全部產品
Search
文件中心

Resource Access Management:管理RAM使用者安全設定

更新時間:Oct 25, 2024

您可以修改RAM使用者安全設定,包括全域安全、多因素認證(MFA)、網路訪問限制等,提升RAM使用者的帳號安全性。RAM使用者安全設定為全域設定,適用於所有RAM使用者。

全域安全設定

  1. 使用Resource Access Management員登入RAM控制台

  2. 設定頁面的全域安全地區,單擊修改,設定全域安全參數。

    image

    參數

    描述

    允許使用者管理密碼

    選中啟用,表示允許RAM使用者管理自己的登入密碼。

    允許使用者管理MFA裝置

    選中啟用,表示允許RAM使用者為自己綁定或解除綁定MFA裝置。

    允許使用者管理AccessKey

    選中啟用,表示允許RAM使用者管理自己的AccessKey。

    登入工作階段的到期時間

    RAM使用者登入工作階段的有效期間。單位:小時。取值範圍:1~24,預設值:6。

    說明

    通過切換角色或角色SSO登入控制台時,登入工作階段有效期間也會受到登入工作階段的到期時間的限制,即最終的登入工作階段有效期間將不會超過此參數設定的值。詳情請參見扮演RAM角色角色SSO的SAML響應

    允許保持長登入

    選中啟用,表示允許RAM使用者在阿里雲App、阿里雲ECS用戶端中長時間保持登入狀態。最長可以保持90天。

    說明

    當阿里雲安全平台判斷髮生異常登入時,登入態將失效,會要求重新登入。

  3. 單擊確定

多因素認證設定

  1. 使用Resource Access Management員登入RAM控制台

  2. 設定頁面的多因素認證地區,單擊修改,設定MFA參數。

    image

    參數

    描述

    允許使用的MFA裝置

    RAM使用者登入控制台或進行敏感操作時的二次身分識別驗證方式。具體如下:

    • MFA裝置:通過虛擬MFA或U2F安全密鑰進行二次身分識別驗證。預設啟用,不支援修改。

    登入時必須使用MFA

    是否強制所有RAM使用者在通過使用者名稱和密碼登入時必須啟用MFA。具體如下:

    • 強制所有使用者:強制所有RAM使用者在登入時必須啟用MFA。

      說明

      如果設定了強制所有使用者,則敏感操作二次驗證功能會對所有RAM使用者啟用。即當RAM使用者登入控制台進行敏感操作時,會觸發風控攔截,要求其進行二次MFA身分識別驗證。更多資訊,請參見敏感操作二次身分識別驗證

    • 依賴每個使用者的獨立配置:遵從每個RAM使用者自身配置的多因素認證要求。更多資訊,請參見管理RAM使用者登入設定

    • 僅異常登入時使用:僅在登入地址變更、登入裝置變更等登入環境不可信的情況下,強制啟用MFA,其他情況不啟用MFA。

      說明

      設定為僅異常登入時使用後,如果您有使用權限原則中的條件(condition)關鍵字acs:MFAPresent,那麼在RAM使用者正常登入情況下無需驗證MFA,該策略條件驗證校正結果為不通過。如果要保證該條件關鍵字生效,建議您設定為依賴每個使用者的獨立配置

    記住MFA驗證狀態7天

    選中啟用,表示允許在當前裝置上儲存MFA驗證狀態7天,即7天內無需再次驗證MFA。在本裝置切換RAM使用者登入後,該記錄將失效。

  3. 單擊確定

網路訪問限制設定

  1. 使用Resource Access Management員登入RAM控制台

  2. 設定頁面的網路訪問限制地區,單擊修改,設定允許登入的網路IP地址。

    指定允許登入的網路IP地址,可限制只能從這些網路IP地址使用登入密碼或單點登入(SSO登入)存取控制台,不指定表示當前帳號允許從整個網路登入控制台訪問。最多可以設定40個網路IP地址。

    說明

    該設定不用於限制使用AccessKey調用API訪問。

    image

  3. 單擊確定