SetSecurityPreference - - Alibaba Cloud ドキュメントセンター

RAM ユーザーのセキュリティプリファレンスを設定します。

操作説明

この Topic では、異常なログインを開始した RAM ユーザーに対してのみ多要素認証 (MFA) を有効にする方法の例を説明します。

今すぐお試しください

この API を OpenAPI Explorer でお試しください。手作業による署名は必要ありません。呼び出しに成功すると、入力したパラメーターに基づき、資格情報が組み込まれた SDK コードが自動的に生成されます。このコードをダウンロードしてローカルで使用できます。

テスト

RAM 認証

下表に、この API を呼び出すために必要な認証情報を示します。認証情報は、RAM (Resource Access Management) ポリシーを使用して定義できます。以下で各列名について説明します。

アクション：特定のリソースに対して実行可能な操作。ポリシー構文ではAction要素として指定します。
API：アクションを具体的に実行するための API。
アクセスレベル：各 API に対して事前定義されているアクセスの種類。有効な値：create、list、get、update、delete。
リソースタイプ：アクションが作用するリソースの種類。リソースレベルでの権限をサポートするかどうかを示すことができます。ポリシーの有効性を確保するため、アクションの対象として適切なリソースを指定してください。
- リソースレベルの権限を持つ API の場合、必要なリソースタイプはアスタリスク (*) でマークされます。ポリシーのResource要素で対応する ARN を指定してください。
- リソースレベルの権限を持たない API の場合、「すべてのリソース」と表示され、ポリシーのResource要素でアスタリスク (*) でマークされます。
条件キー：サービスによって定義された条件のキー。このキーにより、きめ細やかなアクセス制御が可能になります。この制御は、アクション単体に適用することも、特定のリソースに対するアクションに適用することもできます。Alibaba Cloud は、サービス固有の条件キーに加えて、すべての RAM 統合サービスに適用可能な一連の共通条件キーを提供しています。
依存アクション：ある特定のアクションを実行するために、前提として実行が必要となる他のアクション。依存アクションの権限も RAM ユーザーまたは RAM ロールに付与する必要があります。

アクション

アクセスレベル

リソースタイプ

条件キー

依存アクション

ram:SetSecurityPreference

update

*All Resource

*

ram:MFAOperationForLogin

なし

リクエストパラメーター

パラメーター	型	必須 / 任意	説明	例
EnableSaveMFATicket	boolean	任意	RAM ユーザーが MFA デバイスを 7 日間記憶できるかどうかを指定します。有効な値： true false (デフォルト)	false
AllowUserToChangePassword	boolean	任意	RAM ユーザーが自分のパスワードを変更できるかどうかを指定します。有効な値： true (デフォルト) false	true
AllowUserToManageAccessKeys	boolean	任意	RAM ユーザーが自分の AccessKey ペアを管理できるかどうかを指定します。有効な値： true false (デフォルト)	false
AllowUserToManageMFADevices	boolean	任意	RAM ユーザーが自分の MFA デバイスを管理できるかどうかを指定します。有効な値： true (デフォルト) false	true
LoginSessionDuration	integer	任意	RAM ユーザーのログインセッションの有効期間。有効な値：1～24。単位：時間。デフォルト値：6。	6
LoginNetworkMasks	string	任意	Alibaba Cloud マネジメントコンソールにログインできる IP アドレスを指定するサブネットマスク。このパラメーターは、パスワードベースのログインとシングルサインオン (SSO) に有効です。このパラメーターは、AccessKey ペアを使用して認証される API 呼び出しには有効ではありません。サブネットマスクを指定した場合、RAM ユーザーはサブネットマスク内の IP アドレスのみを使用して Alibaba Cloud マネジメントコンソールにログインできます。サブネットマスクを指定しない場合、RAM ユーザーはすべての IP アドレスを使用して Alibaba Cloud マネジメントコンソールにログインできます。複数のサブネットマスクを指定する必要がある場合は、サブネットマスクをセミコロン (;) で区切ります。例：192.168.0.0/16;10.0.0.0/8。最大 40 個のサブネットマスクを指定できます。サブネットマスクの合計の長さは最大 512 文字です。	10.0.0.0/8
VerificationTypes	array	任意	MFA メソッド。
	string	任意	MFA メソッド。有効な値： sms：携帯電話 email：メール	["sms", "email"]
AllowUserToManagePersonalDingTalk	boolean	任意	RAM ユーザーが自分の個人 DingTalk アカウント (アカウントのバインドやバインド解除など) を管理できるかどうかを指定します。有効な値： true (デフォルト) false	true
OperationForRiskLogin `deprecated`	string	任意	異常なログインを開始した RAM ユーザーに対して MFA を有効にするかどうかを指定します。有効な値： autonomous (デフォルト)：はい。異常なログインを開始した RAM ユーザーには MFA が要求されますが、RAM ユーザーは MFA をスキップできます。 enforceVerify：異常なログインを開始した RAM ユーザーには MFA が要求され、RAM ユーザーは MFA をスキップできません。	autonomous
MFAOperationForLogin	string	任意	すべての RAM ユーザーが Alibaba Cloud マネジメントコンソールにログインする際に MFA が必要かどうかを指定します。このパラメーターは EnforceMFAForLogin を置き換えるために使用されます。EnforceMFAForLogin も引き続き有効ですが、MFAOperationForLogin の使用を推奨します。有効な値： mandatory：すべての RAM ユーザーに MFA が必要です。EnforceMFAForLogin を使用する場合は、値を true に設定します。 independent (デフォルト)：ユーザー固有の設定が適用されます。EnforceMFAForLogin を使用する場合は、値を false に設定します。 adaptive：異常なログインを開始した RAM ユーザーにのみ MFA が必要です。	adaptive
AllowUserToLoginWithPasskey	boolean	任意	RAM ユーザーがパスキーを使用してログインできるかどうかを指定します。有効な値： true：RAM ユーザーはパスキーを使用してログインできます。これがデフォルト値です。 false：RAM ユーザーはパスキーを使用してログインできません。	true

共通リクエストパラメーターの詳細については、「API リファレンス」をご参照ください。

レスポンスフィールド

フィールド	型	説明	例
	object	レスポンスパラメーター。
SecurityPreference	object	セキュリティプリファレンスの詳細。
AccessKeyPreference	object	AccessKey ペアのプリファレンス。
AllowUserToManageAccessKeys	boolean	RAM ユーザーが自分の AccessKey ペアを管理できるかどうかを示します。	false
LoginProfilePreference	object	ログインプリファレンス。
EnableSaveMFATicket	boolean	RAM ユーザーが MFA デバイスを 7 日間記憶できるかどうかを示します。	false
LoginSessionDuration	integer	RAM ユーザーのログインセッションの有効期間。	6
LoginNetworkMasks	string	サブネットマスク。	10.0.0.0/8
AllowUserToChangePassword	boolean	RAM ユーザーが自分のパスワードを変更できるかどうかを示します。	true
OperationForRiskLogin `deprecated`	string	異常なログインを開始した RAM ユーザーに対して MFA を有効にするかどうかを示します。	autonomous
MFAOperationForLogin	string	すべての RAM ユーザーが Alibaba Cloud マネジメントコンソールにログインする際に MFA が必要かどうかを示します。	adaptive
AllowUserToLoginWithPasskey	boolean	RAM ユーザーがパスキーを使用してログインできるかどうかを示します。	false
MFAPreference	object	MFA プリファレンス。
AllowUserToManageMFADevices	boolean	RAM ユーザーが自分の MFA デバイスを管理できるかどうかを示します。	false
VerificationPreference	object	MFA メソッドのプリファレンス。
VerificationTypes	array	MFA メソッド。
	string	MFA メソッド。	["sms", "email"]
PersonalInfoPreference	object	個人情報のプリファレンス。
AllowUserToManagePersonalDingTalk	boolean	RAM ユーザーが自分の個人 DingTalk アカウント (アカウントのバインドやバインド解除など) を管理できるかどうかを示します。	true
MaxIdleDays	object	最大アイドル期間。単位：日。
MaxIdleDaysForUsers	integer	RAM ユーザーがアイドル状態でいられる最大日数。コンソールログインが有効になっている RAM ユーザーが、指定された日数コンソールにログインしなかった場合、翌日にその RAM ユーザーのコンソールログインは自動的に無効になります。シングルサインオン (SSO) は含まれません。デフォルト値は 730 です。この値は変更できません。	730
MaxIdleDaysForAccessKeys	integer	RAM ユーザーの AccessKey ペアが未使用のままでいられる最大日数。AccessKey ペアが指定された日数使用されなかった場合、翌日にその AccessKey ペアは自動的に無効になります。デフォルト値は 730 です。この値は変更できません。	730
RequestId	string	リクエスト ID。	17494710-B4BA-4185-BBBB-C1A6ABDE1639

例

成功レスポンス

JSONJSON

{
  "SecurityPreference": {
    "AccessKeyPreference": {
      "AllowUserToManageAccessKeys": false
    },
    "LoginProfilePreference": {
      "EnableSaveMFATicket": false,
      "LoginSessionDuration": 6,
      "LoginNetworkMasks": "10.0.0.0/8",
      "AllowUserToChangePassword": true,
      "OperationForRiskLogin": "autonomous",
      "MFAOperationForLogin": "adaptive",
      "AllowUserToLoginWithPasskey": false
    },
    "MFAPreference": {
      "AllowUserToManageMFADevices": false
    },
    "VerificationPreference": {
      "VerificationTypes": [
        "[\"sms\", \"email\"]"
      ]
    },
    "PersonalInfoPreference": {
      "AllowUserToManagePersonalDingTalk": true
    },
    "MaxIdleDays": {
      "MaxIdleDaysForUsers": 730,
      "MaxIdleDaysForAccessKeys": 730
    }
  },
  "RequestId": "17494710-B4BA-4185-BBBB-C1A6ABDE1639"
}

エラーコード

完全なリストについては、「エラーコード」をご参照ください。

変更履歴

完全なリストについては、「変更履歴」をご参照ください。