本文介紹如何為 RAM 使用者管理主控台登入設定,通過配置控制台訪問開關、登入密碼和多因素認證(MFA)等設定,以滿足不同情境下的安全與合規要求。
功能概覽
RAM 使用者的控制台登入設定決定了使用者訪問阿里雲控制台的方式和安全層級。控制台登入設定僅影響 RAM 使用者的控制台登入行為,不影響通過存取金鑰(AccessKey)進行的程式化訪問。
下表總結了目前支援的登入配置項及其作用:
配置項 | 作用 |
控制台访问 | 控制 RAM 使用者是否可以登入阿里雲控制台。 |
设置密码 | 為 RAM 使用者佈建或重設控制台登入密碼。 |
需要重置密码 | 強制使用者在下次登入時修改密碼。 |
MFA 多因素认证 | 強制使用者在登入時通過多因素驗證。 |
開啟 RAM 使用者 SSO 登入後,上述登入設定(是否允許控制台登入、是否要求 MFA 等)不生效。
啟用控制台登入
建立RAM 使用者時預設不開啟控制台登入。如需允許 RAM 使用者通過密碼登入阿里雲控制台,需要先啟用控制台登入並設定密碼。可以通過控制台或 OpenAPI 完成此操作。
控制台
使用Resource Access Management員登入RAM控制台。
在左側導覽列,選擇。
在使用者列表中,單擊目標RAM使用者名稱稱。
在认证管理頁簽下的登錄信息地區,單擊启用控制台登录。
在启用控制台登录對話方塊中,配置以下參數:
控制台访问:單擊開啟,啟用RAM使用者的控制台登入。
设置密码:選擇自动生成密码或自定义密码。
需要重置密码:設定是否要求使用者下次登入時重設密碼。在設定初始密碼時,建議選擇用户在下次登录时必须重置密码,避免管理員與使用者共用密碼。
MFA 多因素认证:設定是否要求RAM使用者開啟多因素認證。 選中需要开启 MFA 认证後,使用者在登入時會進入MFA繫結資料流程。建議保持預設選項,要求開啟MFA認證。
單擊確定。
OpenAPI
許可權要求:需要具備ram:CreateLoginProfile操作許可權。
調用CreateLoginProfile介面開啟指定RAM使用者的控制台登入,並為使用者佈建初始密碼。
查看控制台登入設定
管理員可以隨時查看 RAM 使用者當前的登入配置狀態,包括控制台訪問是否啟用、密碼狀態、MFA 設定等資訊。
控制台
使用Resource Access Management員登入RAM控制台。
在左側導覽列,選擇。
在使用者列表中,單擊目標RAM使用者名稱稱。
在认证管理頁簽下的登錄信息地區,查看以下登入設定狀態:
控制台访问:是否已開啟控制台訪問。有以下幾種狀態:
未开启。尚未啟用控制台訪問。
已禁用。管理員已禁用控制台訪問。
已启用。管理員已啟用控制台訪問。
最近登录时间:記錄使用者最後一次成功登入控制台的時間,可用於審計閑置帳號。
MFA 多因素认证:是否在登入控制台時要求完成多因素認證。
說明使用者登入時是否會被要求使用MFA,受到多個因素影響。具體如下(按優先順序從高到低),滿足任一條件均會在登入時要求使用MFA:
在RAM全域MFA策略中設定了強制所有使用者登入時必須使用MFA(預設值)。具體設定請參見多因素認證設定。
單個RAM使用者登入設定中要求MFA多因素認證。
使用者已經綁定了MFA認證裝置,例如安全手機、虛擬MFA等。
如上述條件均不滿足,阿里雲仍會在每次登入時提示綁定 MFA,使用者可選擇跳過。
下次登录重置密码:是否要求使用者下次登入時重設密碼。
登录密码:顯示目前使用者的密碼狀態。瞭解什麼是初始密碼和初始密碼有效期間。
初始密码未过期。代表目前使用者的密碼為初始密碼且尚未到期。這種狀態下,使用者可以使用初始密碼登入控制台。
初始密码已过期。代表目前使用者的密碼為初始密碼且已到期。這種狀態下,使用者將無法使用初始密碼登入控制台。
非初始密码。代表目前使用者的密碼為非初始密碼,只受密碼有效期間影響,而不受初始密碼有效期間影響。
控制台登录:啟用控制台訪問後,可在此處複製該RAM使用者專用的登入連結。
OpenAPI
許可權要求:需要具備ram:GetLoginProfile操作許可權。
調用GetLoginProfile介面查看RAM使用者的控制台登入配置。
修改控制台登入設定
啟用控制台登入後,RAM 管理員可以按需修改登入設定,如禁用控制台登入、重設登入密碼等。
控制台
OpenAPI
許可權要求:需要具備ram:UpdateLoginProfile操作許可權。
調用UpdateLoginProfile介面修改使用者的控制台登入設定。
清空控制台登入設定
清空操作會徹底刪除 RAM 使用者的所有控制台登入資訊(包括密碼),且不可恢複。
RAM使用者的控制台登入資訊如果被清空,將無法自動回復,請謹慎操作。
清空RAM使用者的控制台登入設定後,該RAM使用者及該RAM使用者當前扮演的RAM角色會被強制退出登入狀態。
控制台
使用Resource Access Management員登入RAM控制台。
在左側導覽列,選擇。
在使用者列表中,單擊目標RAM使用者名稱稱。
在认证管理頁簽下的登錄信息地區,單擊清空登录设置。
在彈出的清空登入設定確認框中,單擊確定。
OpenAPI
許可權要求:需要具備ram:DeleteLoginProfile操作許可權。
調用DeleteLoginProfile介面清空使用者的控制台登入設定。
清空控制台登入設定不會同時清空使用者的通行密鑰、MFA綁定資訊以及AccessKey。
安全最佳實務
強制啟用 MFA:為所有需要登入控制台的使用者開啟 MFA,這是保護賬戶安全最有效措施之一。
初始密碼需重設:設定初始密碼時,務必勾選需要重設密碼,避免管理員與使用者共用密碼。
區分控制台與 API 訪問帳號:僅需 API 訪問的程式化帳號(如 CI/CD 或應用帳號)應禁用控制台登入,減小攻擊面。
定期審計與清理:定期檢查最近登入時間,及時禁用或清理長期未登入的閑置使用者帳號。
常見問題
“禁用控制台訪問”和“清空登入設定”有何區別?
禁用可逆,可保留密碼與其他登入設定;清空無法復原,刪除全部登入資訊。
禁用控制台登入會影響 AccessKey 訪問嗎?
不會。控制台登入與 API 訪問相互獨立。如需禁止使用者使用 AccessKey,應執行禁用 AccessKey 操作。
修改密碼或禁用登入對當前會話有何影響?
目前使用者的控制台會話及該使用者扮演的 RAM 角色會話會被立即終止,需重新登入。這可能會中斷進行中的操作。
使用者忘記密碼怎麼辦?可以自行重設控制台登入密碼嗎?
RAM 使用者無法自行重設控制台登入密碼,必須由管理員重設。具體操作參見Resource Access Management員為使用者修改密碼。
管理員如何擷取使用者的最近登入時間?
控制台查看使用者詳情頁-認證管理頁簽-登入資訊地區中的最近登入時間。
OpenAPI 可以調用GetLoginProfile得到LastLoginTime
控制台:在使用者詳情頁认证管理頁簽下的登錄信息地區查看使用者的最近登入時間。
OpenAPI:調用 GetLoginProfile 介面,傳回值中包含
LastLoginTime欄位。
什麼是初始密碼和初始密碼有效期間?
為了防範RAM使用者建立後長期未使用所帶來的安全風險(如密碼被盜用導致資源受威脅、產生非預期費用或遭受惡意勒索),自2026年1月26日起,RAM正式引入“初始密碼”機制。滿足特定條件的控制台登入密碼將被系統標記為“初始密碼”,預設有效期間為14天。若使用者未在有效期間內完成首次成功登入,該密碼將自動失效,必須由管理員重新設定。具體請參見公告。
滿足以下任一條件的密碼均被視為初始密碼:
首次建立:為RAM使用者首次設定的控制台登入密碼(包含自動產生的密碼和自訂密碼)。
重新啟用:清空RAM使用者控制台登入設定後,再次為其啟用並設定的密碼。
未登入重設:若初始密碼未在有效期間內被成功登入過,即使管理員為其重設了新密碼,新密碼仍被視為“初始密碼”,有效期間自重設之時起重新計算。
初始密碼有效期間與帳號密碼原則中的常規密碼有效期間同時生效,系統將優先執行兩者中較短的時間。管理員可在RAM全域密碼原則中修改預設的初始密碼有效期間,但為避免增加管理難度,建議初始密碼有效期間不要大於常規密碼有效期間。
如何查看使用者的初始密碼狀態?
在使用者詳情頁认证管理頁簽下的登錄信息地區查看使用者的密碼狀態。若顯示初始密碼已到期,則該使用者無法使用當前密碼登入,必須由管理員重設密碼。