变更内容

阿里云一直致力于提升云服务的安全性，并尽最大努力支持您更好地保护您的账户及资产安全。若RAM控制台登录用户创建后长期无人使用，存在初始密码被盗用风险，可能会威胁账号下所有资源的安全、产生非预期的费用以及被恶意勒索等。为防范此类风险，RAM访问控制产品将上线“RAM用户控制台初始登录密码默认有效期”功能。

自2026年1月26日起开始，新创建和重新启用的控制台登录密码，在满足特定条件时将被标记为“初始密码”，并默认设置为14天有效期。在此期间未完成首次成功登录的，密码将自动失效。

• 满足以下任一条件属于初始密码：
  • 首次创建的RAM用户控制台登录密码
  • 清空RAM用户登录设置后重新启用，所设置的密码
  • 若初始密码未在有效期内成功登录过，即使更换新密码，仍被视为“初始密码”，有效期重新计算。

说明：禁用RAM用户的控制台登录不会暂停或延长初始密码的有效期。

• 初始密码有效期规则：
  • 初始密码在14天内未完成至少一次成功登录，密码将自动失效，用户无法再使用该密码登录，必须由管理员重置。
  • 一旦用户在14天内使用初始密码成功登录一次，将不再视为初始密码，后续有效期仅遵循账号级密码策略配置（密码有效期、过期后是否可以登录），修改密码也不再视为初始密码。
  • 账号密码策略中的密码有效期与初始密码有效期同时有效，两者更短的时间会先执行。
• 初始密码有效期可配置：为提升管理灵活性，将同时在访问控制【设置】的【密码策略】中新增“初始密码有效期”配置项，支持管理员自定义该期限：
  • 可设置范围：0–90 天
  • 默认值：14 天
  • 设置为 0 天表示关闭初始密码有效期策略

说明：建议不要将初始密码有效期设置大于长期密码有效期，以免增加密码管理难度。

• 提示与查询方式：
  • 创建或重置密码时将明确提示该密码是否为初始密码。
  • 管理员可通过控制台或调用相关 OpenAPI（如 GetLoginProfile）查询密码状态及有效期信息。

变更影响

该功能2026年1月26日起开始按云账号灰度，至2026年2月6日完成发布。

建议 RAM 管理员关注此项变更，待功能上线后合理配置初始密码有效期，并对新建用户做好登录密码有效期的通知，避免因密码失效影响正常使用。

如果您有任何疑问或需要进一步的帮助，可随时通过工单或者服务热线与我们联系。感谢您的理解和信任。