Resource Access Management (RAM) ユーザーのグローバルセキュリティ設定を構成して、アカウントのセキュリティを強化できます。これらの設定には、パスワードポリシー、多要素認証 (MFA)、およびネットワークアクセス制御のオプションが含まれます。
グローバルセキュリティ設定
管理者権限を持つ RAM ユーザーとして RAM コンソールにログインします。
[設定] ページの [セキュリティ] セクションで、[変更] をクリックし、表示されるパネルでグローバルセキュリティパラメーターを設定します。
パラメーター
説明
ユーザーによるパスワード管理を許可
有効にすると、RAM ユーザーは自身のコンソールパスワードを管理できます。
ユーザーによる MFA デバイスの管理を許可
有効にすると、RAM ユーザーは仮想 MFA デバイスをバインドまたはアンバインドできます。
ユーザーによる AccessKey の管理を許可
有効にすると、RAM ユーザーは自身の AccessKey ペアを管理できます。
ログインセッション期間
RAM ユーザーのコンソールログインセッションの期間を指定します。単位: 時間。有効な値: 1~24。デフォルト値: 6。
説明ユーザーがロールを引き受けるか、シングルサインオン (SSO) を介してログインする場合、セッション期間はこのパラメーターの値を超えることはできません。詳細については、「RAM ロールを引き受ける」および「ロールベース SSO の SAML レスポンス」をご参照ください。
長期間のログインセッションの維持を許可
有効にすると、RAM ユーザーは Alibaba Cloud アプリおよび Alibaba Cloud クライアントでのログインセッションを最大 90 日間維持できます。
説明Alibaba Cloud セキュリティプラットフォームによって異常なログインが検出された場合、セッションは無効になり、ユーザーは再度ログインする必要があります。
ユーザーによるパスキーでのログインを許可
有効にすると、RAM ユーザーはパスキーを使用して Alibaba Cloud 管理コンソールにログインできます。詳細については、「パスキーとは」をご参照ください。
ユーザーの最大アイドル日数
RAM ユーザーが非アクティブになってからコンソールログイン (SSO を除く) が自動的に無効になるまでの最大日数を指定します。単位: 日。有効な値: 730、365、180、90。デフォルト値: 730。
RAM ユーザーのコンソールログインは、次の両方の条件が満たされた場合に自動的に無効になります:
ユーザーが設定された期間を超えて非アクティブである。一度もログインしたことのないユーザーは、作成日以降非アクティブと見なされます。
RAM ユーザーのログイン設定が過去 7 日間に更新されていない。詳細については、「RAM ユーザーのコンソールログイン設定を管理する」をご参照ください。
このパラメーターへの変更は翌日に有効になります。
AccessKey の最大アイドル日数
AccessKey ペア (Alibaba Cloud アカウントまたは RAM ユーザーのいずれか) が非アクティブになってから自動的に無効になるまでの最大日数を指定します。単位: 日。有効な値: 730、365、180、90。デフォルト値: 730。
AccessKey ペアは、次の両方の条件が満たされた場合に自動的に無効になります:
AccessKey ペアが設定された期間を超えて非アクティブである。
AccessKey ペアのステータスが過去 7 日間に更新されていない。
このパラメーターへの変更は翌日に有効になります。
[OK] をクリックします。
MFA 設定
管理者権限を持つ RAM ユーザーとして RAM コンソールにログインします。
[設定] ページの [MFA] セクションで、[変更] をクリックし、表示されるパネルで MFA パラメーターを設定します。
パラメーター
説明
許可される MFA デバイス
ユーザーがコンソールログインまたは機密性の高い操作中に 2 次認証に使用できる MFA メソッドを指定します。有効な値:
MFA デバイス: 仮想 MFA デバイスを 2 次認証に使用します。このメソッドはデフォルトで有効になっており、無効にすることはできません。
パスキー: パスキーを 2 次認証に使用します。このメソッドはデフォルトで有効になっており、無効にすることはできません。
セキュアメール: セキュリティメールを 2 次認証に使用します。このメソッドは、セキュリティメールアドレスが RAM ユーザーにバインドされた後にのみ有効になります。詳細については、「RAM ユーザーのセキュリティ設定を管理する」トピックの「メールアドレスのバインド」セクションをご参照ください。
説明このメソッドは、機密性の高い操作中の 2 次認証でのみサポートされます。
RAM ユーザーサインインの MFA
コンソールログイン時にすべての RAM ユーザーに MFA が必要かどうかを指定します。有効な値:
すべてのユーザーに強制: ログイン時にすべての RAM ユーザーに MFA を要求します。
説明[すべてのユーザーに強制] を選択すると、すべての RAM ユーザーに対して機密性の高い操作の 2 次認証も有効になります。つまり、ユーザーが機密性の高い操作を実行すると、MFA のプロンプトが表示されます。詳細については、「機密性の高い操作の MFA」をご参照ください。
各ユーザーに依存: 各個別の RAM ユーザーの MFA 設定に従います。詳細については、「RAM ユーザーのコンソールログイン設定を管理する」をご参照ください。
異常なサインイン時のみ: 新しい場所やデバイスからのログインなど、ログインが異常と見なされた場合にのみ MFA を要求します。
説明このパラメーターが [異常なサインイン時のみ] に設定されている場合、MFA が実行されないため、通常のログイン中に
acs:MFAPresentポリシー条件キーは false と評価されます。この条件キーが期待どおりに機能するようにするには、このパラメーターを [各ユーザーに依存] に設定します。
MFA 検証を 7 日間記憶することを許可
有効にすると、ユーザーは特定のデバイスで MFA ステータスを 7 日間記憶するオプションを選択できます。この期間中、ユーザーがログアウトしない限り、そのデバイスで MFA のプロンプトは表示されません。ただし、RAM ユーザーが現在のデバイスからログアウトすると、次回のログインには MFA が必要になります。
[OK] をクリックします。
ネットワークアクセス制御設定
管理者権限を持つ RAM ユーザーとして RAM コンソールにログインします。
左側のナビゲーションウィンドウで、[設定] をクリックします。[ネットワークアクセス制御] セクションで、[サインイン時に許可されるネットワークアドレス] と [AccessKey による API 呼び出し時に許可されるソースネットワークアドレス] パラメーターを設定します。
パラメーター
説明
サインイン時に許可されるネットワークアドレス
ユーザーがコンソールにログイン (パスワードまたは SSO を使用) できる IP アドレスの許可リストを指定します。IP アドレスが指定されていない場合、どの IP アドレスからのログインも許可されます。最大 40 個の IP アドレスを指定できます。
AccessKey による API 呼び出し時に許可されるソースネットワークアドレス
AccessKey ペアを使用して API 操作を呼び出すことができる IP アドレスの許可リストを指定します。
この設定は、ルートアカウントおよびすべての RAM ユーザーに属するものを含む、すべての AccessKey ペアに適用されるアカウントレベルのポリシーを作成します。IP アドレスが指定されていない場合、どの IP アドレスからの API 呼び出しも許可されます。個々の AccessKey ペアにアクセス制御ポリシーを設定することもでき、これはこのアカウントレベルの設定をオーバーライドします。
詳細については、「ネットワークアクセス制御のための AccessKey ペアベースのポリシーを設定する」をご参照ください。
[OK] をクリックします。