修改RAM用户的控制台登录密码-访问控制(RAM)-阿里云帮助中心

本文介绍不同角色的用户（RAM管理员或RAM用户本人）如何通过控制台或调用API修改RAM用户的登录密码。适用于因安全策略需要定期轮换密码，或因用户忘记密码、密码过期、账户被锁定等原因需要重置密码的场景。

操作影响

修改RAM用户的登录密码将导致以下影响，请在业务低峰期执行此操作：

强制退出控制台：该RAM用户所有已登录的阿里云控制台会话将立即失效，需要使用新密码重新登录。
关联会话一并退出：该用户当前扮演的RAM角色也会被强制退出所有已登录的控制台会话。
AccessKey不受影响：该RAM用户的访问密钥AccessKey不受影响。

弱密码识别与拦截

创建或修改RAM用户的登录密码时，RAM 会基于持续更新的弱密码库，通过加密比对识别高风险弱密码（阿里云不获取、传输或存储明文密码），并对弱密码强制拦截。弱密码检测与密码强度策略同时生效，即使密码满足强度规则，被识别为弱密码时仍会触发拦截。密码策略的配置方法见设置RAM用户密码策略。

控制台

检测时机：选择自定义密码并提交时触发。自动生成密码不涉及弱密码检测。适用于以下场景：
- 管理员创建新用户并设置登录密码。
- 管理员为用户重置登录密码。
- 用户因首次登录或密码过期被要求重置密码。
- 用户主动修改登录密码。
拦截表现：密码被识别为弱密码时，系统强制拦截并提示更换。需重新输入同时满足密码强度策略且非弱密码的密码。

OpenAPI

策略前提：须在密码策略中开启 使用 API 设置密码时阻断风险密码（默认关闭）。配置方法见设置RAM用户密码策略。
涉及接口：CreateLoginProfile、UpdateLoginProfile、ChangePassword。开启上述开关后，向 Password 或NewPassword参数传入弱密码时调用失败。

错误响应：错误码为 InvalidParameter.RiskPassword.Weak，表明密码被识别为弱密码。典型响应如下：

{
  "RequestId": "7348E639-3A47-593D-9914-D7A9729D****",
  "HostId": "ims.aliyuncs.com",
  "Code": "InvalidParameter.RiskPassword.Weak",
  "Message": "The specified password was detected as a weak password, please set a stronger password.",
  "Recommend": "https://api.aliyun.com/troubleshoot?q=InvalidParameter.RiskPassword.Weak&product=Ims&requestId=7348E639-3A47-593D-9914-D7A9729D****"
}

RAM管理员为用户修改密码

作为主账号或者拥有RAM管理员权限（AliyunRAMFullAccess）的RAM用户，您可以为名下的RAM用户设置初始密码，或在用户忘记密码等情况下为其重置密码。

控制台

登录RAM控制台
在左侧导航栏选择身份管理 > 用户。
在用户页面，单击目标RAM用户名称。
在认证管理页签，您可以管理用户的登录凭证。为保障账户安全，RAM不支持直接查看已设置的密码，只允许重置。根据目标用户当前状态，界面会显示不同按钮：
- 若用户从未管理RAM用户登录设置，您可以单击启用控制台登录为RAM用户设置初始登录密码。
- 若用户已启用控制台登录，您可以单击修改登录设置，修改RAM用户密码。
在弹出的修改登录设置面板的设置密码区域，配置新密码。
- 选择保留当前密码，表示不修改密码。
- 选择自动生成密码，会自动生成登录密码，请记录并妥善保管新密码。
  重要
  系统自动生成的密码仅会在此处显示一次，关闭面板后将无法找回。请立即复制并安全地交付给用户。
- 选择自定义密码，您需要输入自定义的新密码。输入的新密码必须符合当前账号的密码强度要求。阿里云默认的密码策略要求为长度为8-32个字符。如需查看或修改密码策略，请参见设置RAM用户密码策略。
  说明
  自定义密码会经弱密码检测，命中弱密码时控制台拦截保存。详情请参见弱密码识别与拦截。
（可选）根据需要，在需要重置密码区域勾选用户在下次登录时必须重置密码，适用于将初始密码安全交付给用户的场景。
单击确定。

OpenAPI

调用GetPasswordPolicy或参考设置RAM用户密码策略登录控制台查询当前账号的RAM用户密码强度策略。
根据目标用户当前状态
- 若用户尚未管理RAM用户登录设置，调用CreateLoginProfile为RAM用户设置初始登录密码。
- 若用户已启用控制台登录，调用UpdateLoginProfile，在Password字段传入修改后的新密码。

说明

通过CreateLoginProfile、UpdateLoginProfile传入 Password 时，若账号已开启设置 使用 API 设置密码时阻断风险密码，弱密码会导致调用失败。详情请参见弱密码识别与拦截。

RAM用户修改自己的登录密码

如果RAM管理员允许RAM用户自主管理密码，并且RAM用户记得当前的登录密码，RAM用户也可以登录控制台自行修改密码。

前提条件

您的RAM管理员必须已开启 允许用户管理密码的设置。此项为默认开启，如果被禁用，您将无法自行修改密码，需联系主账号或者拥有RAM管理员权限（AliyunRAMFullAccess）的RAM用户完成如下配置，更多信息可参考管理RAM用户安全设置。

控制台

登录RAM控制台。
在左侧导航栏，选择设置，在全局安全区域，单击修改，可以设置允许用户管理密码。

OpenAPI

调用SetSecurityPreference，修改AllowUserToChangePassword字段为true。

RAM用户修改密码

控制台

RAM用户访问RAM用户登录页面，完成登录。
鼠标悬停在右上角头像的位置，单击登录安全。
在登录信息区域，单击密码管理右侧的修改密码。
输入旧密码和新密码后，点击确定，完成修改。
说明
新密码会经弱密码检测，命中弱密码时控制台拦截保存。规则与表现详见弱密码识别与拦截。

OpenAPI

调用ChangePassword完成修改。

说明

通过ChangePassword传入 NewPassword 时，若账号已开启设置 使用 API 设置密码时阻断风险密码，弱密码会导致调用失败。详情请参见弱密码识别与拦截。