通过RAM您可以生成和下载云账号和RAM用户的登录凭证信息,包括控制台登录密码、访问密钥(AccessKey)和多因素认证(MFA)。您可以使用用户凭证报告进行合规性审计。

操作步骤

  1. 云账号或具有管理访问控制权限(AliyunRAMFullAccess)的RAM用户登录RAM控制台
  2. 在左侧导航栏,单击概览
  3. 安全检查区域下,单击下载用户凭证报告
  4. 待用户凭证报告生成后,您可以单击下载,将报告保存到本地。
    说明 用户凭证报告生成所需时间视云账号内RAM用户的数量而定,如果报告生成时间过长,您可以选择稍后下载。每4小时您可以在控制台生成一份新的CSV格式的用户凭证报告,如果距离上一份报告生成时间不足4小时,则直接返回已经生成好的报告,而不会生成新报告。

执行结果

用户凭证报告包含如下字段。

字段 示例值 描述
user username@company-alias.onaliyun.com 用户名称。第一行固定为云账号,显示为<root>,从第二行开始是RAM用户,显示为UPN(User Principal Name)格式。
user_creation_time 2019-11-11T12:33:18Z 创建用户的时间。
说明 时间格式按照ISO8601标准,并使用UTC时间。格式为:YYYY-MM-DDThh:mm:ssZ。
user_last_logon 2019-11-11T12:45:18Z RAM用户的最近一次登录控制台的时间。
说明 RAM用户可能是通过密码或用户SSO登录。如果RAM用户从未登录过,则此字段显示为-
password_exist TRUE 控制台登录密码是否存在。取值为TRUEFALSE
  • 对RAM用户,取决于登录配置信息是否存在。
  • 对云账号,则默认为TRUE
说明 如果您的账号是在资源目录中创建的资源账号,您可以获取云账号密码相关的信息但密码实际不可用。
password_active N/A 登录密码是否处于启用状态。取值为TRUEFALSEN/A
  • 如果RAM用户的登录配置信息不存在,则为N/A
  • 云账号默认为N/A
password_last_changed 2019-11-11T12:50:18Z 最后修改密码的时间。如果RAM用户的登录配置信息不存在,则为N/A
说明 RAM只记录了2016年4月5日以后的数据,如果最后一次修改时间在此之前,则为N/A。云账号的密码修改时间有24小时以内的延迟。
password_next_rotation 2019-11-13T12:50:18Z 下次需修改密码的时间。
  • 如果密码规则设定为密码永不过期,则为-
  • 如果RAM用户的登录配置信息不存在,则为N/A
  • 云账号默认为N/A
mfa_active TRUE 是否已经绑定MFA。取值为TRUEFALSEN/A。如果RAM用户的登录配置信息不存在,则为N/A
access_key_1_exist TRUE AccessKey1是否存在。取值为TRUEFALSE
access_key_1_active TRUE AccessKey1是否启用。取值为TRUEFALSEN/A。如果没有AccessKey,则为N/A
access_key_1_last_rotated 2019-11-11T12:50:18Z 用户第1个AccessKey的创建或上次更改的时间。如果没有AccessKey,则为N/A
access_key_1_last_used 2019-11-13T12:50:18Z AccessKey1的最后使用时间。
  • 如果AccessKey在系统开始跟踪最后使用时间后未使用过,则为-
  • 如果没有AccessKey,则为N/A
说明 最后使用时间从2019年6月1号开始记录,有2小时以内的延迟。
access_key_2_exist TRUE AccessKey2是否存在。取值为TRUEFALSE
access_key_2_active TRUE AccessKey2是否启用。取值为TRUEFALSEN/A。如果没有AccessKey,则为N/A
access_key_2_last_rotated 2019-11-11T12:50:18Z 用户第2个AccessKey的创建或上次更改的时间。如果没有AccessKey,则为N/A
access_key_2_last_used 2019-11-13T12:50:18Z AccessKey2的最后使用时间。
  • 如果AccessKey在系统开始跟踪最后使用时间后未使用过,则为-
  • 如果没有AccessKey,则为N/A
说明 最后使用时间从2019年6月1号开始记录,有2小时以内的延迟。
说明 目前RAM控制台只能创建2个AccessKey。由于历史原因,部分用户拥有2个以上AccessKey,这些额外的AccessKey会显示在CSV文件的最后,以additional_access_key_开头。