RAM ユーザーのアカウントセキュリティを向上させるために、グローバルセキュリティ、多要素認証 (MFA)、ネットワークアクセス制御の設定など、Resource Access Management (RAM) ユーザーのセキュリティ設定を変更できます。RAM ユーザーのセキュリティ設定は、すべての RAM ユーザーに適用されます。
グローバルセキュリティ設定
管理者権限を持つ RAM ユーザーとして、[RAM コンソール] にログインします。
[セキュリティ] セクションの [設定] ページで、[変更] をクリックします。表示されるパネルで、グローバル セキュリティ パラメーターを構成します。次の表は、パラメーターについて説明しています。
パラメーター
説明
ユーザーがパスワードを管理できるようにする
RAM ユーザーが自分のパスワードを管理できるようにするかどうかを指定します。[有効] を選択すると、RAM ユーザーは自分のパスワードを管理できます。
ユーザーが MFA デバイスを管理できるようにする
RAM ユーザーが自分のアカウントに MFA デバイスをバインドまたはバインド解除できるようにするかどうかを指定します。[有効] を選択すると、RAM ユーザーは自分のアカウントに MFA デバイスをバインドまたはバインド解除できます。
ユーザーが Accesskey を管理できるようにする
RAM ユーザーが AccessKey ペアを管理できるようにするかどうかを指定します。[有効] を選択すると、RAM ユーザーは AccessKey ペアを管理できます。
ログインセッションの期間
RAM ユーザーのログインセッションの有効期間を指定します。単位:時間。有効な値:1 ~ 24。デフォルト値:6。
説明RAM ロールを引き受けた場合、またはシングルサインオン (SSO) を使用して Alibaba Cloud 管理コンソールにログインした場合、セッションの有効期間は [ログインセッションの期間] パラメーターの値以下になります。詳細については、「RAM ロールの引き受け」および「ロールベース SSO の SAML レスポンス」をご参照ください。
ログインセッションを長時間維持できるようにする
RAM ユーザーが Alibaba Cloud アプリと Alibaba Cloud Client に最大 90 日間ログインしたままにすることを許可するかどうかを指定します。[有効] を選択すると、RAM ユーザーは Alibaba Cloud アプリと Alibaba Cloud Client に最大 90 日間ログインしたままにすることができます。
説明Alibaba Cloud セキュリティプラットフォームが異常なログインを検出した場合、ログインステータスは無効になり、RAM ユーザーは再度ログインする必要があります。
ユーザーがパスキーでログインできるようにする
RAM ユーザーがパスキーを使用して Alibaba Cloud 管理コンソールにログインできるかどうかを指定します。[有効] を選択すると、RAM ユーザーはログインにパスキーを使用できます。詳細については、「パスキーとは」をご参照ください。
[OK] をクリックします。
MFA 設定
管理者権限を持つ RAM ユーザーとして、[RAM コンソール] にログインします。
多要素認証 (MFA)[設定] ページの [変更] セクションで、 をクリックします。表示されるパネルで、MFA パラメーターを設定します。次の表にパラメーターを示します。
パラメーター
説明
許可される MFA デバイス
RAM ユーザーがコンソールログインおよび機密性の高い操作を実行する際に 2 段階認証を実装するための MFA 方法を指定します。有効な値:
[MFA デバイス]:仮想 MFA デバイスが MFA に使用されます。このオプションはデフォルトで選択されており、選択を解除することはできません。
[パスキー]:パスキーが MFA に使用されます。このオプションはデフォルトで選択されており、選択を解除することはできません。
RAM ユーザーサインインの MFA
すべての RAM ユーザーがユーザー名とパスワードを使用して Alibaba Cloud 管理コンソールにログインする際に MFA を必須にするかどうかを指定します。有効な値:
[すべてのユーザーに強制]:すべての RAM ユーザーに MFA を必須にすることを指定します。
説明RAM ユーザーサインインの MFA パラメーターで [すべてのユーザーに強制] を選択した場合、すべての RAM ユーザーに対して機密性の高い操作の MFA が有効になります。RAM ユーザーが Alibaba Cloud 管理コンソールで機密性の高い操作を実行する場合、リスク管理がトリガーされ、RAM ユーザーは MFA に合格する必要があります。詳細については、「機密性の高い操作の MFA」をご参照ください。
[各ユーザーに依存]:ユーザー固有の設定が適用されることを指定します。詳細については、「RAM ユーザーのコンソールログイン設定の管理」をご参照ください。
[異常なサインイン時のみ]:通常のログイン場所またはデバイス以外の場所またはデバイスからログインが開始された場合にのみ MFA が必須になることを指定します。
説明RAM ユーザーサインインの MFA パラメーターを [異常なサインイン時のみ] に設定し、ポリシーで条件キー
acs:MFAPresentを使用した場合、通常のログインを開始した RAM ユーザーには MFA は不要です。条件キーの検証結果は失敗です。条件キーを有効にするには、RAM ユーザーサインインの MFA パラメーターを [各ユーザーに依存] に設定することをお勧めします。
MFA 検証を 7 日間記憶できるようにする
現在ログインしているデバイスが RAM ユーザーの MFA ステータスを 7 日間記憶できるようにするかどうかを指定します。[有効] を選択すると、現在ログインしているデバイスは RAM ユーザーの MFA ステータスを 7 日間記憶できます。ログイン後 7 日以内は、RAM ユーザーに MFA は不要です。ただし、RAM ユーザーが現在のデバイスからログアウトした場合、次回のログインには MFA が必要になります。
[OK] をクリックします。
ネットワークアクセス制御の設定
管理者権限を持つ RAM ユーザーとして、[RAM コンソール] にログインします。
左側のナビゲーションウィンドウで、[設定] をクリックします。[ネットワークアクセス制御] セクションで、[サインイン時の許可されたネットワークアドレス] パラメーターと [accesskey で API を呼び出す際の許可された送信元ネットワークアドレス] パラメーターを設定します。
パラメーター
説明
サインイン時の許可されたネットワークアドレス
ユーザー名とパスワードまたは SSO を使用して Alibaba Cloud 管理コンソールにログインするために使用できる IP アドレスを指定します。パラメーターを [無効] に設定すると、すべての IP アドレスを使用して Alibaba Cloud 管理コンソールにログインできます。最大 40 個の IP アドレスを指定できます。
Accesskey で API を呼び出す際の許可された送信元ネットワークアドレス
AccessKey ペアを使用して Alibaba Cloud API 操作を呼び出すために使用できる IP アドレスを指定します。
このパラメーターは、アカウントレベルの AccessKey ペアベースのネットワークアクセス制御ポリシーを設定するために使用されます。アカウントレベルの AccessKey ペアベースのネットワークアクセス制御ポリシーは、Alibaba Cloud アカウントの AccessKey ペアと、Alibaba Cloud アカウントに属する RAM ユーザーの AccessKey ペアを含む、Alibaba Cloud アカウントのすべての AccessKey ペアに適用されます。パラメーターを [無効] に設定すると、すべての AccessKey ペアに対してネットワークアクセス制御は実装されません。単一の AccessKey ペアに対して AccessKey ペアレベルのネットワークアクセス制御ポリシーを設定することもできます。AccessKey ペアレベルのネットワークアクセス制御ポリシーは、アカウントレベルの AccessKey ペアベースのポリシーよりも優先されます。
詳細については、「AccessKey ペアベースのネットワークアクセス制御ポリシーの設定」をご参照ください。
[OK] をクリックします。