全部产品
Search
文档中心

访问控制:管理RAM用户安全设置

更新时间:Oct 20, 2023

阿里云账号(主账号)或RAM管理员可以通过修改RAM用户安全设置,提升RAM用户的账号安全性。RAM用户安全设置为全局设置,设置的规则适用所有RAM用户。

操作步骤

  1. 使用阿里云账号或RAM管理员登录RAM控制台

  2. 在左侧导航栏,选择身份管理 > 设置

  3. 安全设置页签的用户安全设置区域,单击修改用户安全设置

  4. 修改用户安全设置面板,设置参数。

    • 保存MFA验证状态7天:表示RAM用户使用多因素认证登录后,是否允许保存多因素认证的验证状态,其有效期为7天。

    • 自主管理密码:表示是否允许RAM用户修改密码。

    • 自主管理AccessKey:表示是否允许RAM用户管理访问密钥。

    • 自主管理MFA设备:表示是否允许RAM用户绑定或解绑多因素认证设备。

    • 登录时必须使用MFA:表示是否强制所有RAM用户在通过用户名和密码登录时必须启用多因素认证。

      • 强制所有用户:强制所有RAM用户在登录时必须启用多因素认证。

        说明

        如果设置了强制所有用户,则敏感操作二次验证功能会对所有RAM用户启用。即当RAM用户登录控制台进行敏感操作时,会触发风控拦截,要求其进行二次MFA身份验证。更多信息,请参见敏感操作二次身份验证

      • 依赖每个用户的独立配置:遵从每个RAM用户自身配置的多因素认证要求。更多信息,请参见管理RAM用户登录设置

      • 仅异常登录时使用:仅在登录地址变更、登录设备变更等登录环境不可信的情况下,强制启用多因素认证,其他情况不启用多因素认证。

        当您选中该项后,您还需要设置异常登录时是否二次验证MFA。具体如下:

        • 强制绑定验证:异常登录时,强制启用多因素认证。

        • 可跳过,不强制绑定:异常登录时,会提示RAM用户进行多因素认证,但允许RAM用户跳过。

      说明

      登录时必须使用MFA设置为仅异常登录时使用时,只在异常登录时校验MFA。如果您有使用权限策略中的条件(condition)关键字acs:MFAPresent,那么在RAM用户正常登录情况下无需验证MFA,该策略条件验证校验结果为不通过。如果要保证该条件关键字生效,建议您设置为依赖每个用户的独立配置

    • 允许在阿里云App保持长登录:表示是否允许RAM用户在阿里云App中长时间保持登录状态。

    • 登录会话的过期时间:表示RAM用户登录的有效期,单位为小时。取值范围1~24小时,默认值为6小时。

      说明

      通过切换角色或角色SSO登录控制台时,登录会话有效期也会受到登录会话的过期时间的限制,即最终的登录会话有效期将不会超过此参数设置的值。详情请参见使用RAM角色角色SSO的SAML响应

    • 登录掩码设置:登录掩码决定哪些IP地址会受到登录控制台的影响。默认为空,表示不限制登录IP地址。如果设置了登录掩码,使用密码登录或单点登录(SSO登录)时会受到影响,但使用访问密钥发起的API访问不受影响。您可以单击添加配置多个登录掩码,但最多不能超过40个。

  5. 单击确定