本トピックでは、RAM 管理者や RAM ユーザーなど、異なるロールがコンソールまたは API 呼び出しにより RAM ユーザーのログインパスワードを変更する方法について説明します。このプロシージャは、セキュリティ要件を満たすための定期的なパスワードローテーション、またはパスワードの忘れ・有効期限切れ・アカウントロックによるリセットに役立ちます。
影響
RAM ユーザーのログインパスワードを変更すると、以下の影響があります。本操作は非ピーク時間帯に実行してください。
強制的なコンソールサインアウト: RAM ユーザーのすべてのアクティブなコンソールセッションが即時に終了します。ユーザーは新しいパスワードで再度サインインする必要があります。
関連セッションの終了: ユーザーが引き受けた RAM ロールのアクティブなセッションもすべて終了します。
AccessKey には影響なし: ユーザーの AccessKey は影響を受けません。
弱いパスワードの検出とブロック
RAM ユーザーのログインパスワードを作成または変更する際、Resource Access Management (RAM) は継続的に更新される弱いパスワードのライブラリと照合し、チェックを行います。このチェックでは暗号化された比較が用いられ、高リスクの弱いパスワードを特定してブロックします。Alibaba Cloud はプレーンテキストパスワードにアクセスせず、送信・保存することもありません。パスワード強度要件を満たしていても、RAM は弱いと判定されたパスワードをブロックすることがあります。パスワードポリシーの設定方法については、「RAM ユーザー向けパスワードポリシーの設定」をご参照ください。
コンソール
検出タイミング: 「カスタムパスワード」を選択して変更を送信した際にチェックがトリガーされます。自動生成パスワードは弱さチェックの対象外です。以下のようなシナリオに該当します:
管理者が新規ユーザーを作成し、ログインパスワードを設定する場合。
管理者がユーザーのログインパスワードをリセットする場合。
ユーザーが初回サインイン時またはパスワードの有効期限切れ後にパスワードをリセットするよう求められる場合。
ユーザーが自らログインパスワードを変更する場合。
ブロック動作: パスワードが弱いと判定された場合、システムはそのパスワードをブロックし、別のパスワードの入力を求めます。パスワード強度ポリシーを満たし、かつ弱いと判定されない新しいパスワードを入力する必要があります。
API
前提条件: パスワードポリシーで「API を使用したパスワード設定時のリスクパスワードのブロック」を有効化する必要があります。このオプションはデフォルトで無効です。詳細については、「RAM ユーザー向けパスワードポリシーの設定」をご参照ください。
対象となる API オペレーション: CreateLoginProfile、UpdateLoginProfile、および ChangePassword の各オペレーションです。この機能が有効な場合、
PasswordまたはNewPasswordパラメーターに弱いパスワードが指定されると、API 呼び出しは失敗します。エラー応答: API はエラーコード
InvalidParameter.RiskPassword.Weakを返します。これはパスワードが弱いと判定されたことを示します。{ "RequestId": "7348E639-3A47-593D-9914-D7A9729D****", "HostId": "ims.aliyuncs.com", "Code": "InvalidParameter.RiskPassword.Weak", "Message": "The specified password was detected as a weak password, please set a stronger password.", "Recommend": "https://api.aliyun.com/troubleshoot?q=InvalidParameter.RiskPassword.Weak&product=Ims&requestId=7348E639-3A47-593D-9914-D7A9729D****" }
RAM 管理者としてパスワードを変更する
Alibaba Cloud アカウントまたは RAM 管理者権限(AliyunRAMFullAccess)を持つ RAM ユーザーとして、RAM ユーザーの初期パスワードを設定したり、忘れられたパスワードをリセットしたりできます。
コンソール
RAM コンソール にログインします。
左側のナビゲーションウィンドウで、 を選択します。
ユーザー ページで、対象の RAM ユーザーの名前をクリックします。
認証管理 タブで、ユーザーのログイン認証情報を管理できます。セキュリティ上の理由から、RAM では既存のパスワードを表示することはできません。リセットのみ可能です。表示されるボタンはユーザーのステータスによって異なります:
ユーザーのコンソールログインが未設定の場合(「RAM ユーザーのコンソールログイン設定の管理」で説明)は、コンソールログインの有効化 をクリックして初期ログインパスワードを設定します。
ユーザーのコンソールログインがすでに有効な場合は、ログイン設定の変更 をクリックして RAM ユーザーのパスワードを変更します。
表示された ログイン設定の変更 パネルで、ログインパスワードの設定 セクションに新しいパスワードを設定します。
現在のパスワードを維持する を選択すると、パスワードは変更されません。
デフォルトパスワードの自動再発行 を選択すると、システムが新しいパスワードを生成します。新しいパスワードを記録し、安全に保管してください。
重要自動生成パスワードは一度だけ表示されます。パネルを閉じると取得できなくなるため、直ちにコピーし、ユーザーに安全に配信してください。
カスタムパスワードのリセット を選択し、新しいパスワードを入力します。新しいパスワードは、現在のパスワード強度ポリシーに準拠している必要があります。Alibaba Cloud のデフォルトパスワードポリシーでは、パスワードの長さは 8 文字以上 32 文字以下と定められています。パスワードポリシーの確認または変更については、「RAM ユーザー向けパスワードポリシーの設定」をご参照ください。
説明カスタムパスワードは弱さチェックの対象となります。弱いパスワードが検出された場合、コンソールは変更をブロックします。ルールおよび動作の詳細については、「弱いパスワードの検出とブロック」をご参照ください。
(任意)パスワードのリセット セクションで、次回ログイン時に必要 を選択します。これは、初期パスワードをユーザーに安全に配信する際に有効です。
OK をクリックします。
API
GetPasswordPolicy オペレーションを呼び出すか、コンソールにログインして、ご自身のアカウントにおける RAM ユーザー向けパスワード強度ポリシーを確認します。詳細については、「RAM ユーザー向けパスワードポリシーの設定」をご参照ください。
ユーザーのステータスに応じて次の操作を行います:
ユーザーのコンソールログインが未設定の場合(「RAM ユーザーのコンソールログイン設定の管理」で説明)は、CreateLoginProfile オペレーションを呼び出して初期ログインパスワードを設定します。
ユーザーのコンソールログインがすでに有効な場合は、UpdateLoginProfile オペレーションを呼び出し、
Passwordパラメーターに新しいパスワードを指定します。
CreateLoginProfile または UpdateLoginProfile オペレーションを呼び出す際、アカウントで「API を使用したパスワード設定時のリスクパスワードのブロック」オプションが有効になっている場合、Password パラメーターに弱いパスワードが指定されると、API 呼び出しは失敗します。詳細については、「弱いパスワードの検出とブロック」をご参照ください。
自身のパスワードを変更する
RAM 管理者が RAM ユーザーによる自身のパスワード管理を許可しており、現在のログインパスワードを覚えている場合、コンソールにログインしてパスワードを変更できます。
前提条件
RAM 管理者が ユーザーによるパスワード変更を許可 の設定を有効化している必要があります。このオプションはデフォルトで有効です。無効化されている場合、自身のパスワードを変更できません。この設定を有効化するには、AliyunRAMFullAccess 権限を持つ Alibaba Cloud アカウントまたは RAM 管理者に連絡してください。管理者は以下の手順に従って設定を有効化できます。詳細については、「RAM ユーザー向けセキュリティ設定の管理」をご参照ください。
コンソール
RAM コンソール にログインします。
左側のナビゲーションウィンドウで、設定項目 を選択します。グローバルセキュリティ セクションで、変更 をクリックして、ユーザーによるパスワード変更を許可 の設定を構成します。
API
SetSecurityPreference オペレーションを呼び出し、AllowUserToChangePassword パラメーターを true に設定します。
自身のパスワードを変更する
コンソール
RAM ユーザーとして、RAM ユーザーログイン ページに移動し、ログインします。
右上隅のプロフィール画像にマウスを合わせ、セキュリティ設定 をクリックします。
ログイン情報 セクションで、パスワード管理 をクリックし、その後 パスワードの変更 をクリックします。
旧パスワードと新パスワードを入力し、OK をクリックします。
説明新しいパスワードは弱さチェックの対象となります。弱いパスワードが検出された場合、コンソールは変更をブロックします。ルールおよび動作の詳細については、「弱いパスワードの検出とブロック」をご参照ください。
API
ChangePassword オペレーションを呼び出します。
ChangePassword オペレーションを呼び出す際、アカウントで「API を使用したパスワード設定時のリスクパスワードのブロック」オプションが有効になっている場合、NewPassword パラメーターに弱いパスワードが指定されると、API 呼び出しは失敗します。詳細については、「弱いパスワードの検出とブロック」をご参照ください。