您可以修改RAM用户安全设置,包括全局安全、多因素认证(MFA)、网络访问限制等,提升RAM用户的账号安全性。RAM用户安全设置为全局设置,适用于所有RAM用户。
全局安全设置
使用RAM管理员登录RAM控制台。
在设置页面的全局安全区域,单击修改,设置全局安全参数。
参数
描述
允许用户管理密码
选中启用,表示允许RAM用户管理自己的登录密码。
允许用户管理MFA设备
选中启用,表示允许RAM用户为自己绑定或解绑MFA设备。
允许用户管理AccessKey
选中启用,表示允许RAM用户管理自己的AccessKey。
允许用户管理钉钉绑定
选中启用,表示允许RAM用户为自己绑定或解绑钉钉账号。
登录会话的过期时间
RAM用户登录会话的有效期。单位:小时。取值范围:1~24,默认值:6。
说明通过切换角色或角色SSO登录控制台时,登录会话有效期也会受到登录会话的过期时间的限制,即最终的登录会话有效期将不会超过此参数设置的值。详情请参见扮演RAM角色、角色SSO的SAML响应。
允许保持长登录
选中启用,表示允许RAM用户在阿里云App、阿里云ECS客户端中长时间保持登录状态。最长可以保持90天。
说明当阿里云安全平台判断发生异常登录时,登录态将失效,会要求重新登录。
单击确定。
多因素认证设置
使用RAM管理员登录RAM控制台。
在设置页面的多因素认证区域,单击修改,设置MFA参数。
参数
描述
允许使用的MFA设备
RAM用户登录控制台或进行敏感操作时的二次身份验证方式。具体如下:
MFA设备:通过虚拟MFA或U2F安全密钥进行二次身份验证。默认启用,不支持修改。
安全手机:通过安全手机进行二次身份验证。您需要为RAM用户绑定安全手机号码,该验证方式才能生效。更多信息,请参见绑定安全手机。
安全邮件:通过安全邮箱进行二次身份验证。您需要为RAM用户绑定安全邮箱地址,该验证方式才能生效。更多信息,请参见绑定安全邮箱。
说明安全邮件仅支持敏感操作时的二次身份验证。
如果同时启用多种验证方式,RAM用户登录控制台或进行敏感操作时需要选择其中的一种方式进行验证。
登录时必须使用MFA
是否强制所有RAM用户在通过用户名和密码登录时必须启用MFA。具体如下:
强制所有用户:强制所有RAM用户在登录时必须启用MFA。
说明如果设置了强制所有用户,则敏感操作二次验证功能会对所有RAM用户启用。即当RAM用户登录控制台进行敏感操作时,会触发风控拦截,要求其进行二次MFA身份验证。更多信息,请参见敏感操作二次身份验证。
依赖每个用户的独立配置:遵从每个RAM用户自身配置的多因素认证要求。更多信息,请参见管理RAM用户登录设置。
仅异常登录时使用:仅在登录地址变更、登录设备变更等登录环境不可信的情况下,强制启用MFA,其他情况不启用MFA。
说明设置为仅异常登录时使用后,如果您有使用权限策略中的条件(condition)关键字
acs:MFAPresent,那么在RAM用户正常登录情况下无需验证MFA,该策略条件验证校验结果为不通过。如果要保证该条件关键字生效,建议您设置为依赖每个用户的独立配置。
记住MFA验证状态7天
选中启用,表示允许在当前设备上保存MFA验证状态7天,即7天内无需再次验证MFA。在本设备切换RAM用户登录后,该记录将失效。
单击确定。
网络访问限制设置
使用RAM管理员登录RAM控制台。
在设置页面的网络访问限制区域,单击修改,设置允许登录的网络IP地址。
指定允许登录的网络IP地址,可限制只能从这些网络IP地址使用登录密码或单点登录(SSO登录)访问控制台,不指定表示当前账号允许从整个网络登录控制台访问。最多可以设置40个网络IP地址。
说明该设置不用于限制使用AccessKey调用API访问。
单击确定。