管理RAM用户登录设置 - 访问控制

本文介绍如何为 RAM 用户管理控制台登录设置，通过配置控制台访问开关、登录密码和多因素认证（MFA）等设置，以满足不同场景下的安全与合规要求。

功能概览

RAM 用户的控制台登录设置决定了用户访问阿里云控制台的方式和安全级别。控制台登录设置仅影响 RAM 用户的控制台登录行为，不影响通过访问密钥（AccessKey）进行的程序化访问。

下表总结了目前支持的登录配置项及其作用：

配置项	作用
控制台访问	控制 RAM 用户是否可以登录阿里云控制台。
设置密码	为 RAM 用户设置或重置控制台登录密码。
需要重置密码	强制用户在下次登录时修改密码。
MFA 多因素认证	强制用户在登录时通过多因素验证。

说明

开启 RAM 用户 SSO 登录后，上述登录设置（是否允许控制台登录、是否要求 MFA 等）不生效。

启用控制台登录

创建RAM 用户时默认不开启控制台登录。如需允许 RAM 用户通过密码登录阿里云控制台，需要先启用控制台登录并设置密码。可以通过控制台或 OpenAPI 完成此操作。

控制台

使用RAM管理员登录RAM控制台。
在左侧导航栏，选择身份管理 > 用户。
在用户列表中，单击目标RAM用户名称。
在认证管理页签下的登录信息区域，单击启用控制台登录。
在启用控制台登录对话框中，配置以下参数：
- 控制台访问：单击开启，启用RAM用户的控制台登录。
- 设置密码：选择自动生成密码或自定义密码。
- 需要重置密码：设置是否要求用户下次登录时重置密码。在设置初始密码时，建议选择用户在下次登录时必须重置密码，避免管理员与用户共享密码。
- MFA 多因素认证：设置是否要求RAM用户开启多因素认证。选中需要开启 MFA 认证后，用户在登录时会进入MFA绑定流程。建议保持默认选项，要求开启MFA认证。
单击确定。

OpenAPI

权限要求：需要具备ram:CreateLoginProfile操作权限。

调用CreateLoginProfile接口开启指定RAM用户的控制台登录，并为用户设置初始密码。

查看控制台登录设置

管理员可以随时查看 RAM 用户当前的登录配置状态，包括控制台访问是否启用、密码状态、MFA 设置等信息。

控制台

使用RAM管理员登录RAM控制台。
在左侧导航栏，选择身份管理 > 用户。
在用户列表中，单击目标RAM用户名称。
在认证管理页签下的登录信息区域，查看以下登录设置状态：
- 控制台访问：是否已开启控制台访问。有以下几种状态：
  - 未开启。尚未启用控制台访问。
  - 已禁用。管理员已禁用控制台访问。
  - 已启用。管理员已启用控制台访问。
- 最近登录时间：记录用户最后一次成功登录控制台的时间，可用于审计闲置账号。
- MFA 多因素认证：是否在登录控制台时要求完成多因素认证。
  说明
  用户登录时是否会被要求使用MFA，受到多个因素影响。具体如下（按优先级从高到低），满足任一条件均会在登录时要求使用MFA：
  - 在RAM全局MFA策略中设置了强制所有用户登录时必须使用MFA（默认值）。具体设置请参见多因素认证设置。
  - 单个RAM用户登录设置中要求MFA多因素认证。
  - 用户已经绑定了MFA认证设备，例如安全手机、虚拟MFA等。
  如上述条件均不满足，阿里云仍会在每次登录时提示绑定 MFA，用户可选择跳过。
- 下次登录重置密码：是否要求用户下次登录时重置密码。
- 登录密码：显示当前用户的密码状态。了解什么是初始密码和初始密码有效期。
  - 初始密码未过期。代表当前用户的密码为初始密码且尚未过期。这种状态下，用户可以使用初始密码登录控制台。
  - 初始密码已过期。代表当前用户的密码为初始密码且已过期。这种状态下，用户将无法使用初始密码登录控制台。
  - 非初始密码。代表当前用户的密码为非初始密码，只受密码有效期影响，而不受初始密码有效期影响。
- 控制台登录：启用控制台访问后，可在此处复制该RAM用户专用的登录链接。

OpenAPI

权限要求：需要具备ram:GetLoginProfile操作权限。

调用GetLoginProfile接口查看RAM用户的控制台登录配置。

修改控制台登录设置

启用控制台登录后，RAM 管理员可以按需修改登录设置，如禁用控制台登录、重置登录密码等。

控制台

使用RAM管理员登录RAM控制台。
在左侧导航栏，选择身份管理 > 用户。
在用户列表中，单击目标RAM用户名称。
在认证管理页签下的登录信息区域，单击修改登录设置。
在弹出的修改登录设置对话框中，修改控制台登录参数。
- 控制台访问：单击禁用，禁用RAM用户的控制台登录。
  重要
  禁用控制台访问后，该RAM用户及该RAM用户当前扮演的RAM角色会被强制退出登录状态。
  禁用控制台登录会同时导致通行密钥无法登录控制台。
- 其余设置的说明与启用控制台登录相同。
单击确定。

OpenAPI

权限要求：需要具备ram:UpdateLoginProfile操作权限。

调用UpdateLoginProfile接口修改用户的控制台登录设置。

清空控制台登录设置

清空操作会彻底删除 RAM 用户的所有控制台登录信息（包括密码），且不可恢复。

警告

RAM用户的控制台登录信息如果被清空，将无法自动恢复，请慎重操作。
清空RAM用户的控制台登录设置后，该RAM用户及该RAM用户当前扮演的RAM角色会被强制退出登录状态。

控制台

使用RAM管理员登录RAM控制台。
在左侧导航栏，选择身份管理 > 用户。
在用户列表中，单击目标RAM用户名称。
在认证管理页签下的登录信息区域，单击清空登录设置。
在弹出的清空登录设置确认框中，单击确定。

OpenAPI

权限要求：需要具备ram:DeleteLoginProfile操作权限。

调用DeleteLoginProfile接口清空用户的控制台登录设置。

说明

清空控制台登录设置不会同时清空用户的通行密钥、MFA绑定信息以及AccessKey。

安全最佳实践

强制启用 MFA：为所有需要登录控制台的用户开启 MFA，这是保护账户安全最有效的措施之一。
初始密码需重置：设置初始密码时，务必勾选需要重置密码，避免管理员与用户共享密码。
区分控制台与 API 访问账号：仅需 API 访问的程序化账号（如 CI/CD 或应用账号）应禁用控制台登录，减小攻击面。
定期审计与清理：定期检查最近登录时间，及时禁用或清理长期未登录的闲置用户账号。

常见问题

“禁用控制台访问”和“清空登录设置”有何区别？

禁用可逆，可保留密码与其他登录设置；清空不可逆，删除全部登录信息。

禁用控制台登录会影响 AccessKey 访问吗？

不会。控制台登录与 API 访问相互独立。如需禁止用户使用 AccessKey，应执行禁用 AccessKey 操作。

修改密码或禁用登录对当前会话有何影响？

当前用户的控制台会话及该用户扮演的 RAM 角色会话会被立即终止，需重新登录。这可能会中断正在进行的操作。

用户忘记密码怎么办？可以自行重置控制台登录密码吗？

RAM 用户无法自行重置控制台登录密码，必须由管理员重置。具体操作参见RAM管理员为用户修改密码。

管理员如何获取用户的最近登录时间？

控制台查看用户详情页-认证管理页签-登录信息区域中的最近登录时间。

OpenAPI 可以调用GetLoginProfile得到LastLoginTime

控制台：在用户详情页认证管理页签下的登录信息区域查看用户的最近登录时间。
OpenAPI：调用 GetLoginProfile 接口，返回值中包含 LastLoginTime 字段。

什么是初始密码和初始密码有效期？

为了防范RAM用户创建后长期未使用所带来的安全风险（如密码被盗用导致资源受威胁、产生非预期费用或遭受恶意勒索），自2026年1月26日起，RAM正式引入“初始密码”机制。满足特定条件的控制台登录密码将被系统标记为“初始密码”，默认有效期为14天。若用户未在有效期内完成首次成功登录，该密码将自动失效，必须由管理员重新设置。具体请参见公告。

满足以下任一条件的密码均被视为初始密码：

首次创建：为RAM用户首次设置的控制台登录密码（包含自动生成的密码和自定义密码）。
重新启用：清空RAM用户控制台登录设置后，再次为其启用并设置的密码。
未登录重置：若初始密码未在有效期内被成功登录过，即使管理员为其重置了新密码，新密码仍被视为“初始密码”，有效期自重置之时起重新计算。

初始密码有效期与账号密码策略中的常规密码有效期同时生效，系统将优先执行两者中较短的时间。管理员可在RAM全局密码策略中修改默认的初始密码有效期，但为避免增加管理难度，建议初始密码有效期不要大于常规密码有效期。

如何查看用户的初始密码状态？

在用户详情页认证管理页签下的登录信息区域查看用户的密码状态。若显示初始密码已过期，则该用户无法使用当前密码登录，必须由管理员重置密码。