全部产品
Search

搜索本产品

    Resource Access Management:Kelola Pengaturan Keamanan Pengguna RAM

    文档中心

    Resource Access Management:Kelola Pengaturan Keamanan Pengguna RAM

    更新时间:Oct 10, 2025

    Anda dapat mengonfigurasi pengaturan keamanan global untuk pengguna Resource Access Management (RAM) guna meningkatkan keamanan akun. Pengaturan ini mencakup opsi untuk kebijakan kata sandi, otentikasi multi-faktor (MFA), dan kontrol akses jaringan.

    Pengaturan keamanan global

    1. Masuk ke Konsol RAM sebagai pengguna RAM dengan hak administratif.

    2. Di bagian Security pada halaman Settings, klik Modify dan konfigurasikan parameter keamanan global di panel yang muncul.

      image

      Parameter

      Deskripsi

      Allow users to manage password

      Jika diaktifkan, memungkinkan pengguna RAM mengelola kata sandi konsol mereka sendiri.

      Allow users to manage MFA devices

      Jika diaktifkan, memungkinkan pengguna RAM mengikat atau melepas perangkat MFA virtual.

      Allow users to manage AccessKey

      Jika diaktifkan, memungkinkan pengguna RAM mengelola pasangan AccessKey mereka sendiri.

      Login session duration

      Menentukan durasi sesi log masuk konsol pengguna RAM. Satuan: jam. Nilai valid: 1 hingga 24. Nilai default: 6.

      Catatan

      Saat seorang pengguna masuk dengan mengasumsikan peran atau melalui single sign-on (SSO), durasi sesi tidak boleh melebihi nilai parameter ini. Untuk informasi lebih lanjut, lihat Asumsikan peran RAM dan Respon SAML untuk SSO berbasis peran.

      Allow to keep login session for a long time

      Jika diaktifkan, memungkinkan pengguna RAM mempertahankan sesi log masuk mereka di aplikasi Alibaba Cloud dan Klien Alibaba Cloud hingga 90 hari.

      Catatan

      Jika platform keamanan Alibaba Cloud mendeteksi log masuk tidak biasa, sesi menjadi tidak valid dan pengguna harus masuk kembali.

      Allow users to login with passkey

      Jika diaktifkan, memungkinkan pengguna RAM menggunakan passkey untuk masuk ke Konsol Manajemen Alibaba Cloud. Untuk informasi lebih lanjut, lihat Apa itu passkey?

      Max idle days for users

      Menentukan jumlah maksimum hari seorang pengguna RAM dapat tidak aktif sebelum log masuk konsol mereka (tidak termasuk SSO) dinonaktifkan secara otomatis. Satuan: hari. Nilai valid: 730, 365, 180, dan 90. Nilai default: 730.

      Log masuk konsol pengguna RAM dinonaktifkan secara otomatis ketika kedua kondisi berikut terpenuhi:

      • Pengguna telah tidak aktif lebih lama dari periode yang dikonfigurasi. Pengguna yang belum pernah masuk dianggap tidak aktif sejak tanggal pembuatan mereka.

      • Konfigurasi log masuk pengguna RAM belum diperbarui dalam 7 hari terakhir. Untuk informasi lebih lanjut, lihat Kelola pengaturan log masuk konsol untuk pengguna RAM.

      Perubahan pada parameter ini berlaku keesokan harinya.

      Max idle days for AccessKey

      Menentukan jumlah maksimum hari pasangan AccessKey (baik untuk Akun Alibaba Cloud maupun pengguna RAM) dapat tidak aktif sebelum dinonaktifkan secara otomatis. Satuan: hari. Nilai valid: 730, 365, 180, dan 90. Nilai default: 730.

      Pasangan AccessKey dinonaktifkan secara otomatis ketika kedua kondisi berikut terpenuhi:

      • Pasangan AccessKey telah tidak aktif lebih lama dari periode yang dikonfigurasi.

      • Status pasangan AccessKey belum diperbarui dalam 7 hari terakhir.

      Perubahan pada parameter ini berlaku keesokan harinya.

    3. Klik OK.

    Pengaturan MFA

    1. Masuk ke Konsol RAM sebagai pengguna RAM dengan hak administratif.

    2. Di bagian MFA pada halaman Settings, klik Modify dan konfigurasikan parameter MFA di panel yang muncul.

      image

      Parameter

      Deskripsi

      Allowed MFA devices

      Menentukan metode MFA yang dapat digunakan pengguna untuk otentikasi sekunder selama log masuk konsol atau operasi sensitif. Nilai valid:

      • MFA Devices: Menggunakan perangkat MFA virtual untuk otentikasi sekunder. Metode ini diaktifkan secara default dan tidak dapat dinonaktifkan.

      • Passkey: Menggunakan passkey untuk otentikasi sekunder. Metode ini diaktifkan secara default dan tidak dapat dinonaktifkan.

      • Secure Email: Menggunakan email aman untuk otentikasi sekunder. Metode ini hanya efektif setelah alamat email aman diikat ke pengguna RAM. Untuk informasi lebih lanjut, lihat bagian "Mengikat alamat email" di topik Kelola pengaturan keamanan pengguna RAM.

        Catatan

        This method is supported only for secondary authentication during sensitive operations.

      MFA for RAM user sign-in

      Menentukan apakah MFA diperlukan untuk semua pengguna RAM saat masuk konsol. Nilai valid:

      • Force all users: Memerlukan MFA untuk semua pengguna RAM saat masuk.

        Catatan

        Jika Anda memilih Force all users, otentikasi sekunder untuk operasi sensitif juga diaktifkan untuk semua pengguna RAM. Ini berarti bahwa ketika seorang pengguna melakukan operasi sensitif, mereka akan diminta untuk MFA. Untuk informasi lebih lanjut, lihat MFA untuk operasi sensitif.

      • Depend on each user: Mengikuti konfigurasi MFA setiap pengguna RAM individu. Untuk informasi lebih lanjut, lihat Kelola pengaturan log masuk konsol untuk pengguna RAM.

      • Only when sign-in abnormally: Memerlukan MFA hanya saat masuk dianggap tidak biasa, seperti dari lokasi atau perangkat baru.

        Catatan

        Jika parameter ini disetel ke Only when sign-in abnormally, kunci kondisi kebijakan acs:MFAPresent akan mengevaluasi false selama log masuk normal karena MFA tidak dilakukan. Untuk memastikan kunci kondisi ini bekerja seperti yang diharapkan, atur parameter ini ke Depend on each user.

      Allow to remember MFA validation for 7 days

      Jika diaktifkan, memungkinkan pengguna memilih opsi untuk mengingat status MFA mereka di perangkat tertentu selama 7 hari. Selama periode ini, pengguna tidak akan diminta untuk MFA di perangkat tersebut kecuali mereka keluar. Namun, jika pengguna RAM keluar dari perangkat saat ini, MFA diperlukan untuk masuk berikutnya.

    3. Klik OK.

    Pengaturan kontrol akses jaringan

    1. Masuk ke Konsol RAM sebagai pengguna RAM dengan hak administratif.

    2. Di bilah navigasi sisi kiri, klik Settings. Di bagian Network Access Control, konfigurasikan parameter Allowed network address while sign-in dan Allowed source network address while calling APIs by AccessKey.

      image

      Parameter

      Deskripsi

      Allowed network address while sign-in

      Menentukan daftar izin alamat IP dari mana pengguna dapat masuk ke konsol (menggunakan kata sandi atau SSO). Jika tidak ada alamat IP yang ditentukan, masuk diizinkan dari alamat IP apa pun. Anda dapat menentukan hingga 40 alamat IP.

      Allowed source network address while calling APIs by AccessKey

      Menentukan daftar izin alamat IP dari mana operasi API dapat dipanggil menggunakan pasangan AccessKey.

      Pengaturan ini membuat kebijakan tingkat akun yang berlaku untuk semua pasangan AccessKey, termasuk yang dimiliki oleh akun root dan semua pengguna RAM. Jika tidak ada alamat IP yang ditentukan, panggilan API diizinkan dari alamat IP apa pun. Anda juga dapat mengatur kebijakan kontrol akses untuk pasangan AccessKey individu, yang akan menimpa pengaturan tingkat akun ini.

      Untuk informasi lebih lanjut, lihat Konfigurasikan kebijakan berbasis pasangan AccessKey untuk kontrol akses jaringan.

    3. Klik OK.