在访问控制的安全设置中，可以为IAM子用户设置全局的安全规则，包括：

• 自主管理设置：是否允许子用户自己管理信息，登录方式和其他安全规则
• 子用户登录会话：子用户的登录会话过期规则；
• 子用户密码策略；
• 子用户账号保护：设置子用户的登录保护。

火山引擎账号或拥有IAM管理权限的子用户可以进行安全设置。设置生效后将对此账号内所有的IAM子用户都生效。
请注意，安全设置属于敏感操作，变更时会要求进行敏感操作二次校验。请务必使用拥有安全手机、安全邮箱或绑定了MFA设备的用户进行操作。

子用户自主管理设置

可对子用户在“账号管理”中的各个板块进行自主设置：

1. 允许自主管理设置：允许子用户在账号管理/安全设置中绑定或修改安全手机、安全邮箱，以及管理登录保护和账号保护
2. 允许管理登录方式：允许子用户在账号管理/基本信息中绑定手机、邮箱、以及抖音、飞书等三方应用作为登录方式
3. 允许管理密码：允许子用户在账号管理/安全设置中修改密码。需遵循整体的密码策略规则
4. 允许管理MFA设备：允许子用户自主绑定或解绑MFA设备

子用户登录会话

用户登录会话时长的设置，需要在员工的用户体验和安全性之间找到平衡。过短的过期时间会对用户的工作造成影响，同时建议设置合理的无操作登录过期时间，保证账号内的安全。可以在子用户登录会话中设置

1. 无操作时登录态过期的时间，以分钟为单位，最少15分钟，最长2880分钟（即48小时）
2. 最大登录保持的时间，以天为单位，可设置0-7天，设置为0则代表有操作的情况下永不过期

子用户密码策略

可设置子用户密码的长度、包含字符规则。设置可重试次数等安全规则。

子用户账号保护

可设置子用户的登录保护规则。点击开启后，将可以选择每个子用户单独设置登录保护，或是统一设置登录保护。
在这里仅可选择MFA设备作为登录保护方式。

• 当选择“对所有子用户进行统一设置时”，可在当前页面设置是否开启操作免验以及免验时间，支持最短5分钟，最长7天。
  

当开启登录保护时，子用户在登录时若未绑定MFA设备，将会要求绑定新设备，支持使用手机上安装的TOTP校验器APP（比如Google Authenticator），或者是支持FIDO Passkey的终端设备实现身份验证。

• 当选择“对每个子用户进行单独设置”，需要到子用户管理中，在每个子用户设置中进行登录保护的单独设置，可选择MFA设备，安全手机或安全邮箱进行校验。详情请见用户管理。