为RAM用户绑定MFA设备
为保证RAM用户的账号安全,控制台登录或进行敏感操作时除使用用户名和密码验证外,您还可以绑定本文所述的MFA设备,用于二次身份验证。
背景信息
RAM用户支持的多因素认证方式及使用限制,请参见多因素认证(MFA)。
您需要先在用户安全设置中,启用对应的多因素认证手段,然后按照本文所述的方法绑定对应的多因素认证设备,才能使多因素认证生效。系统默认启用虚拟MFA和U2F安全密钥多因素认证方式,但您只能绑定两种中的一种。同时,可以再启用安全手机和安全邮箱。更多信息,请参见管理RAM用户安全设置。
一个RAM用户只能绑定一种MFA设备,不能同时绑定虚拟MFA和U2F安全密钥。
绑定虚拟MFA
前提条件
操作前,请在手机端下载并安装阿里云应用。下载方式如下:
iOS:在App Store中搜索阿里云。
Android:在应用市场中搜索阿里云。
绑定方式
请根据实际情况,选择合适的方式绑定虚拟MFA:
使用阿里云账号(主账号)或RAM管理员在RAM控制台绑定虚拟MFA。如下操作将以此为例进行介绍。
如果阿里云账号(主账号)要求RAM用户必须启用多因素认证,那么RAM用户登录时会直接进入多因素认证绑定流程,请在启用MFA设备页面选择虚拟MFA设备,然后直接从第6步开始操作。
如果阿里云账号(主账号)允许RAM用户自主管理多因素认证设备,RAM用户也可以登录控制台绑定虚拟MFA。将鼠标悬停在右上角头像的位置,先单击安全信息管理,然后在控制台登录页面的虚拟MFA页签下,单击启用虚拟MFA,最后直接从第6步开始操作。
操作步骤
阿里云账号(主账号)或RAM管理员登录RAM控制台。
在左侧导航栏,选择 。
在用户登录名称/显示名称列,单击目标RAM用户名称。
单击认证管理页签,然后单击虚拟MFA页签。
单击启用虚拟MFA。
在移动端,添加虚拟MFA设备。
说明如下以Android系统上的阿里云应用为例。
登录阿里云应用。
在页面右上角,先点击+图标,然后点击图标。
点击+图标,选择合适的方式添加虚拟MFA设备。
扫码添加(推荐):在移动端,先点击扫码添加,然后扫描从RAM控制台扫码获取页签下的二维码,最后点击确定。
手动添加:在移动端,先点击手动输入,然后填写从RAM控制台手输信息获取页签下的账号和密钥,最后点击确定。
在RAM控制台,输入移动端显示的动态验证码,然后单击确定绑定。
说明您还可以设置是否允许RAM用户保存MFA验证状态7天,如果为允许,则RAM用户使用MFA登录时,可以选中记住这台机器,7天内无需再次验证,就可以在7天内免MFA验证。关于具体的设置方法,请参见管理RAM用户安全设置。
绑定虚拟MFA
前提条件
操作前,请在移动端下载并安装Google Authenticator应用。下载方式如下:
iOS:在App Store中搜索Google Authenticator。
Android:在应用市场中搜索Google Authenticator。
说明Android系统的Google Authenticator还依赖外部二维码扫描组件,所以您还需要在应用市场中搜索并安装条行码扫描器。
绑定方式
请根据实际情况,选择合适的方式绑定虚拟MFA:
使用阿里云账号(主账号)或RAM管理员在RAM控制台绑定虚拟MFA。如下操作将以此为例进行介绍。
如果阿里云账号(主账号)要求RAM用户启用多因素认证,那么RAM用户登录时会直接进入多因素认证绑定流程,请在启用MFA设备页面选择虚拟MFA设备,然后直接从第6步开始操作。
如果阿里云账号(主账号)允许RAM用户自主管理多因素认证设备,RAM用户也可以登录控制台绑定虚拟MFA。将鼠标悬停在右上角头像的位置,先单击安全信息管理,然后在控制台登录页面的虚拟MFA页签下,单击启用虚拟MFA,最后直接从第6步开始操作。
操作步骤
在左侧导航栏,选择 。
在用户登录名称/显示名称列,单击目标RAM用户名称。
单击认证管理页签,然后单击虚拟MFA页签。
单击启用虚拟MFA。
在移动端,添加虚拟MFA设备。
说明如下以iOS系统上的Google Authenticator应用为例。
登录Google Authenticator应用。
点击开始使用,选择合适的方式添加虚拟MFA设备。
扫码添加(推荐):点击扫描二维码,然后扫描从RAM控制台扫码获取页签下的二维码。
手动添加:先点击输入设置密钥,然后填写从RAM控制台手输信息获取页签下的账号和密钥,最后点击添加。
在RAM控制台,输入移动端显示的动态验证码,然后单击确定绑定。
说明您还可以设置是否允许RAM用户保存MFA验证状态7天,如果为允许,则RAM用户使用MFA登录时,可以选中记住这台机器,7天内无需再次验证,就可以在7天内免MFA验证。关于具体的设置方法,请参见管理RAM用户安全设置。
绑定U2F安全密钥
绑定方式
请根据实际情况,选择合适的方式绑定U2F安全密钥:
使用阿里云账号(主账号)或RAM管理员在RAM控制台绑定U2F安全密钥。如下操作将以此为例进行介绍。
如果阿里云账号(主账号)要求RAM用户启用多因素认证,那么RAM用户登录时会直接进入多因素认证绑定流程。请在启用MFA设备页面选择U2F安全密钥,然后直接从第6步开始操作。
如果阿里云账号(主账号)允许RAM用户自主管理多因素认证设备,RAM用户也可以登录控制台绑定U2F安全密钥。将鼠标悬停在右上角头像的位置,先单击安全信息管理,然后在控制台登录页面的U2F安全密钥页签下,单击启用U2F安全密钥,最后直接从第6步开始操作。
操作步骤
绑定安全手机
您只能使用阿里云账号(主账号)或RAM管理员为RAM用户绑定安全手机号码。
使用阿里云账号(主账号)或RAM管理员登录RAM控制台。
使用阿里云账号(主账号)或RAM管理员登录RAM控制台。
在左侧导航栏,选择 。
在用户登录名称/显示名称列,单击目标RAM用户名称。
在认证管理页签下的安全信息管理区域,单击安全手机右侧的编辑。
在编辑安全手机对话框,输入安全手机号码,然后单击确定。
在发送激活链接对话框,再次确认手机号码无误后,单击发送激活链接。
在安全手机上,单击确认链接通过验证。
链接有效期为24小时,超期未验证需要重新发送链接。
RAM用户基本信息中存在的手机号码仅作为备注信息用,与上述绑定的安全手机号码不同,身份二次验证只能使用安全手机号码。
绑定安全邮箱
您只能使用阿里云账号(主账号)或RAM管理员为RAM用户绑定安全邮箱。
使用阿里云账号(主账号)或RAM管理员登录RAM控制台。
使用阿里云账号(主账号)或RAM管理员登录RAM控制台。
在左侧导航栏,选择 。
在用户登录名称/显示名称列,单击目标RAM用户名称。
在认证管理页签下的安全信息管理区域,单击安全邮箱右侧的编辑。
在编辑安全邮箱对话框,输入安全邮箱地址,然后单击确定。
在发送激活链接对话框,再次确认安全邮箱无误后,单击发送激活链接。
登录安全邮箱,单击确认链接通过验证。
链接有效期为24小时,超期未验证需要重新发送链接。
RAM用户基本信息中存在的邮箱仅作为备注信息用,与上述绑定的安全邮箱不同,身份二次验证只能使用安全邮箱。
后续步骤
启用多因素认证并绑定多因素认证设备后,RAM用户再次登录阿里云或进行敏感操作时,系统将要求输入两层安全要素:
第一层安全要素:输入用户名和密码。
第二层安全要素:输入虚拟MFA设备生成的验证码或通过U2F安全密钥认证。
第二层安全要素:输入虚拟MFA设备生成的验证码、通过U2F安全密钥认证、输入安全手机验证码或输入安全邮箱验证码。
如果同时启用多种验证方式,RAM用户登录控制台或进行敏感操作时可以选择其中的一种方式进行验证。
如果您要为RAM用户更换新的MFA设备,请先前往RAM控制台解绑当前的MFA设备,再绑定新的MFA设备。具体操作,请参见为RAM用户解绑MFA设备。
如果RAM用户在未解绑MFA设备的状态下卸载了MFA应用(阿里云应用Google Authenticator应用)或RAM用户的U2F安全密钥丢失,RAM用户将无法正常登录阿里云。此时RAM用户需要联系阿里云账号(主账号)或RAM管理员,前往RAM控制台解绑MFA设备。具体操作,请参见为RAM用户解绑MFA设备。