為提升阿里雲帳號下所有RAM使用者的登入安全性並滿足企業安全與合規要求,您可以為所有RAM使用者佈建統一的密碼原則,包括密碼長度、密碼有效期間和歷史密碼檢查策略等。本文介紹如何配置密碼原則,並提供配置建議。
密碼原則是賬戶層級的全域設定,一旦修改,將影響當前阿里雲帳號下的所有RAM使用者。RAM不支援為不同的使用者組或單個使用者佈建差異化的密碼原則。
適用範圍
在配置密碼原則前,請務必瞭解以下要點:
策略生效範圍:密碼原則僅對通過“使用者名稱-密碼”方式登入控制台的RAM使用者生效,對AccessKey的程式化訪問無任何影響。
策略變更生效時間:修改密碼原則(例如提高密碼長度要求或設定有效期間)後,現有使用者不會被立即強制要求修改密碼。新策略將在使用者下一次登入並被引導至修改密碼時,或主動重設密碼時生效並強制執行。
特殊登入情境:
使用者SSO整合:如果您的企業通過IdP(身份供應商)與阿里雲進行使用者SSO整合,則無需設定RAM使用者登入密碼。若設定RAM使用者登入配置,仍受到密碼原則的約束,關閉使用者SSO後可以使用密碼登入。
阿里雲不會儲存您的密碼明文,只會儲存用單向加密處理後的隨機值(加鹽雜湊值),沒有任何方法能逆向還原成原始密碼,以確保密碼安全。
操作步驟
作為主帳號或者擁有Resource Access Management員許可權(AliyunRAMFullAccess)的RAM使用者,您可以為所有RAM使用者佈建或修改統一的密碼原則。
控制台
登入RAM控制台
在設定頁面的密碼原則地區,單擊修改,設定密碼規則。
單擊確定。
OpenAPI
調用GetPasswordPolicy查看當前的密碼原則
調用SetPasswordPolicy修改密碼原則
密碼原則參數說明
控制台參數 | 描述 | 預設值 | 配置建議 |
密碼長度 | 密碼的最小長度,取值範圍:8~32。 | 8~32 | |
密碼要包含的字元類型 | 密碼中需要包含的字元類型,包括大寫字母、小寫字母、數字和符號。 | 未啟用 | 建議至少勾選3項。 |
密碼要包含不同字元 | 密碼中需要包含的最小唯一字元數,最大值:8。例如,設定為3時, | 未啟用 | 設定為4或更高,防止使用重複字元構造的弱密碼。 |
密碼不要包含使用者名稱 | 密碼中是否允許包含使用者名稱。 | 未啟用 | 建議啟用 |
密碼到期後不可登入 | 決定密碼到期的使用者是否還能登入控制台以自行修改密碼。啟用後,到期使用者必須聯絡管理員重設密碼才能再次登入。 | 未啟用 | 設定密碼有效期間或初始密碼有效期間,可能導致部分密碼立即到期。為了避免影響登入,建議調整密碼有效期間期間,先不啟用該項設定。 |
密碼有效期間 | 密碼的最長可用時間。單位:天。最大值:1095。 說明 重設密碼將重設密碼到期時間。 | 未啟用 | 建議設定90天以內。 |
初始密码有效期 | 控制初始密碼的有效期間。若使用者在有效期間內未完成至少一次成功登入,初始密碼將自動失效。 可設定範圍:0–90 天。設定為 0 天表示關閉初始密碼有效期間策略。 | 14 天 | 建議保持預設值 14 天。初始密碼有效期間不應超過密碼有效期間。 |
不要重複使用歷史密碼 | 是否禁止使用最近N次的歷史密碼,N的最大值:24。 | 未啟用 | |
密碼重試次數 | 一小時內連續輸入錯誤密碼達到設定次數後,帳號將被鎖定1小時。最大值:32。 說明 重設密碼可清除嘗試登入次數。 | 未啟用 | 建議設定5次以內的重試次數。 |
BlockRiskPasswordFromAPI | 啟用後,通過CreateLoginProfile、UpdateLoginProfile、ChangePassword介面設定密碼時,系統會對 | 未啟用 | 建議在啟用前評估現有的自動化指令碼和程式,確認其設定的密碼能通過風險檢測。啟用後,試圖設定弱密碼的 API 呼叫將失敗,可能導致使用者建立或密碼重設流程中斷。 |