您可以修改RAM用戶安全設置,包括全局安全、多因素認證(MFA)、網絡訪問限制等,提升RAM用戶的賬號安全性。RAM用戶安全設置為全局設置,適用于所有RAM用戶。
全局安全設置
使用RAM管理員登錄RAM控制臺。
在設置頁面的全局安全區域,單擊修改,設置全局安全參數。
參數
描述
允許用戶管理密碼
選中啟用,表示允許RAM用戶管理自己的登錄密碼。
允許用戶管理MFA設備
選中啟用,表示允許RAM用戶為自己綁定或解綁MFA設備。
允許用戶管理AccessKey
選中啟用,表示允許RAM用戶管理自己的AccessKey。
允許用戶管理釘釘綁定
選中啟用,表示允許RAM用戶為自己綁定或解綁釘釘賬號。
登錄會話的過期時間
RAM用戶登錄會話的有效期。單位:小時。取值范圍:1~24,默認值:6。
說明通過切換角色或角色SSO登錄控制臺時,登錄會話有效期也會受到登錄會話的過期時間的限制,即最終的登錄會話有效期將不會超過此參數設置的值。詳情請參見扮演RAM角色、角色SSO的SAML響應。
允許保持長登錄
選中啟用,表示允許RAM用戶在阿里云App、阿里云ECS客戶端中長時間保持登錄狀態。最長可以保持90天。
說明當阿里云安全平臺判斷發生異常登錄時,登錄態將失效,會要求重新登錄。
單擊確定。
多因素認證設置
使用RAM管理員登錄RAM控制臺。
在設置頁面的多因素認證區域,單擊修改,設置MFA參數。
參數
描述
允許使用的MFA設備
RAM用戶登錄控制臺或進行敏感操作時的二次身份驗證方式。具體如下:
MFA設備:通過虛擬MFA或U2F安全密鑰進行二次身份驗證。默認啟用,不支持修改。
安全手機:通過安全手機進行二次身份驗證。您需要為RAM用戶綁定安全手機號碼,該驗證方式才能生效。更多信息,請參見綁定安全手機。
安全郵件:通過安全郵箱進行二次身份驗證。您需要為RAM用戶綁定安全郵箱地址,該驗證方式才能生效。更多信息,請參見綁定安全郵箱。
說明安全郵件僅支持敏感操作時的二次身份驗證。
如果同時啟用多種驗證方式,RAM用戶登錄控制臺或進行敏感操作時需要選擇其中的一種方式進行驗證。
登錄時必須使用MFA
是否強制所有RAM用戶在通過用戶名和密碼登錄時必須啟用MFA。具體如下:
強制所有用戶:強制所有RAM用戶在登錄時必須啟用MFA。
說明如果設置了強制所有用戶,則敏感操作二次驗證功能會對所有RAM用戶啟用。即當RAM用戶登錄控制臺進行敏感操作時,會觸發風控攔截,要求其進行二次MFA身份驗證。更多信息,請參見敏感操作二次身份驗證。
依賴每個用戶的獨立配置:遵從每個RAM用戶自身配置的多因素認證要求。更多信息,請參見管理RAM用戶登錄設置。
僅異常登錄時使用:僅在登錄地址變更、登錄設備變更等登錄環境不可信的情況下,強制啟用MFA,其他情況不啟用MFA。
說明設置為僅異常登錄時使用后,如果您有使用權限策略中的條件(condition)關鍵字
acs:MFAPresent,那么在RAM用戶正常登錄情況下無需驗證MFA,該策略條件驗證校驗結果為不通過。如果要保證該條件關鍵字生效,建議您設置為依賴每個用戶的獨立配置。
記住MFA驗證狀態7天
選中啟用,表示允許在當前設備上保存MFA驗證狀態7天,即7天內無需再次驗證MFA。在本設備切換RAM用戶登錄后,該記錄將失效。
單擊確定。
網絡訪問限制設置
使用RAM管理員登錄RAM控制臺。
在設置頁面的網絡訪問限制區域,單擊修改,設置允許登錄的網絡IP地址。
指定允許登錄的網絡IP地址,可限制只能從這些網絡IP地址使用登錄密碼或單點登錄(SSO登錄)訪問控制臺,不指定表示當前賬號允許從整個網絡登錄控制臺訪問。最多可以設置40個網絡IP地址。
說明該設置不用于限制使用AccessKey調用API訪問。
單擊確定。