您可以修改RAM用户安全设置,包括全局安全、多因素认证(MFA)、网络访问限制等,提升RAM用户的账号安全性。RAM用户安全设置为全局设置,适用于所有RAM用户。
全局安全设置
使用RAM管理员登录RAM控制台。
在设置页面的全局安全区域,单击修改,设置全局安全参数。
参数
描述
允许用户管理密码
选中启用,表示允许RAM用户管理自己的登录密码。
允许用户管理MFA设备
选中启用,表示允许RAM用户为自己绑定或解绑MFA设备。
允许用户管理AccessKey
选中启用,表示允许RAM用户管理自己的AccessKey。
登录会话的过期时间
RAM用户登录会话的有效期。单位:小时。取值范围:1~24,默认值:6。
说明通过切换角色或角色SSO登录控制台时,登录会话有效期也会受到登录会话的过期时间的限制,即最终的登录会话有效期将不会超过此参数设置的值。详情请参见扮演RAM角色、角色SSO的SAML响应。
允许保持长登录
选中启用,表示允许RAM用户在阿里云App、阿里云ECS客户端中长时间保持登录状态。最长可以保持90天。
说明当阿里云安全平台判断发生异常登录时,登录态将失效,会要求重新登录。
单击确定。
多因素认证设置
使用RAM管理员登录RAM控制台。
在设置页面的多因素认证区域,单击修改,设置MFA参数。
参数
描述
允许使用的MFA设备
RAM用户登录控制台或进行敏感操作时的二次身份验证方式。具体如下:
MFA设备:通过虚拟MFA或U2F安全密钥进行二次身份验证。默认启用,不支持修改。
登录时必须使用MFA
是否强制所有RAM用户在通过用户名和密码登录时必须启用MFA。具体如下:
强制所有用户:强制所有RAM用户在登录时必须启用MFA。
说明如果设置了强制所有用户,则敏感操作二次验证功能会对所有RAM用户启用。即当RAM用户登录控制台进行敏感操作时,会触发风控拦截,要求其进行二次MFA身份验证。更多信息,请参见敏感操作二次身份验证。
依赖每个用户的独立配置:遵从每个RAM用户自身配置的多因素认证要求。更多信息,请参见管理RAM用户登录设置。
仅异常登录时使用:仅在登录地址变更、登录设备变更等登录环境不可信的情况下,强制启用MFA,其他情况不启用MFA。
说明设置为仅异常登录时使用后,如果您有使用权限策略中的条件(condition)关键字
acs:MFAPresent
,那么在RAM用户正常登录情况下无需验证MFA,该策略条件验证校验结果为不通过。如果要保证该条件关键字生效,建议您设置为依赖每个用户的独立配置。
记住MFA验证状态7天
选中启用,表示允许在当前设备上保存MFA验证状态7天,即7天内无需再次验证MFA。在本设备切换RAM用户登录后,该记录将失效。
单击确定。
网络访问限制设置
使用RAM管理员登录RAM控制台。
在设置页面的网络访问限制区域,单击修改,设置允许登录的网络IP地址。
指定允许登录的网络IP地址,可限制只能从这些网络IP地址使用登录密码或单点登录(SSO登录)访问控制台,不指定表示当前账号允许从整个网络登录控制台访问。最多可以设置40个网络IP地址。
说明该设置不用于限制使用AccessKey调用API访问。
单击确定。