すべてのプロダクト
Search

このプロダクト

    Resource Access Management:コンソールログイン設定の管理

    ドキュメントセンター

    Resource Access Management:コンソールログイン設定の管理

    最終更新日:Apr 02, 2026

    Resource Access Management (RAM) ユーザーのコンソールログイン設定を管理して、Alibaba Cloud 管理コンソールへのアクセスを制御できます。これには、セキュリティとコンプライアンスの要件を満たすための、コンソールアクセスの有効化または無効化、パスワードの管理、多要素認証 (MFA) の要求などが含まれます。

    概要

    RAM ユーザーのコンソールログイン設定は、そのユーザーが Alibaba Cloud 管理コンソールにアクセスする能力と、ログイン時に適用されるセキュリティ対策を決定します。これらの設定はコンソールログインにのみ影響し、AccessKey ペアを使用するプログラムによるアクセスには影響しません。

    パラメーター

    説明

    コンソールへのアクセス

    RAM ユーザーが Alibaba Cloud 管理コンソールにログインできるかどうかを制御します。

    ログインパスワードの設定

    RAM ユーザーのコンソールログインパスワードを設定またはリセットします。

    パスワードのリセット

    ユーザーに次回のログイン時にパスワードの変更を要求します。

    MFA の有効化

    ユーザーにログイン時に多要素認証 (MFA) の使用を要求します。

    説明

    これらの設定は、外部 ID プロバイダー (IdP) からのシングルサインオン (SSO) を介してログインする RAM ユーザーには適用されません。

    コンソールログインの有効化

    デフォルトでは、RAM ユーザーはコンソールにログインできません。RAM ユーザーがパスワードでログインできるようにするには、まずコンソールアクセスを有効にし、初期パスワードを設定する必要があります。

    コンソール

    1. RAM 管理者として RAM コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[アイデンティティ] > [ユーザー] を選択します。

    3. [ユーザー]」ページで、対象の RAM ユーザーをクリックします。

    4. 認証管理 タブを選択します。Login Profile セクションで、コンソールログインの有効化 をクリックします。

    5. コンソールログインの有効化 ダイアログボックスで、次のパラメーターを設定します。

      • コンソールへのアクセス[有効] を選択します。

      • ログインパスワードの設定デフォルトパスワードの自動再発行 または カスタムパスワードのリセット を選択します。

      • パスワードのリセット: 次回のログイン時にユーザーがパスワードを変更する必要があるかどうかを指定します。初期パスワードを設定する場合は、このオプションを選択することを推奨します。

      • MFA の有効化: MFA を必須にするかどうかを指定します。必要 を選択した場合、ユーザーは次回のログイン時に MFA デバイスをバインドする必要があります。MFA を必須にすることを強く推奨します。

    6. [OK] をクリックします。

    API

    RAM ユーザーのコンソールログインを有効にし、初期パスワードを設定するには、CreateLoginProfile 操作を呼び出します。この操作には ram:CreateLoginProfile 権限が必要です。

    コンソールログイン設定の表示

    管理者は、RAM ユーザーのログイン構成 (コンソールアクセスのステータスや MFA 設定など) を表示できます。

    コンソール

    1. RAM 管理者として RAM コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[アイデンティティ] > [ユーザー] を選択します。

    3. [ユーザー] ページで、対象の RAM ユーザーをクリックします。

    4. 認証管理 タブを選択します。Login Profile セクションで、次の設定を表示できます。

      • コンソールへのアクセス: 現在のアクセスステータス (UnsetInactiveActive など) を表示します。

      • Last Logined Time: RAM ユーザーが最後に正常にログインした日時です。これを使用して、アイドル状態のアカウントを監査します。

      • MFA Required: ログインに MFA が必要かどうかを示します。

        説明

        RAM ユーザーが MFA を使用する必要があるかどうかは、複数の要因によって決まり、次の優先順位で評価されます。

        1. グローバル MFA ポリシーが [すべてのユーザーに強制] に設定されている。詳細については、「セキュリティ設定の管理」をご参照ください。

        2. 個々の RAM ユーザーのログイン設定で MFA が要求されている。

        3. ユーザーがすでに MFA デバイスをバインドしている。

        これらの条件のいずれも満たされない場合、ユーザーはログインのたびに MFA デバイスをバインドするよう求められますが、バインドは任意です。

      • Password: RAM ユーザーが次回のログイン時にパスワードを変更する必要があるかどうかを示します。

      • Password: RAM ユーザーの現在のパスワードステータスを表示します。詳細については、このトピックの「初期パスワードとは」セクションをご参照ください。

        • Initial Password Available: パスワードは初期パスワードであり、有効期限が切れていません。

        • Initial Password Expired: 初期パスワードの有効期限が切れています。ユーザーはログインできません。

        • Not Initial Password: パスワードは標準のパスワードであり、通常のパスワード有効期限のみが適用されます。

      • Console Sign-in: RAM ユーザー専用のログイン URL です。

    API

    RAM ユーザーのコンソールログイン設定を表示するには、GetLoginProfile 操作を呼び出します。この操作には ram:GetLoginProfile 権限が必要です。

    コンソールログイン設定の変更

    管理者は、パスワードのリセットやコンソールアクセスの無効化など、RAM ユーザーのログイン設定を変更できます。

    コンソール

    1. RAM 管理者として RAM コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[アイデンティティ] > [ユーザー] を選択します。

    3. [ユーザー] ページで、対象のRAM ユーザーをクリックします。

    4. 認証管理 タブを選択します。Login Profile セクションで、ログイン設定の変更 をクリックします。

    5. ログイン設定の変更 ダイアログボックスで、必要に応じてパラメーターを変更します。たとえば、Console Access[無効] に設定できます。

      重要

      • コンソールログインを無効にすると、RAM ユーザーとそのユーザーが引き受けた RAM ロールのアクティブセッションは即座に終了します。

      • コンソールログインを無効にすると、ユーザーはパスキーを使用したログインもできなくなります。

    6. [OK] をクリックします。

    API

    RAM ユーザーのコンソールログイン設定を変更するには、UpdateLoginProfile 操作を呼び出します。この操作には ram:UpdateLoginProfile 権限が必要です。

    コンソールログイン設定のクリア

    RAM ユーザーのログイン設定をクリアすると、パスワードを含むすべてのコンソールログイン情報が完全に削除されます。この操作により、ユーザーはコンソールにログインできなくなります。

    警告

    この操作は元に戻せません。RAM ユーザーの現在のコンソールセッションとアクティブなロールセッションは即座に終了します。慎重に実行してください。

    コンソール

    1. RAM 管理者として RAM コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[アイデンティティ] > [ユーザー] を選択します。

    3. [ユーザー]」ページで、対象のRAM ユーザーをクリックします。

    4. 認証管理 タブを選択します。Login Profile セクションで、ログイン設定の削除 をクリックします。

    5. 確認ダイアログボックスで、[OK] をクリックします。

    API

    RAM ユーザーのコンソールログイン設定をクリアするには、DeleteLoginProfile 操作を呼び出します。この操作には ram:DeleteLoginProfile 権限が必要です。

    説明

    ログイン設定をクリアしても、RAM ユーザーの AccessKey ペア、パスキー、または MFA デバイスのバインドには影響しません。

    セキュリティのベストプラクティス

    • MFA の強制: コンソールにアクセスする必要がある RAM ユーザーには、常に MFA を要求してください。これはアカウントを保護するための最も効果的な方法の 1 つです。

    • 初期パスワードのリセット要求: 新しい RAM ユーザーに初期パスワードを設定する際は、常に [次回ログイン時に必須] オプションを選択してください。

    • 人間とマシンの ID の分離: プログラムによるアクセス (CI/CD パイプラインやアプリケーションなど) のためには、専用の RAM ユーザーを作成し、それらのユーザーに対してコンソールログインを有効にしないでください。

    • アイドルアカウントの監査: RAM ユーザーの [最終コンソールログイン] 日時を定期的に確認し、アクティブでなくなったアカウントのコンソールアクセスを無効にしてください。

    よくある質問

    ログイン設定の無効化とクリアの違いは何ですか?

    ログインの無効化は、RAM ユーザーのパスワードを保持する一時的で可逆的な操作です。ログイン設定のクリアは、ユーザーのすべてのコンソールログイン情報を削除する永続的で不可逆的な操作です。

    コンソールログインを無効にすると、AccessKey ペアに影響しますか?

    いいえ。コンソールアクセスとプログラムによるアクセスは独立しています。RAM ユーザーが API 呼び出しを行えないようにするには、そのユーザーの AccessKey ペアを無効化または削除する必要があります。

    パスワードを変更したり、コンソールログインを無効にしたりすると、RAM ユーザーのアクティブセッションはどうなりますか?

    その操作により、ユーザーの現在のコンソールセッションと、そのユーザーが引き受けたアクティブな RAM ロールセッションが即座に終了します。これにより、進行中の操作が中断される可能性があります。

    RAM ユーザーは忘れたパスワードを自分でリセットできますか?

    いいえ、RAM ユーザーは自分のコンソールパスワードをリセットできません。RAM 管理者がパスワードをリセットする必要があります。手順については、「RAM ユーザーのパスワードの変更」をご参照ください。

    RAM 管理者はユーザーの最終ログイン日時をどのように確認できますか?

    最終ログイン日時は、次の 2 つの方法で確認できます。

    • コンソール: ユーザーの詳細ページで、認証管理 タブを選択し、Login Profile セクションで [最終コンソールログイン] 日時を確認します。

    • APIGetLoginProfile 操作を呼び出します。応答には LastLoginTime フィールドが含まれます。

    初期パスワードとは何ですか?

    非アクティブなアカウントによるセキュリティリスクを軽減するため、RAM は「初期パスワード」メカニズムを使用します。管理者が設定したパスワードは初期パスワードと見なされ、デフォルトの有効期間は 14 日間です。ユーザーがこの期間内にログインしてパスワードを変更しない場合、そのパスワードは自動的に有効期限が切れ、管理者によるリセットが必要になります。

    パスワードは、次の場合に初期パスワードと見なされます。

    • ユーザーのコンソールログインが初めて有効化されたときに設定された場合。

    • ユーザーが以前の初期パスワードで正常にログインする前に、管理者によってリセットされた場合。

    初期パスワードの有効期間は、アカウントのグローバルパスワードポリシーで変更できます。

    RAM ユーザーの初期パスワードのステータスを確認するにはどうすればよいですか?

    ユーザーの詳細ページで、認証管理 タブを選択し、Login Profile セクションで [パスワードステータス] を確認します。ステータスが Initial Password Expired の場合、ユーザーは現在のパスワードでログインできず、管理者がリセットする必要があります。