修改RAM使用者的控制台登入密碼 - Resource Access Management

本文介紹不同角色的使用者（Resource Access Management員或RAM使用者本人）如何通過控制台或調用API修改RAM使用者的登入密碼。適用於因安全性原則需要定期輪換密碼，或因使用者忘記密碼、密碼到期、賬戶被鎖定等原因需要重設密碼的情境。

操作影響

修改RAM使用者的登入密碼將導致以下影響，請在業務低峰期執行此操作：

強制退出控制台：該RAM使用者所有已登入的阿里雲控制台會話將立即失效，需要使用新密碼重新登入。
關聯會話一併退出：該使用者當前扮演的RAM角色也會被強制退出所有已登入的控制台會話。
AccessKey不受影響：該RAM使用者的存取金鑰AccessKey不受影響。

弱密碼識別與攔截

建立或修改RAM使用者的登入密碼時，RAM 會基於持續更新的弱密碼庫，通過加密比對識別高風險弱密碼（阿里雲不擷取、傳輸或儲存純文字密碼），並對弱密碼強制攔截。弱密碼檢測與密碼強度策略同時生效，即使密碼滿足強度規則，被識別為弱密碼時仍會觸發攔截。密碼原則的配置方法見設定RAM使用者密碼策略。

控制台

檢測時機：選擇自訂密碼並提交時觸發。自動產生密碼不涉及弱密碼檢測。適用於以下情境：
- 管理員建立新使用者並設定登入密碼。
- 管理員為使用者重設登入密碼。
- 使用者因首次登入或密碼到期被要求重設密碼。
- 使用者主動修改登入密碼。
攔截表現：密碼被識別為弱密碼時，系統強制攔截並提示更換。需重新輸入同時滿足密碼強度策略且非弱密碼的密碼。

OpenAPI

策略前提：須在密碼原則中開啟 使用 API 設定密碼時阻斷風險密碼（預設關閉）。配置方法見設定RAM使用者密碼策略。
涉及介面：CreateLoginProfile、UpdateLoginProfile、ChangePassword。開啟上述開關後，向 Password 或NewPassword參數傳入弱密碼時調用失敗。

錯誤響應：錯誤碼為 InvalidParameter.RiskPassword.Weak，表明密碼被識別為弱密碼。典型響應如下：

{
  "RequestId": "7348E639-3A47-593D-9914-D7A9729D****",
  "HostId": "ims.aliyuncs.com",
  "Code": "InvalidParameter.RiskPassword.Weak",
  "Message": "The specified password was detected as a weak password, please set a stronger password.",
  "Recommend": "https://api.aliyun.com/troubleshoot?q=InvalidParameter.RiskPassword.Weak&product=Ims&requestId=7348E639-3A47-593D-9914-D7A9729D****"
}

Resource Access Management員為使用者修改密碼

作為主帳號或者擁有Resource Access Management員許可權（AliyunRAMFullAccess）的RAM使用者，您可以為名下的RAM使用者佈建初始密碼，或在使用者忘記密碼等情況下為其重設密碼。

控制台

登入RAM控制台
在左側導覽列選擇身份管理 > 使用者。
在用户頁面，單擊目標RAM使用者名稱稱。
在认证管理頁簽，您可以系統管理使用者的登入憑證。為保障賬戶安全，RAM不支援直接查看已設定的密碼，只允許重設。根據目標使用者目前狀態，介面會顯示不同按鈕：
- 若使用者從未管理RAM使用者登入設定，您可以單擊启用控制台登录為RAM使用者佈建初始登入密碼。
- 若使用者已啟用控制台登入，您可以單擊修改登录设置，修改RAM使用者密碼。
在彈出的修改登录设置面板的设置密码地區，配置新密碼。
- 選擇保留当前密码，表示不修改密碼。
- 選擇自动生成密码，會自動產生登入密碼，請記錄並妥善保管新密碼。
  重要
  系統自動產生的密碼僅會在此處顯示一次，關閉面板後將無法找回。請立即複製並安全地交付給使用者。
- 選擇自定义密码，您需要輸入自訂的新密碼。輸入的新密碼必須符合當前帳號的密碼強度要求。阿里雲預設的密碼原則要求為長度為8-32個字元。如需查看或修改密碼原則，請參見設定RAM使用者密碼策略。
  說明
  自訂密碼會經弱密碼檢測，命中弱密碼時控制台攔截儲存。詳情請參見弱密碼識別與攔截。
（可選）根據需要，在需要重置密码地區勾選用户在下次登录时必须重置密码，適用於將初始密碼安全交付給使用者的情境。
單擊確定。

OpenAPI

調用GetPasswordPolicy或參考設定RAM使用者密碼策略登入控制台查詢當前帳號的RAM使用者密碼強度策略。
根據目標使用者目前狀態
- 若使用者尚未管理RAM使用者登入設定，調用CreateLoginProfile為RAM使用者佈建初始登入密碼。
- 若使用者已啟用控制台登入，調用UpdateLoginProfile，在Password欄位傳入修改後的新密碼。

說明

通過CreateLoginProfile、UpdateLoginProfile傳入 Password 時，若帳號已開啟設定 使用 API 設定密碼時阻斷風險密碼，弱密碼會導致調用失敗。詳情請參見弱密碼識別與攔截。

RAM使用者修改自己的登入密碼

如果Resource Access Management員允許RAM使用者自主管理密碼，並且RAM使用者記得當前的登入密碼，RAM使用者也可以登入控制台自行修改密碼。

前提條件

您的Resource Access Management員必須已開啟 允許使用者管理密碼的設定。此項為預設開啟，如果被禁用，您將無法自行修改密碼，需聯絡主帳號或者擁有Resource Access Management員許可權（AliyunRAMFullAccess）的RAM使用者完成如下配置，更多資訊可參考管理RAM使用者安全設定。

控制台

登入RAM控制台。
在左側導覽列，選擇設定，在全域安全地區，單擊修改，可以設定允許使用者管理密碼。

OpenAPI

調用SetSecurityPreference，修改AllowUserToChangePassword欄位為true。

RAM使用者修改密碼

控制台

RAM使用者訪問RAM使用者登入頁面，完成登入。
滑鼠移至上方在右上方頭像的位置，單擊安全資訊。
在登入資訊地區，單擊密碼管理右側的修改密碼。
輸入舊密碼和新密碼後，點擊確定，完成修改。
說明
新密碼會經弱密碼檢測，命中弱密碼時控制台攔截儲存。規則與表現詳見弱密碼識別與攔截。

OpenAPI

調用ChangePassword完成修改。

說明

通過ChangePassword傳入 NewPassword 時，若帳號已開啟設定 使用 API 設定密碼時阻斷風險密碼，弱密碼會導致調用失敗。詳情請參見弱密碼識別與攔截。