阿里云账号(主账号)或RAM管理员可以通过修改RAM用户安全设置,提升RAM用户的账号安全性。RAM用户安全设置为全局设置,设置的规则适用所有RAM用户。

操作步骤

  1. 使用阿里云账号或RAM管理员登录RAM控制台
  2. 在左侧导航栏,选择身份管理 > 设置
  3. 安全设置页签的用户安全设置区域,单击修改用户安全设置
  4. 修改用户安全设置面板,设置参数。
    • 保存MFA验证状态7天:表示RAM用户使用多因素认证登录后,是否允许保存多因素认证的验证状态,其有效期为7天。
    • 自主管理密码:表示是否允许RAM用户修改密码。
    • 自主管理AccessKey:表示是否允许RAM用户管理访问密钥。
    • 自主管理MFA设备:表示是否允许RAM用户绑定或解绑多因素认证设备。
    • 登录时必须使用MFA:表示是否强制所有RAM用户在通过用户名和密码登录时必须启用多因素认证。
      • 强制所有用户:强制所有RAM用户在登录时必须启用多因素认证。
        说明 如果设置了强制所有用户,则敏感操作二次验证功能会对所有RAM用户启用。即当RAM用户登录控制台进行敏感操作时,会触发风控拦截,要求其进行二次MFA身份验证。更多信息,请参见敏感操作二次身份验证
      • 依赖每个用户的独立配置:遵从每个RAM用户自身配置的多因素认证要求。更多信息,请参见管理RAM用户登录设置
    • 登录会话的过期时间:表示RAM用户登录的有效期,单位为小时。取值范围1~24小时,默认值为6小时。
      说明 通过切换角色或角色SSO登录控制台时,登录会话有效期也会受到登录会话的过期时间的限制,即最终的登录会话有效期将不会超过此参数设置的值。详情请参见使用RAM角色角色SSO的SAML响应
    • 登录掩码设置:登录掩码决定哪些IP地址会受到登录控制台的影响。默认为空,表示不限制登录IP地址。如果设置了登录掩码,使用密码登录或单点登录(SSO登录)时会受到影响,但使用访问密钥发起的API访问不受影响。您可以单击添加配置多个登录掩码,但最多不能超过25个。
  5. 单击确定