为提升阿里云账号下所有RAM用户的登录安全性并满足企业安全与合规要求,您可以为所有RAM用户设置统一的密码策略,包括密码长度、密码有效期和历史密码检查策略等。本文介绍如何配置密码策略,并提供配置建议。
密码策略是账户级别的全局设置,一旦修改,将影响当前阿里云账号下的所有RAM用户。RAM不支持为不同的用户组或单个用户设置差异化的密码策略。
适用范围
在配置密码策略前,请务必了解以下要点:
策略生效范围:密码策略仅对通过“用户名-密码”方式登录控制台的RAM用户生效,对AccessKey的程序化访问无任何影响。
策略变更生效时间:修改密码策略(例如提高密码长度要求或设置有效期)后,现有用户不会被立即强制要求修改密码。新策略将在用户下一次登录并被引导至修改密码时,或主动重置密码时生效并强制执行。
特殊登录场景:
用户SSO集成:如果您的企业通过IdP(身份提供商)与阿里云进行用户SSO集成,则无需设置RAM用户登录密码。若设置RAM用户登录配置,仍受到密码策略的约束,关闭用户SSO后可以使用密码登录。
阿里云不会保存您的密码明文,只会保存用单向加密处理后的随机值(加盐哈希值),没有任何方法能逆向还原成原始密码,以确保密码安全。
操作步骤
作为主账号或者拥有RAM管理员权限(AliyunRAMFullAccess)的RAM用户,您可以为所有RAM用户设置或修改统一的密码策略。
控制台
登录RAM控制台
在设置页面的密码策略区域,单击修改,设置密码规则。
单击确定。
OpenAPI
调用GetPasswordPolicy查看当前的密码策略
调用SetPasswordPolicy修改密码策略
密码策略参数说明
控制台参数 | 描述 | 默认值 | 配置建议 |
密码长度 | 密码的最小长度,取值范围:8~32。 | 8~32 | |
密码要包含的字符类型 | 密码中需要包含的字符类型,包括大写字母、小写字母、数字和符号。 | 未启用 | 建议至少勾选3项。 |
密码要包含不同字符 | 密码中需要包含的最小唯一字符数,最大值:8。例如,设置为3时, | 未启用 | 设置为4或更高,防止使用重复字符构造的弱密码。 |
密码不要包含用户名 | 密码中是否允许包含用户名。 | 未启用 | 建议启用 |
密码过期后不可登录 | 决定密码过期的用户是否还能登录控制台以自行修改密码。启用后,过期用户必须联系管理员重置密码才能再次登录。 | 未启用 | 设置密码有效期或初始密码有效期,可能导致部分密码立即过期。为了避免影响登录,建议调整密码有效期期间,先不启用该项设置。 |
密码有效期 | 密码的最长可用时间。单位:天。最大值:1095。 说明 重置密码将重置密码过期时间。 | 未启用 | 建议设置90天以内。 |
初始密码有效期 | 控制初始密码的有效期。若用户在有效期内未完成至少一次成功登录,初始密码将自动失效。 可设置范围:0–90 天。设置为 0 天表示关闭初始密码有效期策略。 | 14 天 | 建议保持默认值 14 天。初始密码有效期不应超过密码有效期。 |
不要重复使用历史密码 | 是否禁止使用最近N次的历史密码,N的最大值:24。 | 未启用 | |
密码重试次数 | 一小时内连续输入错误密码达到设定次数后,账号将被锁定1小时。最大值:32。 说明 重置密码可清除尝试登录次数。 | 未启用 | 建议设置5次以内的重试次数。 |
使用 API 设置密码时阻断风险密码 | 启用后,通过CreateLoginProfile、UpdateLoginProfile、ChangePassword接口设置密码时,系统会对 | 未启用 | 建议在启用前评估现有的自动化脚本和程序,确认其设置的密码能通过风险检测。启用后,试图设置弱密码的 API 调用将失败,可能导致用户创建或密码重置流程中断。 |