通过RAM您可以生成和下载阿里云账号和RAM用户的登录凭证信息,包括控制台登录密码、访问密钥(AccessKey)和多因素认证(MFA)。您可以使用用户凭证报告进行合规性审计。
使用限制
如果RAM用户数量超过3500个,将无法生成用户凭证报告。
操作步骤
使用RAM管理员登录RAM控制台。
在左侧导航栏,单击概览。
在概览页签,单击下载用户凭证报告。
待用户凭证报告生成后,您可以单击下载,将报告保存到本地。
说明用户凭证报告生成所需时间取决于阿里云账号内RAM用户的数量,如果报告生成时间过长,您可以选择稍后下载。每4小时您可以在控制台生成一份新的CSV格式的用户凭证报告,如果距离上一份报告生成时间不足4小时,则直接返回已经生成的报告,不会再生成新报告。
执行结果
用户凭证报告包含如下字段。
字段 | 示例值 | 描述 |
user | username@company-alias.onaliyun.com | 用户名称。 第一行固定为阿里云账号,显示为<root>,从第二行开始是RAM用户,显示为UPN(User Principal Name)格式。 |
user_creation_time | 2019-11-11T12:33:18Z | 创建RAM用户的时间。 说明 时间格式按照ISO8601标准,并使用UTC时间。格式为:YYYY-MM-DDThh:mm:ssZ。 |
user_last_logon | 2019-11-11T12:45:18Z | RAM用户的最近一次登录控制台的时间。 说明 RAM用户可能是通过密码或用户SSO登录。如果RAM用户从未登录过,则此字段显示为 |
password_exist | TRUE | 控制台登录密码是否存在。 取值为
说明 如果您的账号是在资源目录中创建的资源账号,您可以获取阿里云账号密码相关的信息但密码实际不可用。更多信息,请参见创建成员。 |
password_active | N/A | 登录密码是否处于启用状态。 取值为
|
password_last_changed | 2019-11-11T12:50:18Z | 最后修改密码的时间。 如果RAM用户的登录配置信息不存在,则为 说明 RAM只记录了2016年04月05日以后的数据,如果最后一次修改时间在此之前,则为 |
password_next_rotation | 2019-11-13T12:50:18Z | 下次需修改密码的时间。具体如下:
|
mfa_active | TRUE | 是否已经绑定MFA。 取值为 |
access_key_1_exist | TRUE | 第一个AccessKey是否存在。 取值为 |
access_key_1_active | TRUE | 第一个AccessKey是否启用。 取值为 |
access_key_1_last_rotated | 2019-11-11T12:50:18Z | 第一个AccessKey的创建或上次更改的时间。 如果没有AccessKey,则为 |
access_key_1_last_used | 2019-11-13T12:50:18Z | 第一个AccessKey的最后使用时间。具体如下:
说明 最后使用时间从2019年06月01号开始记录,有2小时以内的延迟。 |
access_key_2_exist | TRUE | 第二个AccessKey是否存在。 取值为 |
access_key_2_active | TRUE | 第二个AccessKey是否启用。 取值为 |
access_key_2_last_rotated | 2019-11-11T12:50:18Z | 第二个AccessKey的创建或上次更改的时间。 如果没有AccessKey,则为 |
access_key_2_last_used | 2019-11-13T12:50:18Z | 第二个AccessKey的最后使用时间。具体如下:
说明 最后使用时间从2019年06月01号开始记录,有2小时以内的延迟。 |
目前RAM用户只能创建2个AccessKey。由于历史原因,部分用户拥有2个以上AccessKey,这些额外的AccessKey会显示在CSV文件的最后,以additional_access_key_开头。