管理RAM用户安全设置

参数

描述

配置建议

允许用户管理密码

选中启用，表示允许RAM用户管理自己的登录密码。

初始默认启用。

• 高安全场景：建议禁用，由管理员统一管理密码生命周期。

• 敏捷开发场景：建议启用，方便用户自行管理。

允许用户管理MFA设备

选中启用，表示允许RAM用户为自己绑定或解绑MFA设备。

初始默认启用。

• 高安全场景：建议禁用，强制用户使用管理员绑定的MFA设备。

• 敏捷开发场景：建议启用，方便用户自行管理。

允许用户管理AccessKey

选中启用，表示允许所有RAM用户管理自己的AccessKey，包含创建、禁用、删除等。

初始默认禁用。

生产环境建议禁用，由RAM管理员统一分配和轮转AccessKey。

允许用户管理钉钉绑定

选中启用，表示允许RAM用户为自己绑定或解绑钉钉账号。

根据企业是否使用钉钉作为身份源进行决策。

登录会话的过期时间

RAM用户登录会话的有效期。单位：小时。取值范围：1~24。

初始默认值：6。

建议设置为一个工作日（例如8小时），在便利性和安全性之间取得平衡。

允许保持长登录

选中启用，表示允许RAM用户在阿里云App和阿里云ECS客户端中长时间保持登录状态。最长可以保持90天。

初始默认禁用。

适用于需要长期通过移动端或客户端管理资源的用户。

允许用户使用通行密钥登录

选中启用，表示允许RAM用户使用已绑定的通行密钥登录阿里云。关于通行密钥的更多信息，请参见什么是通行密钥。

初始默认启用。

建议启用，可提升登录的安全性和便捷性。

用户最大闲置时间

设置RAM用户最多闲置多少天后就自动禁用控制台登录（SSO登录除外）。

取值：730天、365天、180天、90天。初始默认值：365天。

生效时间：设置将于次日（UTC+8）开始生效。

建议设置为90天或180天，及时清理不再使用的闲置账号，降低安全风险。

AccessKey最大闲置时间

设置阿里云账号（主账号）和RAM用户的AccessKey最多闲置多少天后就自动禁用。

取值：730天、365天、180天、90天。初始默认值：730天。

生效时间：设置将于次日（UTC+8）开始生效。

建议设置为90天，及时禁用闲置AccessKey，防止泄露后被恶意利用。

参数

描述

允许使用的MFA设备

RAM用户登录控制台或进行敏感操作时的二次身份验证方式。具体如下：

• MFA设备：通过虚拟MFA进行二次身份验证。默认启用，不支持修改。

• 通行密钥：通过通行密钥进行二次身份验证。默认启用，不支持修改。

• 安全手机：通过安全手机进行二次身份验证。您需要为RAM用户绑定安全手机，该验证方式才能生效。

• 安全邮件：通过安全邮箱进行二次身份验证。您需要为RAM用户绑定安全邮箱，该验证方式才能生效。

  说明

  安全邮件仅支持敏感操作时的二次身份验证。

初始默认选择全部。

登录时必须使用MFA

是否强制所有RAM用户在通过用户名和密码登录时必须启用MFA。具体如下：

• 强制所有用户：强制所有RAM用户在登录时必须启用MFA。

  说明

  如果设置了强制所有用户，那么敏感操作二次身份验证功能会对所有RAM用户启用。即当RAM用户登录控制台进行敏感操作时，需要进行二次MFA身份验证。

• 依赖每个用户的独立配置：遵从每个RAM用户自身配置的多因素认证要求。更多信息，请参见管理RAM用户登录设置。

• 仅异常登录时使用：仅在登录地址变更、登录设备变更等登录环不可信的情况下，强制启用MFA，其他情况不启用MFA。

  说明

  如果在权限策略中使用acs:MFAPresent这个特定条件（condition），例如在通过RAM限制只有启用了MFA的RAM用户才能访问云资源这个场景中，此处设置为仅异常登录时使用会导致该策略条件验证校验为不通过。如果要保证该条件生效，建议设置为依赖每个用户的独立配置。

初始默认选择强制所有用户。

记住MFA验证状态7天

选中启用，表示7天内无需再次验证MFA。在本设备切换RAM用户登录后，该记录将失效。

初始默认禁用。

参数

描述

允许登录的网络地址（登录掩码）

设置允许通过密码或SSO方式登录控制台的来源IP地址。留空表示不限制。

格式：仅支持IPv4格式，多个地址用空格、逗号或分号分隔。

限制：最多可添加200个IP地址。

允许通过AccessKey访问的来源网络地址

• 设置允许调用API的来源IP地址。此处为账号级策略，对所有AccessKey生效。留空表示不限制。

• 您也可以为单个AccessKey设置更具体的网络限制，其优先级高于此处的账号级策略。详情请参见AccessKey网络访问限制策略。