您可以修改RAM使用者安全設定,包括全域安全、多因素認證(MFA)、網路訪問限制等,提升RAM使用者的帳號安全性。RAM使用者安全設定為全域設定,適用於所有RAM使用者。
全域安全設定
使用Resource Access Management員登入RAM控制台。
在設定頁面的全域安全地區,單擊修改,設定全域安全參數。
參數
描述
允許使用者管理密碼
選中啟用,表示允許RAM使用者管理自己的登入密碼。
允許使用者管理MFA裝置
選中啟用,表示允許RAM使用者為自己綁定或解除綁定MFA裝置。
允許使用者管理AccessKey
選中啟用,表示允許RAM使用者管理自己的AccessKey。
登入工作階段的到期時間
RAM使用者登入工作階段的有效期間。單位:小時。取值範圍:1~24,預設值:6。
說明通過切換角色或角色SSO登入控制台時,登入工作階段有效期間也會受到登入工作階段的到期時間的限制,即最終的登入工作階段有效期間將不會超過此參數設定的值。詳情請參見扮演RAM角色、角色SSO的SAML響應。
允許保持長登入
選中啟用,表示允許RAM使用者在阿里雲App、阿里雲ECS用戶端中長時間保持登入狀態。最長可以保持90天。
說明當阿里雲安全平台判斷髮生異常登入時,登入態將失效,會要求重新登入。
單擊確定。
多因素認證設定
使用Resource Access Management員登入RAM控制台。
在設定頁面的多因素認證地區,單擊修改,設定MFA參數。
參數
描述
允許使用的MFA裝置
RAM使用者登入控制台或進行敏感操作時的二次身分識別驗證方式。具體如下:
MFA裝置:通過虛擬MFA或U2F安全密鑰進行二次身分識別驗證。預設啟用,不支援修改。
登入時必須使用MFA
是否強制所有RAM使用者在通過使用者名稱和密碼登入時必須啟用MFA。具體如下:
強制所有使用者:強制所有RAM使用者在登入時必須啟用MFA。
說明如果設定了強制所有使用者,則敏感操作二次驗證功能會對所有RAM使用者啟用。即當RAM使用者登入控制台進行敏感操作時,會觸發風控攔截,要求其進行二次MFA身分識別驗證。更多資訊,請參見敏感操作二次身分識別驗證。
依賴每個使用者的獨立配置:遵從每個RAM使用者自身配置的多因素認證要求。更多資訊,請參見管理RAM使用者登入設定。
僅異常登入時使用:僅在登入地址變更、登入裝置變更等登入環境不可信的情況下,強制啟用MFA,其他情況不啟用MFA。
說明設定為僅異常登入時使用後,如果您有使用權限原則中的條件(condition)關鍵字
acs:MFAPresent
,那麼在RAM使用者正常登入情況下無需驗證MFA,該策略條件驗證校正結果為不通過。如果要保證該條件關鍵字生效,建議您設定為依賴每個使用者的獨立配置。
記住MFA驗證狀態7天
選中啟用,表示允許在當前裝置上儲存MFA驗證狀態7天,即7天內無需再次驗證MFA。在本裝置切換RAM使用者登入後,該記錄將失效。
單擊確定。
網路訪問限制設定
使用Resource Access Management員登入RAM控制台。
在設定頁面的網路訪問限制地區,單擊修改,設定允許登入的網路IP地址。
指定允許登入的網路IP地址,可限制只能從這些網路IP地址使用登入密碼或單點登入(SSO登入)存取控制台,不指定表示當前帳號允許從整個網路登入控制台訪問。最多可以設定40個網路IP地址。
說明該設定不用於限制使用AccessKey調用API訪問。
單擊確定。