このトピックでは、RAM ユーザーのコンソールログイン設定を管理する方法について説明します。コンソールへのアクセス、ログインパスワード、多要素認証(MFA)などの設定を構成することで、さまざまなセキュリティおよびコンプライアンス要件を満たすことができます。
概要
RAM ユーザーのコンソールログイン設定は、Alibaba Cloud コンソールへのアクセス方法およびセキュリティレベルを決定します。これらの設定は RAM ユーザーのコンソールログイン動作にのみ影響し、AccessKey を使用したプログラムによるアクセスには影響しません。
パラメーター | 説明 |
コンソールへのアクセス | RAM ユーザーが Alibaba Cloud コンソールにログインできるかどうかを制御します。 |
ログインパスワードの設定 | RAM ユーザーのコンソールログインパスワードを設定またはリセットします。 |
パスワードのリセット | ユーザーが次回ログイン時にパスワードを変更することを要求します。 |
MFA の有効化 | ユーザーがログイン時に多要素認証を使用することを要求します。 |
RAM ユーザーに対してシングルサインオン(SSO)が有効化されている場合、上記のコンソールアクセスや MFA 要求などのログイン設定は適用されません。
コンソールログインの有効化
デフォルトでは、RAM ユーザーを作成するとコンソールログインは無効化されています。RAM ユーザーがパスワードで Alibaba Cloud コンソールにログインできるようになる前に、コンソールログインを有効化し、パスワードを設定する必要があります。この操作はコンソールまたは OpenAPI を使用して実行できます。
コンソール
RAM 管理者として、RAM コンソールにログインします。
左側ナビゲーションウィンドウで、 を選択します。
ユーザー一覧から、対象の RAM ユーザーの名前をクリックします。
認証管理 タブの Login Profile セクションで、コンソールログインの有効化 をクリックします。
コンソールログインの有効化 ダイアログボックスで、以下のパラメーターを設定します:
コンソールへのアクセス:RAM ユーザーのコンソールログインを有効化するには、有効 をクリックします。
ログインパスワードの設定:デフォルトパスワードの自動再発行 または カスタムパスワードのリセット を選択します。
パスワードのリセット:ユーザーが次回ログイン時にパスワードをリセットする必要があるかどうかを選択します。初期パスワード を設定する際は、管理者とユーザー間でのパスワード共有を回避するために、次回ログイン時に必要 を選択することを推奨します。
MFA の有効化:RAM ユーザーが多要素認証を有効化することを要求するかどうかを指定します。もし 必要 を選択した場合、ユーザーは次回ログイン時に MFA デバイスをバインドする必要があります。デフォルトの選択を維持し、MFA を必須とすることを推奨します。
OK をクリックします。
API
必要な権限:ram:CreateLoginProfile
CreateLoginProfile 操作を呼び出して、特定の RAM ユーザーのコンソールログインを有効化し、初期パスワードを設定します。
RAM ユーザーのコンソールログイン設定の表示
管理者は、コンソールアクセスの有効/無効状態、パスワードのステータス、MFA 設定など、RAM ユーザーのログイン構成を確認できます。
コンソール
RAM 管理者として、RAM コンソールにログインします。
左側ナビゲーションウィンドウで、 を選択します。
ユーザー一覧から、対象の RAM ユーザーの名前をクリックします。
認証管理 タブの Login Profile セクションで、以下のログイン設定のステータスを確認します:
コンソールへのアクセス:コンソールアクセスが有効化されているかどうかを示します。ステータスは以下のいずれかです:
Unset:コンソールアクセスは有効化されていません。
Inactive:管理者がコンソールアクセスを無効化しました。
Active:管理者がコンソールアクセスを有効化しました。
Last Logined Time:ユーザーがコンソールに最後に正常にログインした時刻です。この情報を使用して、アイドル状態のアカウントを監査できます。
MFA の有効化:ユーザーがコンソールにログインする際に多要素認証を完了する必要があるかどうかを示します。
説明MFA の利用要否は、以下の優先順位で評価される複数の要因によって決まります:
RAM のグローバル MFA ポリシーが すべてのユーザーに MFA を強制(デフォルト)に設定されています。設定の詳細については、「MFA 設定」をご参照ください。
個別の RAM ユーザーのログイン設定で MFA が要求されています。
ユーザーが既にセキュリティ携帯電話や仮想 MFA デバイスなどの MFA デバイスをバインド済みです。
これらの条件のいずれも満たされない場合でも、Alibaba Cloud はユーザーに対し各ログイン時に MFA デバイスのバインドを促しますが、これは任意です。
次回ログイン時にパスワードのリセット:ユーザーが次回ログイン時にパスワードをリセットする必要があるかどうかを示します。
Password:ユーザーの現在のパスワードステータスを表示します。詳細については、「初期パスワードとは? その有効期間は?」をご参照ください。
Initial Password Available:ユーザーの現在のパスワードは初期パスワードであり、まだ有効期限が切れていません。この場合、ユーザーは初期パスワードでコンソールにログインできます。
Initial Password Expired:ユーザーの現在のパスワードは初期パスワードであり、有効期限が切れています。この場合、ユーザーは初期パスワードでコンソールにログインできません。
Not Initial Password:ユーザーの現在のパスワードは初期パスワードではありません。これはパスワードポリシーに基づく通常の有効期間のみに従い、初期パスワードの有効期間 には該当しません。
Console Sign-in:コンソールアクセスが有効化された後、ここから RAM ユーザー専用のログインリンクをコピーできます。
API
必要な権限:ram:GetLoginProfile
GetLoginProfile 操作を呼び出して、RAM ユーザーのコンソールログイン設定を表示します。
RAM ユーザーのコンソールログイン設定の変更
コンソールログインを有効化した後、RAM 管理者は、コンソールアクセスの無効化やログインパスワードのリセットなど、必要に応じてログイン設定を変更できます。
コンソール
RAM コンソールに RAM 管理者としてログインします。
左側ナビゲーションウィンドウで、 を選択します。
ユーザー一覧から、対象の RAM ユーザーの名前をクリックします。
認証管理 タブの Login Profile セクションで、ログイン設定の変更 をクリックします。
ログイン設定の変更 ダイアログボックスで、コンソールログインのパラメーターを変更します。
Console Access:RAM ユーザーのコンソールログインを無効化するには、無効 をクリックします。
重要コンソールアクセスを無効化すると、当該 RAM ユーザーおよびそのユーザーが現在引き受けているすべての RAM ロールが強制的にログアウトされます。
コンソールログインの無効化は、ユーザーがパスキーを使用してログインすることも防止します。
その他の設定の説明については、「コンソールログインの有効化」をご参照ください。
OK をクリックします。
API
必要な権限:ram:UpdateLoginProfile
UpdateLoginProfile 操作を呼び出して、ユーザーのコンソールログイン設定を変更します。
RAM ユーザーのコンソールログイン設定のクリア
ログイン設定をクリアすると、RAM ユーザーのコンソールログインに関するすべての情報(パスワードを含む)が永続的に削除されます。この操作は元に戻すことができません。
RAM ユーザーのコンソールログイン情報をクリアした後は復元できません。慎重に実行してください。
RAM ユーザーのコンソールログイン設定をクリアすると、当該ユーザーおよびそのユーザーが現在引き受けているすべての RAM ロールが強制的にログアウトされます。
コンソール
RAM 管理者として、RAM コンソールにログインします。
左側ナビゲーションウィンドウで、 を選択します。
ユーザー一覧から、対象の RAM ユーザーの名前をクリックします。
認証管理 タブの Login Profile セクションで、ログイン設定の削除 をクリックします。
ログイン設定のクリア 確認ダイアログボックスで、OK をクリックします。
API
必要な権限:ram:DeleteLoginProfile
DeleteLoginProfile 操作を呼び出して、ユーザーのコンソールログイン設定をクリアします。
コンソールログイン設定をクリアしても、ユーザーのパスキー、MFA バインド、AccessKey には影響しません。
セキュリティに関するベストプラクティス
MFA の強制:コンソールにログインする必要のあるすべてのユーザーに対して MFA を有効化します。これはアカウントのセキュリティを保護する最も効果的な対策の一つです。
初期パスワードに対するパスワードリセットの要求:初期パスワードを設定する際は、管理者とユーザー間でのパスワード共有を回避するために、次回ログイン時にパスワードをリセット オプションを選択してください。
コンソールアクセスと API アクセスのための別々のアカウントの使用:CI/CD やアプリケーションなど、API アクセスのみが必要なプログラム用アカウントについては、攻撃対象領域を縮小するためにコンソールログインを無効化します。
アカウントの定期的な監査と整理:定期的に 最終コンソールログイン時刻 を確認し、アイドル状態のアカウントについては速やかにログイン設定を無効化またはクリアします。
よくある質問
コンソールアクセスの無効化とログイン設定のクリアの違いは何ですか?
無効化はパスワードやその他のログイン設定を保持したまま可逆的な操作ですが、クリアはすべてのログイン情報を削除する不可逆的な操作です。
コンソールログインの無効化は AccessKey アクセスに影響しますか?
いいえ。コンソールログインと API アクセスは独立しています。ユーザーが AccessKey を使用できないようにするには、AccessKey 自体を無効化する必要があります。
パスワードの変更またはログインの無効化がアクティブなセッションに与える影響は何ですか?
この操作により、ユーザーの現在のコンソールセッションおよび当該ユーザーが引き受けているすべてのアクティブな RAM ロールセッションが即座に終了します。ユーザーは再度ログインする必要があります。これにより、進行中の操作が中断される可能性があります。
ユーザーがパスワードを忘れてしまった場合はどうすればよいですか? 自分でリセットできますか?
RAM ユーザーは自身のコンソールログインパスワードをリセットすることはできません。管理者がパスワードをリセットする必要があります。手順については、「RAM 管理者による RAM ユーザーのパスワード変更」をご参照ください。
管理者はユーザーの最終ログイン時刻をどこで確認できますか?
最終ログイン時刻は以下の 2 つの方法で確認できます:
コンソール:ユーザー詳細ページの 認証管理 タブに移動し、Login Profile セクションで 最終コンソールログイン時刻 を確認します。
API:GetLoginProfile 操作を呼び出します。応答には
LastLoginTimeフィールドが含まれます。
初期パスワードとは? その有効期間は?
長期間非アクティブな RAM ユーザー(例:パスワード盗難によるリソースへの脅威、予期しない課金、悪意ある恐喝など)に起因するセキュリティリスクを軽減するため、RAM は 2026 年 1 月 26 日 から「初期パスワード」メカニズムを導入します。特定の条件を満たすコンソールログインパスワードは「初期パスワード」としてマークされ、デフォルトの 有効期間は 14 日間 となります。ユーザーがこの期間内に初めて正常にログインしなかった場合、パスワードは自動的に有効期限切れとなり、管理者がリセットする必要があります。詳細については、お知らせをご参照ください。
以下のいずれかの条件を満たすパスワードは、初期パスワードと見なされます:
初回作成:RAM ユーザーに対して初めて設定されるコンソールログインパスワード(自動生成およびカスタムの両方を含む)。
再有効化:RAM ユーザーのコンソールログイン設定がクリアされた後に再び有効化された際に設定されるパスワード。
初回ログイン前のリセット:管理者がユーザーの初回成功ログイン前に初期パスワードをリセットした場合、新しいパスワードも「初期パスワード」と見なされます。その有効期間はリセット時刻から再計算されます。
初期パスワードの有効期間と、アカウントのパスワードポリシーに基づく通常のパスワード有効期限は、両方とも適用されます。システムは、より 短い方の期間 を適用します。管理者は、RAM のグローバルパスワードポリシー でデフォルトの初期パスワード有効期間を変更できます。ただし、管理の複雑さを増加させないために、初期パスワードの有効期間は通常のパスワード有効期限を超えないように設定することを推奨します。
ユーザーの初期パスワードのステータスを確認するにはどうすればよいですか?
ユーザー詳細ページの 認証管理 タブで、Login Profile セクションの ログインパスワード ステータスを確認します。ステータスが 初期パスワードの有効期限切れ の場合、ユーザーは現在のパスワードでログインできず、管理者がパスワードをリセットする必要があります。