AI 助理
文档备案控制台
官方文档
首页

获取用户凭证报告

更新时间:
复制 MD 格式
产品详情
我的收藏

通过RAM您可以生成和下载阿里云账号和RAM用户的登录凭证信息,包括控制台登录密码、访问密钥(AccessKey)和多因素认证(MFA)。您可以使用用户凭证报告进行合规性审计。

使用限制

如果RAM用户数量超过3500个,将无法生成用户凭证报告。

操作步骤

  1. 使用RAM管理员登录RAM控制台

  2. 在左侧导航栏,单击概览

  3. 概览页签,单击下载用户凭证报告

  4. 待用户凭证报告生成后,您可以单击下载,将报告保存到本地。

    说明

    用户凭证报告生成所需时间取决于阿里云账号内RAM用户的数量,如果报告生成时间过长,您可以选择稍后下载。每4小时您可以在控制台生成一份新的CSV格式的用户凭证报告,如果距离上一份报告生成时间不足4小时,则直接返回已经生成的报告,不会再生成新报告。

执行结果

用户凭证报告包含如下字段。

字段

示例值

描述

user

username@company-alias.onaliyun.com

用户名称。

第一行固定为阿里云账号,显示为<root>,从第二行开始是RAM用户,显示为UPN(User Principal Name)格式。

user_creation_time

2019-11-11T12:33:18Z

创建RAM用户的时间。

说明

时间格式按照ISO8601标准,并使用UTC时间。格式为:YYYY-MM-DDThh:mm:ssZ。

user_last_logon

2019-11-11T12:45:18Z

RAM用户的最近一次登录控制台的时间。

说明

RAM用户可能是通过密码或用户SSO登录。如果RAM用户从未登录过,则此字段显示为-

password_exist

TRUE

控制台登录密码是否存在。

取值为TRUEFALSE。具体如下:

  • RAM用户,取决于登录配置信息是否存在。

  • 对阿里云账号,则默认为TRUE

说明

如果您的账号是在资源目录中创建的资源账号,您可以获取阿里云账号密码相关的信息但密码实际不可用。更多信息,请参见创建成员

password_active

N/A

登录密码是否处于启用状态。

取值为TRUEFALSEN/A。具体如下:

  • 如果RAM用户的登录配置信息不存在,则为N/A

  • 阿里云账号默认为N/A

password_last_changed

2019-11-11T12:50:18Z

最后修改密码的时间。

如果RAM用户的登录配置信息不存在,则为N/A

说明

RAM只记录了20160405日以后的数据,如果最后一次修改时间在此之前,则为N/A。阿里云账号的密码修改时间有24小时以内的延迟。

password_next_rotation

2019-11-13T12:50:18Z

下次需修改密码的时间。具体如下:

  • 如果密码规则设定为密码永不过期,则为-

  • 如果RAM用户的登录配置信息不存在,则为N/A

  • 阿里云账号默认为N/A

mfa_active

TRUE

是否已经绑定MFA。

取值为TRUEFALSEN/A。如果RAM用户的登录配置信息不存在,则为N/A

access_key_1_exist

TRUE

第一个AccessKey是否存在。

取值为TRUEFALSE

access_key_1_active

TRUE

第一个AccessKey是否启用。

取值为TRUEFALSEN/A。如果没有AccessKey,则为N/A

access_key_1_last_rotated

2019-11-11T12:50:18Z

第一个AccessKey的创建或上次更改的时间。

如果没有AccessKey,则为N/A

access_key_1_last_used

2019-11-13T12:50:18Z

第一个AccessKey的最后使用时间。具体如下:

  • 如果AccessKey在系统开始跟踪最后使用时间后未使用过,则为-

  • 如果没有AccessKey,则为N/A

说明

最后使用时间从20190601号开始记录,有2小时以内的延迟。

access_key_2_exist

TRUE

第二个AccessKey是否存在。

取值为TRUEFALSE

access_key_2_active

TRUE

第二个AccessKey是否启用。

取值为TRUEFALSEN/A。如果没有AccessKey,则为N/A

access_key_2_last_rotated

2019-11-11T12:50:18Z

第二个AccessKey的创建或上次更改的时间。

如果没有AccessKey,则为N/A

access_key_2_last_used

2019-11-13T12:50:18Z

第二个AccessKey的最后使用时间。具体如下:

  • 如果AccessKey在系统开始跟踪最后使用时间后未使用过,则为-

  • 如果没有AccessKey,则为N/A

说明

最后使用时间从20190601号开始记录,有2小时以内的延迟。
说明

目前RAM用户只能创建2AccessKey。由于历史原因,部分用户拥有2个以上AccessKey,这些额外的AccessKey会显示在CSV文件的最后,以additional_access_key_开头。

导出用户权限策略

用户凭证报告仅包含凭据状态信息(控制台登录密码、AccessKey、MFA),不包含用户的权限策略信息。如需批量导出RAM用户的权限策略列表,通过RAM API实现。

操作步骤如下:

  1. 调用ListUsers获取当前账号下所有RAM用户列表。

  2. 对每个用户调用ListPoliciesForUser获取该用户关联的权限策略名称(PolicyName)和策略类型(PolicyType,取值为SystemCustom)。

阿里云CLI示例命令如下。

获取RAM用户列表:

aliyun ram ListUsers

获取指定用户的权限策略:

aliyun ram ListPoliciesForUser --UserName <RAM用户名>
上一篇:获取身份权限治理检测报告下一篇:访问密钥管理(AccessKey)