保护账号登录
本文重点介绍登录掩码,账号登录保持时间以及密保问题的设置方法。
账号安全建议
为保障您的阿里云账号及云上资产安全,阿里云提供了多层次的安全防护措施。建议您根据业务的安全要求,组合使用以下功能,构建纵深防御体系。
安全措施 | 核心作用 | 适用场景 |
强烈推荐。在密码之外增加一层动态验证码,是抵御账号被盗最有效的手段之一。 | 所有账号,尤其是持有重要资产的主账号。 | |
遵循最小权限原则,为不同成员创建独立的RAM用户并授予有限权限,避免共享主账号,有效隔离风险。 | 所有涉及团队协作、权限委托的场景。 | |
将登录限制在固定的公网IP地址,提供极高的访问控制。配置不当有锁定账号的风险。 | 拥有长期固定公网IP的企业或个人,对安全有极高要求的场景。 | |
平衡操作便利性与安全风险,缩短在公共设备上的登录时长,降低会话被劫持的风险。 | 所有用户,根据所处网络环境(如公共网络、公司内网)动态调整。 | |
不推荐。作为一种传统的身份验证方式,安全性较低,建议优先使用MFA。 | 仅作为备用或用于兼容部分旧流程,不建议新用户启用。 |
设置账号登录IP白名单(登录掩码)
为实现最高级别的登录安全控制,您可以设置登录掩码,也就是IP白名单,将账号登录权限限制在指定的公网IP地址或IP地址段。设置后,只有来源IP在白名单内的访问请求才能成功登录阿里云控制台。
最佳实践:为防止意外锁定,建议您在设置主要IP的同时,单击新增,添加一个备用的、绝对可信的固定IP地址(如另一条固定线路的IP)作为紧急通道。
设置登录掩码后,您只能通过指定IP地址或指定IP地址段内的IP地址登录阿里云官网,其他IP地址均无法登录,请您谨慎操作。
操作步骤
PC端和移动端的登录IP白名单可以分开独立设置。
登录账号中心,在左侧导航栏中,选择。
在登录保护区域,根据需要单击PC端登录掩码或移动端登录掩码右侧的修改。
在弹出的对话框中,完成以下配置:
打开PC端开关或移动端开关。
在登录掩码输入框中填写目标IP地址(例如:192.168.0.1,表示您只能通过该IP地址登录阿里云官网),然后单击确定。
说明如果您需要设置多个登录掩码,可以单击新增继续添加;如果有不需要的登录掩码,可以单击删除将其移除。
如果您填写的是IP地址段,例如:192.168.0.0/16,则表示您只能通过192.168.0.0至192.168.255.254范围内的IP地址登录阿里云官网。
当前阿里云账号通过不在白名单的IP地址登录时,提示登录失败。
因IP白名单导致无法登录的恢复方法
如果您因IP配置错误(例如,您所在网络的公网IP发生变化)而无法登录控制台,可以通过人工申诉的方式申请清除所有IP白名单设置。
申诉方式:参考文档无法完成身份验证,如何申诉?,选择申诉业务为清除IP登录掩码,然后单击开始申诉,并按指引完成后续流程。
人工申诉审核流程通常需要三个工作日,请谨慎规划。
设置账号登录保持时间
登录保持时间指您登录阿里云控制台后,浏览器会话(Session)能够保持有效的最长时长,超过该时间系统会自动退出登录。
默认时长:阿里云账号的默认登录保持时长为48小时
生效范围:
适用:仅对阿里云账号(主账号)通过浏览器登录控制台的会话有效。
不适用:不影响RAM用户的登录会话(需在查看RAM用户的AccessKey信息中单独设置),也不影响通过AccessKey进行的API或SDK调用。
配置建议
延长登录时间会增加便利性,但也会增大设备被未授权访问时的风险窗口。请根据您的工作环境谨慎选择。
建议时长 | 安全级别 | 适用场景 |
1~8小时 | 高 | 在公共网络、多人共用设备或处理高敏感操作(如财务、权限管理)时。 |
8~24小时 | 中 | 在个人受信任的设备和安全的网络环境下进行日常操作,是多数场景下的推荐配置。 |
24~72小时 | 较低 | 仅在完全受控且物理安全的私有环境(如家庭办公室)中使用,并确保设备已启用锁屏保护。 |
操作步骤
登录账号中心,在左侧导航栏中,选择。
在登录保护区域,单击登录保持时间右侧的修改。
进入修改登录保持时间面板,确认时间后点击确定。
设置或修改密保问题
若您的账号尚未设置密保问题,可以通过以下操作进行设置;若您的账号之前已设置过密保问题,可以通过以下操作对其进行更新。
密保问题设置成功后,无法取消,仅可对密保问题进行修改。
操作步骤
登录账号中心,在左侧导航栏中,选择。
在登录保护区域,单击密保问题右侧的修改。
完成身份验证后,您可以选择密保问题并填写相应的答案,然后单击确定提交。
提交成功后,您的阿里云账号的密保问题已成功设置。
