本文介紹了訪問控制涉及的一些安全設置基本概念,這些安全設置可以更有效地保護賬號安全。
登錄密碼(Password)
登錄密碼是登錄阿里云的身份憑證,用于證明用戶真實身份的憑證。
請妥善保管您的登錄密碼并定期更換。
關于如何設置登錄密碼,請參見修改RAM用戶登錄密碼。
默認域名(Default domain name)
阿里云為每個阿里云賬號分配了一個默認域名,格式為:<AccountAlias>.onaliyun.com
。默認域名可作為RAM用戶登錄或單點登錄(SSO)等場景下該云賬號的唯一標識符。
關于如何設置默認域名,請參見查看和修改默認域名。
域別名(Domain alias)
如果您持有公網上可以解析的域名,那么您可以使用該域名替代您的默認域名,該域名稱為域別名。域別名就是指默認域名的別名。
域別名必須經過域名歸屬驗證后才能使用。驗證通過后,您可以使用域別名替代默認域名,用于所有需要使用默認域名的場景。
關于如何設置域別名,請參見創建并驗證域別名。
訪問密鑰(AccessKey)
訪問密鑰指的是訪問身份驗證中用到的AccessKey ID和AccessKey Secret。當您創建一個API請求時,RAM通過使用AccessKey ID和AccessKey Secret對稱加密的方法來驗證某個請求的發送者身份,身份驗證成功后您才能操作相應資源。
AccessKey ID和AccessKey Secret一起使用,AccessKey ID用于標識用戶,AccessKey Secret用于加密簽名字符串和RAM用來驗證簽名字符串的密鑰。
AccessKey Secret只在創建時顯示,不支持查詢,請妥善保管。
關于如何創建訪問密鑰,請參見創建AccessKey。
多因素認證(MFA)
多因素認證MFA(Multi Factor Authentication)是一種簡單有效的安全實踐,在用戶名和密碼之外再增加一層安全保護,用于登錄控制臺或進行敏感操作時的二次身份驗證,以此保護您的賬號更安全。以下將為您介紹RAM用戶支持的多因素認證方式、使用說明和使用限制。
多因素認證方式
認證方式 | 描述 | 使用場景 | 相關文檔 |
虛擬MFA | 基于時間的一次性密碼算法(TOTP)是一種廣泛采用的多因素認證協議。在手機或其他設備上,支持TOTP的應用(例如:阿里云App、Google Authenticator等)被稱為虛擬MFA設備。如果用戶啟用了虛擬MFA設備,在用戶登錄時,阿里云將要求用戶必須輸入應用上生成的6位驗證碼,從而避免因密碼被盜而引起的非法登錄。 |
| |
U2F安全密鑰 | U2F(Universal 2nd Factor)是FIDO(Fast Identity Online)聯盟推出的多因素認證協議,目前已被業界廣泛接受。該協議旨在提供一個兼具方便性和通用性的多因素認證方式。用戶只要將支持Web Authentication協議的硬件設備(稱為U2F安全密鑰)插入計算機的USB接口,即可在登錄時通過觸碰或按下設備上的按鈕完成多因素認證。 |
| |
安全手機 | 為RAM用戶綁定安全手機號碼,通過安全手機號碼提供的驗證碼進行二次身份驗證。 |
| |
安全郵箱 | 為RAM用戶綁定安全郵箱地址,通過安全郵箱提供的驗證碼進行二次身份驗證。 | 敏感操作二次身份驗證 |
使用說明
啟用多因素認證并綁定多因素認證設備后,RAM用戶再次登錄阿里云或進行敏感操作時,系統將要求輸入兩層安全要素:
第一層安全要素:輸入用戶名和密碼。
第二層安全要素:輸入虛擬MFA設備生成的驗證碼、通過U2F安全密鑰認證、輸入安全手機驗證碼或輸入安全郵箱驗證碼。
使用限制
系統默認為RAM用戶啟用虛擬MFA和U2F安全密鑰,但只能綁定兩種中的一種。同時,可以再啟用安全手機和安全郵箱。
虛擬MFA和安全手機支持通過瀏覽器或阿里云App登錄阿里云時使用。
U2F安全密鑰的使用限制如下:
U2F安全密鑰只能在擁有USB接口的計算機上使用,不支持通過移動端瀏覽器或阿里云App登錄阿里云時使用。如果您使用虛擬機或遠程桌面連接,可能也無法使用。
只有以下瀏覽器版本支持Web Authentication協議,因此您只能在這些瀏覽器中使用U2F安全密鑰:
Google Chrome 67及以上版本
Opera 54及以上版本
Mozilla Firefox 60及以上版本
說明對于Mozilla Firefox瀏覽器,可能需要您手動開啟U2F功能。您需要在瀏覽器地址欄輸入
about:config
,然后搜索u2f
,將security.webauth.u2f值設置為true,就可以開啟瀏覽器的U2F功能。更多信息,請參見Mozilla Firefox幫助文檔。
一個安全手機號碼允許被綁定的最大RAM用戶個數:5個。
一個安全郵箱地址允許被綁定的最大RAM用戶個數:5個。
敏感操作二次身份驗證
為保護賬號安全,已綁定任意多因素認證手段的RAM用戶登錄控制臺進行敏感操作時,會觸發風控攔截,要求其進行二次身份驗證。該RAM用戶必須輸入正確的驗證碼后,才能進行敏感操作。
如果您希望對所有RAM用戶啟用敏感操作二次身份驗證,首先要強制所有RAM用戶使用MFA。具體操作,請參見管理RAM用戶安全設置。