang tidak dapat dikembalikan dan menghapus seluruh informasi logon konsol pengguna.

    Apakah menonaktifkan logon konsol memengaruhi Pasangan Kunci Akses (AccessKey pairs)?

    Tidak. Akses konsol dan akses programatik bersifat independen. Untuk mencegah pengguna RAM melakukan panggilan API, Anda harus menonaktifkan atau menghapus Pasangan Kunci Akses mereka.

    Apa yang terjadi pada sesi aktif pengguna RAM jika saya mengubah password mereka atau menonaktifkan logon konsol?

    Tindakan tersebut segera menghentikan sesi konsol pengguna saat ini dan semua sesi peran RAM aktif yang diasumsikan oleh pengguna tersebut. Hal ini dapat mengganggu operasi yang sedang berlangsung.

    Dapatkah pengguna RAM mengatur ulang sendiri password yang lupa?

    Tidak, pengguna RAM tidak dapat mengatur ulang kata sandi konsol mereka sendiri. Administrator RAM harus mengatur ulang kata sandi tersebut untuk mereka. Untuk petunjuknya, lihat Change the password for a RAM user.

    Bagaimana administrator RAM dapat menemukan waktu login terakhir pengguna?

    Anda dapat menemukan waktu login terakhir dengan dua cara:

    • Konsol: Di halaman detail pengguna, pilih tab Authentication dan temukan waktu Last Console Logon di bagian Login Profile.

    • API: Panggil operasi GetLoginProfile. Tanggapan berisi bidang LastLoginTime.

    Apa itu password awal?

    Untuk mengurangi risiko keamanan dari akun tidak aktif, RAM menggunakan mekanisme "kata sandi awal". Kata sandi yang ditetapkan oleh administrator dianggap sebagai kata sandi awal dan memiliki periode validitas default 14 hari. Jika pengguna tidak login dan mengganti kata sandi mereka dalam periode ini, kata sandi tersebut secara otomatis kedaluwarsa dan harus diatur ulang oleh administrator.

    Kata sandi dianggap sebagai kata sandi awal jika:

    • Ditetapkan saat logon konsol pertama kali diaktifkan untuk pengguna.

    • Diatur ulang oleh administrator sebelum pengguna berhasil login dengan kata sandi awal sebelumnya.

    Anda dapat mengubah periode validitas kata sandi awal di kebijakan kata sandi global akun Anda.

    Bagaimana cara memeriksa status password awal pengguna RAM?

    Di halaman detail pengguna, pilih tab Authentication dan temukan Password Status di bagian Login Profile. Jika statusnya Initial Password Expired, pengguna tidak dapat login dengan kata sandi saat ini, dan administrator harus mengaturnya ulang.