通過RAM您可以產生和下載阿里雲帳號和RAM使用者的登入憑證資訊,包括控制台登入密碼、存取金鑰(AccessKey)和多因素認證(MFA)。您可以使用使用者憑證報告進行合規性審計。
使用限制
如果RAM使用者數量超過3500個,將無法產生使用者憑證報告。
操作步驟
使用Resource Access Management員登入RAM控制台。
在左側導覽列,單擊概覽。
在概覽頁簽,單擊下載使用者憑證報告。
待使用者憑證報告產生後,您可以單擊下載,將報告儲存到本地。
說明使用者憑證報告產生所需時間取決於阿里雲帳號內RAM使用者的數量,如果報告產生時間過長,您可以選擇稍後下載。每4小時您可以在控制台產生一份新的CSV格式的使用者憑證報告,如果距離上一份報告產生時間不足4小時,則直接返回已經產生的報告,不會再產生新報告。
執行結果
使用者憑證報告包含如下欄位。
欄位 | 樣本值 | 描述 |
user | username@company-alias.onaliyun.com | 使用者名稱稱。 第一行固定為阿里雲帳號,顯示為<root>,從第二行開始是RAM使用者,顯示為UPN(User Principal Name)格式。 |
user_creation_time | 2019-11-11T12:33:18Z | 建立RAM使用者的時間。 說明 時間格式按照ISO8601標準,並使用UTC時間。格式為:YYYY-MM-DDThh:mm:ssZ。 |
user_last_logon | 2019-11-11T12:45:18Z | RAM使用者的最近一次登入控制台的時間。 說明 RAM使用者可能是通過密碼或使用者SSO登入。如果RAM使用者從未登入過,則此欄位顯示為 |
password_exist | TRUE | 控制台登入密碼是否存在。 取值為
說明 如果您的帳號是在資來源目錄中建立的資源帳號,您可以擷取阿里雲帳號密碼相關的資訊但密碼實際不可用。更多資訊,請參見建立成員。 |
password_active | N/A | 登入密碼是否處於啟用狀態。 取值為
|
password_last_changed | 2019-11-11T12:50:18Z | 最後修改密碼的時間。 如果RAM使用者的登入配置資訊不存在,則為 說明 RAM只記錄了2016年04月05日以後的資料,如果最後一次修改時間在此之前,則為 |
password_next_rotation | 2019-11-13T12:50:18Z | 下次需修改密碼的時間。具體如下:
|
mfa_active | TRUE | 是否已經綁定MFA。 取值為 |
access_key_1_exist | TRUE | 第一個AccessKey是否存在。 取值為 |
access_key_1_active | TRUE | 第一個AccessKey是否啟用。 取值為 |
access_key_1_last_rotated | 2019-11-11T12:50:18Z | 第一個AccessKey的建立或上次更改的時間。 如果沒有AccessKey,則為 |
access_key_1_last_used | 2019-11-13T12:50:18Z | 第一個AccessKey的最後使用時間。具體如下:
說明 最後使用時間從2019年06月01號開始記錄,有2小時以內的延遲。 |
access_key_2_exist | TRUE | 第二個AccessKey是否存在。 取值為 |
access_key_2_active | TRUE | 第二個AccessKey是否啟用。 取值為 |
access_key_2_last_rotated | 2019-11-11T12:50:18Z | 第二個AccessKey的建立或上次更改的時間。 如果沒有AccessKey,則為 |
access_key_2_last_used | 2019-11-13T12:50:18Z | 第二個AccessKey的最後使用時間。具體如下:
說明 最後使用時間從2019年06月01號開始記錄,有2小時以內的延遲。 |
目前RAM使用者只能建立2個AccessKey。由於歷史原因,部分使用者擁有2個以上AccessKey,這些額外的AccessKey會顯示在CSV檔案的最後,以additional_access_key_開頭。