阿里云账号可以通过修改RAM用户安全设置更好地管理RAM用户的权限。

操作步骤

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏,选择身份管理 > 设置
  3. 安全设置页签,单击修改用户安全设置
  4. 修改用户安全设置面板,设置参数。
    • 保存MFA验证状态7天:表示RAM用户使用多因素认证登录后,是否允许保存多因素认证的验证状态,其有效期为7天。
    • 自主管理密码:表示是否允许RAM用户修改密码。
    • 自主管理AccessKey:表示是否允许RAM用户管理访问密钥。
    • 自主管理MFA设备:表示是否允许RAM用户绑定或解绑多因素认证设备。
    • 登录时必须使用MFA:表示是否强制所有RAM用户在通过用户名和密码登录时必须启用多因素认证。
      • 强制所有用户:强制所有RAM用户在登录时必须启用多因素认证。
        说明 如果设置了强制所有用户,则敏感操作二次验证功能会对所有RAM用户启用。即当RAM用户登录控制台进行敏感操作时,会触发风控拦截,要求其进行二次MFA身份验证。更多信息,请参见敏感操作二次验证
      • 依赖每个用户的独立配置:遵从每个RAM用户自身配置的多因素认证要求。更多信息,请参见管理RAM用户登录设置
      • 仅异常登录时使用:仅在登录地址变更、登录设备变更等登录环境不可信的情况下,强制启用多因素认证,其他情况不启用多因素认证。
        当您选中该项后,您还需要设置异常登录时是否二次验证MFA。具体如下:
        • 强制绑定验证:异常登录时,强制启用多因素认证。
        • 可跳过,不强制绑定:异常登录时,会提示RAM用户进行多因素认证,但允许RAM用户跳过。
    • 自主管理钉钉:表示是否允许RAM用户绑定或解绑钉钉账号。
    • 登录会话的过期时间:表示RAM用户登录的有效期,单位为小时。取值范围1~24小时,默认值为6小时。
      说明 通过切换角色或角色SSO登录控制台时,登录会话有效期也会受到登录会话的过期时间的限制,即最终的登录会话有效期将不会超过此参数设置的值。详情请参见使用RAM角色角色SSO的SAML响应
    • 登录掩码设置:登录掩码决定哪些IP地址会受到登录控制台的影响。默认为空,表示不限制登录IP地址。如果设置了登录掩码,使用密码登录或单点登录(SSO登录)时会受到影响,但使用访问密钥发起的API访问不受影响。您可以单击添加配置多个登录掩码,但最多不能超过25个。
  5. 单击确定
    说明 设置成功后,此规则适用于所有RAM用户。