為保證RAM用戶的賬號安全,除用戶名和密碼驗證外,您還可以綁定本文所述的多因素認證設備,用于二次身份驗證。

背景信息

  • RAM用戶支持的多因素認證方式及使用限制,請參見多因素認證(MFA)
  • 您需要先在用戶安全設置中,啟用對應的多因素認證手段,然后按照本文所述的方法綁定對應的多因素認證設備,才能使多因素認證生效。系統(tǒng)默認啟用虛擬MFA和U2F安全密鑰多因素認證方式,但您只能綁定兩種中的一種。同時,可以再啟用安全手機和安全郵箱。更多信息,請參見管理RAM用戶安全設置

綁定虛擬MFA

前提條件

操作前,請在手機端下載并安裝阿里云應用。下載方式如下:

  • iOS:在App Store中搜索阿里云。
  • Android:在應用市場中搜索阿里云。

綁定方式

請根據(jù)實際情況,選擇合適的方式綁定虛擬MFA:

  • 使用阿里云賬號或RAM管理員在RAM控制臺綁定虛擬MFA。如下操作將以此為例進行介紹。
  • 如果阿里云賬號要求RAM用戶啟用多因素認證,那么RAM用戶登錄時會直接進入多因素認證綁定流程,請在啟用MFA設備頁面選擇虛擬MFA設備,然后直接從第6步開始操作。
  • 如果阿里云賬號允許RAM用戶自主管理多因素認證設備,RAM用戶也可以登錄控制臺綁定虛擬MFA。將鼠標懸停在右上角頭像的位置,先單擊安全信息管理,然后在控制臺登錄頁面的虛擬MFA頁簽下,單擊啟用虛擬MFA,最后直接從第6步開始操作。

操作步驟

  1. 阿里云賬號或RAM管理員登錄RAM控制臺
  2. 在左側導航欄,選擇身份管理 > 用戶
  3. 用戶登錄名稱/顯示名稱列,單擊目標RAM用戶名稱。
  4. 單擊認證管理頁簽,然后單擊虛擬MFA頁簽。
  5. 單擊啟用虛擬MFA
  6. 在移動端,添加虛擬MFA設備。
    說明 如下以Android系統(tǒng)上的阿里云應用為例。
    1. 登錄阿里云應用。
    2. 在頁面右上角,點擊mfa圖標。
    3. 點擊+,選擇合適的方式添加虛擬MFA設備。
      • 掃碼添加(推薦):在移動端,先點擊掃碼添加,然后掃描從RAM控制臺掃碼獲取頁簽下的二維碼,最后點擊確定
      • 手動添加:在移動端,先點擊手動輸入,然后填寫從RAM控制臺手輸信息獲取頁簽下的賬號和密鑰,最后點擊確定
  7. 在RAM控制臺,輸入移動端顯示的動態(tài)驗證碼,然后單擊確定綁定
    說明 您還可以設置是否允許RAM用戶保存MFA驗證狀態(tài)7天,如果為允許,則RAM用戶使用MFA登錄時,可以選中記住這臺機器,7天內(nèi)無需再次驗證,就可以在7天內(nèi)免MFA驗證。關于具體的設置方法,請參見管理RAM用戶安全設置

綁定U2F安全密鑰

綁定方式

請根據(jù)實際情況,選擇合適的方式綁定U2F安全密鑰:

  • 使用阿里云賬號或RAM管理員在RAM控制臺綁定U2F安全密鑰。如下操作將以此為例進行介紹。
  • 如果阿里云賬號要求RAM用戶啟用多因素認證,那么RAM用戶登錄時會直接進入多因素認證綁定流程。請在啟用MFA設備頁面選擇U2F安全密鑰,然后直接從第6步開始操作。
  • 如果阿里云賬號允許RAM用戶自主管理多因素認證設備,RAM用戶也可以登錄控制臺綁定U2F安全密鑰。將鼠標懸停在右上角頭像的位置,先單擊安全信息管理,然后在控制臺登錄頁面的U2F安全密鑰頁簽下,單擊啟用U2F安全密鑰,最后直接從第6步開始操作。

操作步驟

  1. 阿里云賬號或RAM管理員登錄RAM控制臺
  2. 在左側導航欄,選擇身份管理 > 用戶
  3. 用戶登錄名稱/顯示名稱列,單擊目標RAM用戶名稱。
  4. 單擊認證管理頁簽,然后單擊U2F安全密鑰頁簽。
  5. 單擊啟用U2F安全密鑰
  6. 綁定U2F安全密鑰頁面,綁定U2F安全密鑰。
    說明 進行以下操作前,您需要了解U2F的使用限制,請參見使用限制
    1. 將U2F安全密鑰插入到計算機的USB端口。
    2. 輕按U2F安全密鑰上的按鈕。
    3. 在提示獲取安全密鑰的彈框中,單擊確定
    4. 當頁面顯示獲取U2F密鑰成功時,單擊確定綁定

綁定安全手機

您只能使用阿里云賬號(主賬號)或RAM管理員為RAM用戶綁定安全手機號碼。

  1. 使用阿里云賬號或RAM管理員登錄RAM控制臺
  2. 在左側導航欄,選擇身份管理 > 用戶
  3. 用戶登錄名稱/顯示名稱列,單擊目標RAM用戶名稱。
  4. 認證管理頁簽下的安全信息管理區(qū)域,單擊安全手機右側的編輯
  5. 編輯安全手機對話框,輸入安全手機號碼,然后單擊確定
  6. 發(fā)送激活鏈接對話框,再次確認手機號碼無誤后,單擊發(fā)送激活鏈接
  7. 在安全手機上,單擊確認鏈接通過驗證。
    鏈接有效期為24小時,超期未驗證需要重新發(fā)送鏈接。
說明 RAM用戶基本信息中存在的手機號碼僅作為備注信息用,與上述綁定的安全手機號碼不同,身份二次驗證只能使用安全手機號碼。

綁定安全郵箱

您只能使用阿里云賬號(主賬號)或RAM管理員為RAM用戶綁定安全郵箱。

  1. 使用阿里云賬號或RAM管理員登錄RAM控制臺
  2. 在左側導航欄,選擇身份管理 > 用戶
  3. 用戶登錄名稱/顯示名稱列,單擊目標RAM用戶名稱。
  4. 認證管理頁簽下的安全信息管理區(qū)域,單擊安全郵箱右側的編輯
  5. 編輯安全郵箱對話框,輸入安全郵箱地址,然后單擊確定
  6. 發(fā)送激活鏈接對話框,再次確認安全郵箱無誤后,單擊發(fā)送激活鏈接
  7. 登錄安全郵箱,單擊確認鏈接通過驗證。
    鏈接有效期為24小時,超期未驗證需要重新發(fā)送鏈接。
說明 RAM用戶基本信息中存在的郵箱僅作為備注信息用,與上述綁定的安全郵箱不同,身份二次驗證只能使用安全郵箱。

后續(xù)步驟

啟用多因素認證并綁定多因素認證設備后,RAM用戶再次登錄阿里云或進行敏感操作時,系統(tǒng)將要求輸入兩層安全要素:

  1. 第一層安全要素:輸入用戶名和密碼。
  2. 第二層安全要素:輸入虛擬MFA設備生成的驗證碼、通過U2F安全密鑰認證、輸入安全手機驗證碼或輸入安全郵箱驗證碼。

如果同時啟用多種驗證方式,RAM用戶登錄控制臺或進行敏感操作時可以選擇其中的一種方式進行驗證。

重要
  • 如果您要更換新的多因素認證設備,請先前往RAM控制臺解綁當前的多因素認證設備,再綁定新的多因素認證設備。具體操作,請參見停用多因素認證
  • 如果您在未停用多因素認證的狀態(tài)下卸載了虛擬MFA設備或您的U2F安全密鑰丟失,您將無法正常登錄阿里云。此時您需要聯(lián)系您的阿里云賬號(主賬號)或RAM管理員,前往RAM控制臺幫您解綁多因素認證設備,之后才能重新綁定。具體操作,請參見停用多因素認證