為保證RAM用戶的賬號安全,控制臺登錄或進行敏感操作時除使用用戶名和密碼驗證外,您還可以綁定本文所述的MFA設備,用于二次身份驗證。
背景信息
RAM用戶支持的多因素認證方式及使用限制,請參見多因素認證(MFA)。
您需要先在用戶安全設置中,啟用對應的多因素認證手段,然后按照本文所述的方法綁定對應的多因素認證設備,才能使多因素認證生效。系統默認啟用虛擬MFA和U2F安全密鑰多因素認證方式,但您只能綁定兩種中的一種。同時,可以再啟用安全手機和安全郵箱。更多信息,請參見管理RAM用戶安全設置。
綁定虛擬MFA
前提條件
操作前,請在手機端下載并安裝阿里云應用。下載方式如下:
iOS:在App Store中搜索阿里云。
Android:在應用市場中搜索阿里云。
綁定方式
請根據實際情況,選擇合適的方式綁定虛擬MFA:
使用阿里云賬號(主賬號)或RAM管理員在RAM控制臺綁定虛擬MFA。如下操作將以此為例進行介紹。
如果阿里云賬號(主賬號)要求RAM用戶必須啟用多因素認證,那么RAM用戶登錄時會直接進入多因素認證綁定流程,請在啟用MFA設備頁面選擇虛擬MFA設備,然后直接從第6步開始操作。
如果阿里云賬號(主賬號)允許RAM用戶自主管理多因素認證設備,RAM用戶也可以登錄控制臺綁定虛擬MFA。將鼠標懸停在右上角頭像的位置,先單擊安全信息管理,然后在控制臺登錄頁面的虛擬MFA頁簽下,單擊啟用虛擬MFA,最后直接從第6步開始操作。
操作步驟
阿里云賬號(主賬號)或RAM管理員登錄RAM控制臺。
在左側導航欄,選擇 。
在用戶登錄名稱/顯示名稱列,單擊目標RAM用戶名稱。
單擊認證管理頁簽,然后單擊虛擬MFA頁簽。
單擊啟用虛擬MFA。
在移動端,添加虛擬MFA設備。
說明如下以Android系統上的阿里云應用為例。
登錄阿里云應用。
在頁面右上角,先點擊+圖標,然后點擊圖標。
點擊+圖標,選擇合適的方式添加虛擬MFA設備。
掃碼添加(推薦):在移動端,先點擊掃碼添加,然后掃描從RAM控制臺掃碼獲取頁簽下的二維碼,最后點擊確定。
手動添加:在移動端,先點擊手動輸入,然后填寫從RAM控制臺手輸信息獲取頁簽下的賬號和密鑰,最后點擊確定。
在RAM控制臺,輸入移動端顯示的動態驗證碼,然后單擊確定綁定。
說明您還可以設置是否允許RAM用戶保存MFA驗證狀態7天,如果為允許,則RAM用戶使用MFA登錄時,可以選中記住這臺機器,7天內無需再次驗證,就可以在7天內免MFA驗證。關于具體的設置方法,請參見管理RAM用戶安全設置。
綁定U2F安全密鑰
綁定方式
請根據實際情況,選擇合適的方式綁定U2F安全密鑰:
使用阿里云賬號(主賬號)或RAM管理員在RAM控制臺綁定U2F安全密鑰。如下操作將以此為例進行介紹。
如果阿里云賬號(主賬號)要求RAM用戶啟用多因素認證,那么RAM用戶登錄時會直接進入多因素認證綁定流程。請在啟用MFA設備頁面選擇U2F安全密鑰,然后直接從第6步開始操作。
如果阿里云賬號(主賬號)允許RAM用戶自主管理多因素認證設備,RAM用戶也可以登錄控制臺綁定U2F安全密鑰。將鼠標懸停在右上角頭像的位置,先單擊安全信息管理,然后在控制臺登錄頁面的U2F安全密鑰頁簽下,單擊啟用U2F安全密鑰,最后直接從第6步開始操作。
操作步驟
綁定安全手機
您只能使用阿里云賬號(主賬號)或RAM管理員為RAM用戶綁定安全手機號碼。
使用阿里云賬號(主賬號)或RAM管理員登錄RAM控制臺。
在左側導航欄,選擇 。
在用戶登錄名稱/顯示名稱列,單擊目標RAM用戶名稱。
在認證管理頁簽下的安全信息管理區域,單擊安全手機右側的編輯。
在編輯安全手機對話框,輸入安全手機號碼,然后單擊確定。
在發送激活鏈接對話框,再次確認手機號碼無誤后,單擊發送激活鏈接。
在安全手機上,單擊確認鏈接通過驗證。
鏈接有效期為24小時,超期未驗證需要重新發送鏈接。
RAM用戶基本信息中存在的手機號碼僅作為備注信息用,與上述綁定的安全手機號碼不同,身份二次驗證只能使用安全手機號碼。
綁定安全郵箱
您只能使用阿里云賬號(主賬號)或RAM管理員為RAM用戶綁定安全郵箱。
使用阿里云賬號(主賬號)或RAM管理員登錄RAM控制臺。
在左側導航欄,選擇 。
在用戶登錄名稱/顯示名稱列,單擊目標RAM用戶名稱。
在認證管理頁簽下的安全信息管理區域,單擊安全郵箱右側的編輯。
在編輯安全郵箱對話框,輸入安全郵箱地址,然后單擊確定。
在發送激活鏈接對話框,再次確認安全郵箱無誤后,單擊發送激活鏈接。
登錄安全郵箱,單擊確認鏈接通過驗證。
鏈接有效期為24小時,超期未驗證需要重新發送鏈接。
RAM用戶基本信息中存在的郵箱僅作為備注信息用,與上述綁定的安全郵箱不同,身份二次驗證只能使用安全郵箱。
后續步驟
啟用多因素認證并綁定多因素認證設備后,RAM用戶再次登錄阿里云或進行敏感操作時,系統將要求輸入兩層安全要素:
- 第一層安全要素:輸入用戶名和密碼。
- 第二層安全要素:輸入虛擬MFA設備生成的驗證碼、通過U2F安全密鑰認證、輸入安全手機驗證碼或輸入安全郵箱驗證碼。
如果同時啟用多種驗證方式,RAM用戶登錄控制臺或進行敏感操作時可以選擇其中的一種方式進行驗證。
如果您要為RAM用戶更換新的MFA設備,請先前往RAM控制臺解綁當前的MFA設備,再綁定新的MFA設備。具體操作,請參見為RAM用戶解綁多因素認證設備。
如果RAM用戶在未解綁MFA設備的狀態下卸載了MFA應用(阿里云應用)或RAM用戶的U2F安全密鑰丟失,RAM用戶將無法正常登錄阿里云。此時RAM用戶需要聯系阿里云賬號(主賬號)或RAM管理員,前往RAM控制臺解綁MFA設備。具體操作,請參見為RAM用戶解綁多因素認證設備。