在访问控制的安全设置中，可以为IAM子用户设置全局的安全规则，包括：

• 自主管理设置：是否允许子用户自己管理信息，登录方式和其他安全规则
• 子用户登录会话：子用户的登录会话过期规则；
• 子用户密码策略；
• 子用户账号保护：设置子用户的登录和操作保护。

火山引擎账号或拥有IAM管理权限的子用户可以进行安全设置。设置生效后将对此账号内所有的IAM子用户都生效。
请注意，安全设置属于敏感操作，变更时会要求进行敏感操作二次校验。请务必使用拥有安全手机、安全邮箱或绑定了MFA设备的用户进行操作。

子用户自主管理设置

可对子用户在“账号管理”中的各个板块进行自主设置：

1. 允许自主管理设置：允许子用户在账号管理/安全设置中绑定或修改安全手机、安全邮箱，以及管理登录保护和账号保护
2. 允许管理登录方式：允许子用户在账号管理/基本信息中绑定手机、邮箱、以及抖音、飞书等三方应用作为登录方式
3. 允许管理密码：允许子用户在账号管理/安全设置中修改密码。需遵循整体的密码策略规则
4. 允许管理MFA设备：允许子用户自主绑定或解绑MFA设备
   

子用户登录会话

用户登录会话时长的设置，需要在员工的用户体验和安全性之间找到平衡。过短的过期时间会对用户的工作造成影响，同时建议设置合理的无操作登录过期时间，保证账号内的安全。

1.无操作时登录态过期的时间，以分钟为单位，最少15分钟，最长2880分钟（即48小时），系统默认为120分钟（2小时）；
2.最大登录保持的时间，以分钟为单位，最少60分钟，最长2880分钟（48小时），系统默认为1440分钟（24小时）。

可以在访问控制-用户管理-安全设置-登录态时长中对子用户进行全部全局登录态时长设置

子用户密码策略

可设置子用户密码的长度、包含字符规则。设置可重试次数等安全规则。

子用户账号安全保护

登录保护

可设置子用户的登录保护规则。

1. 点击开启后，将可以选择每个子用户单独设置登录保护，或是统一设置登录保护。无论选用哪种方式，当子用户被要求开启登录保护后，您的子用户都会在下次登录时进行登录保护验证。若子用户此时已绑定的验证方式，可自主进行安全手机/安全邮箱/MFA设备的绑定。

   1. 当选择“对所有子用户进行统一设置时”，可在当前页面设置是否开启操作免验以及免验时间，支持最短5分钟，最长7天。
      
   2. 当选择“对每个子用户进行单独设置”，需要到用户管理-用户详情页中，为每个子用户进行登录保护的单独设置，可选择MFA设备，安全手机或安全邮箱作为可用的验证方式。详情请见用户管理。

2. 验证方式中，默认勾选MFA设备，您还可以指定安全手机、安全邮箱作为其他可用的登录保护方式。

操作保护

可设置子用户的操作保护规则。点击开启后，将可以选择每个子用户单独设置操作保护，或是统一设置操作保护。
在这里可选择MFA设备、安全手机、安全邮箱作为登录保护方式。

• 当选择“对所有子用户进行统一设置时”，可在当前页面设置操作免验时间，支持最短5分钟，最长30分钟。