为增强RAM用户账号的安全性,建议在用户名和密码之外,额外启用多因素认证(MFA)作为第二层安全验证。启用后,RAM用户在登录控制台或执行敏感操作时,需要通过多因素认证手段进行二次认证,有效防止因凭证泄露导致的安全风险。本文介绍当管理员需要统一管理RAM用户的MFA设备时,阿里云账号(主账号)或RAM管理员如何在控制台主动为RAM用户绑定安全手机、虚拟MFA或安全邮箱。
为了更好地保护您的账户及资产安全,从2024年08月20日开始陆续为所有RAM用户开启登录时强制进行MFA多因素认证,详情请参见通知。
注意事项
管理员无法为RAM用户绑定通行密钥,也无法将U2F升级为通行密钥,需要RAM用户自行操作,参考RAM用户自行绑定MFA设备。
管理员绑定安全手机功能在每日 00:00 ~ 06:00 不可用(受运营商政策影响)。
管理员绑定的手机/邮箱需要用户配合进行最终验证(点击激活链接)。
一个安全手机或邮箱最多可绑定5个RAM用户。
RAM用户“基本信息”中的手机/邮箱仅作联系备注,不同于此处绑定的“安全手机/安全邮箱”(后者用于MFA验证)。
RAM用户支持的MFA方式对比
您可以根据业务需求和安全级别,为RAM用户选择一种或多种MFA方式。每种MFA方式的详情可参考RAM支持的MFA方式。
MFA方式 | 验证方式 | 安全级别 | 依赖 | 推荐场景与建议 |
虚拟MFA设备 | 动态验证码(TOTP) | 高 | 智能手机上的身份验证器App(如阿里云App、Google Authenticator等) | 通用性强,安全性高,不受地域和运营商限制。适合作为首选MFA方式。 |
安全手机 | 短信验证码 | 中 | 手机及运营商信号 | 操作便捷,可作为Passkey或虚拟MFA的备用选项。 |
安全邮箱 | 邮箱验证码 | 中 | 电子邮箱服务 | 作为备用验证方式。当主要MFA设备不可用时,可用于操作认证,不能用于登录认证。 |
为防止因设备丢失、损坏或应用卸载导致无法登录,强烈建议您为每个RAM用户绑定至少两种不同类型的MFA设备,例如Passkey + 安全手机。
原U2F设备已经升级为通行密钥。如果您已绑定U2F设备,推荐您将其升级为通行密钥。具体操作,请参见U2F安全密钥升级为通行密钥。
配置全局MFA策略
在RAM用户绑定MFA设备前,必须由阿里云账号(主账号)或RAM管理员配置全局MFA策略。此策略定义了MFA的启用规则和允许的设备类型,但不能用于为用户批量绑定具体设备,每个RAM用户仍需独立完成设备绑定操作。
完成全局配置后,按照本文所述的方法绑定对应的MFA设备,才能使多因素认证生效。全局配置方法请参见多因素认证设置。
绑定安全手机
受运营商政策影响,使用阿里云账号(主账号)或RAM管理员在RAM控制台为RAM用户绑定安全手机功能在每日00:00~06:00不可用,您在该时间段内无法收到验证短信。
使用阿里云账号(主账号)或拥有RAM管理员权限(
AliyunRAMFullAccess)的RAM用户登录RAM控制台。在左侧导航栏,选择身份管理 > 用户。
在登录名称/显示名称列,单击目标RAM用户名称。
在认证管理页签下的MFA 信息区域,单击安全手机右侧的编辑。
在编辑安全手机对话框,输入安全手机号码,然后单击确定。
在发送激活链接对话框,再次确认手机号码无误后,单击发送激活链接。
在安全手机上,验证激活链接。链接有效期为24小时,超期未验证需要重新发送链接。
RAM用户基本信息中存在的手机号码仅作为备注信息,与上述绑定的安全手机号码不同,二次身份验证只能使用安全手机号码。
绑定虚拟MFA
虚拟MFA设备通过兼容TOTP协议的身份验证器App生成动态验证码,是安全性和通用性最佳的MFA方式。操作前,请在手机端下载并安装虚拟MFA设备,如阿里云App、Google Authenticator等。
使用阿里云账号(主账号)或拥有RAM管理员权限(
AliyunRAMFullAccess)的RAM用户登录RAM控制台。在左侧导航栏,选择身份管理 > 用户。
在登录名称/显示名称列,单击目标RAM用户名称。
在认证管理页签下的MFA 信息区域,复制绑定 {value},然后在浏览器中打开该链接。
在移动端,添加虚拟MFA设备。如下以Android系统上的阿里云App及iOS系统上的Google Authenticator应用为例。
阿里云App(Android)
登录阿里云App。
在页面右上角,点击
图标。点击右上角+图标,选择合适的方式添加虚拟MFA设备。
扫码添加(推荐):在移动端,先点击扫码添加,然后扫描阿里云控制台绑定虚拟MFA页面上的二维码,最后点击确定。
手动添加:在移动端,先点击手动添加,然后填写阿里云控制台绑定虚拟MFA页面上的账号和密钥,最后点击确定。
Google Authenticator应用(iOS)
登录Google Authenticator应用。
点击开始使用,选择合适的方式添加虚拟MFA设备。
扫码添加(推荐):点击扫描二维码,然后扫描阿里云控制台绑定虚拟MFA页面上的二维码。
手动添加:先点击输入设置密钥,然后填写阿里云控制台绑定虚拟MFA页面上的账号和密钥,最后点击添加。
在阿里云控制台,输入移动端显示的动态验证码,然后单击确定。
您还可以设置是否允许RAM用户记住MFA验证状态7天,如果为允许,则RAM用户登录进行MFA验证时,可以选中记住这台机器,7天内无需再次验证。选中后,同一个RAM用户7天内无需再次验证MFA。关于具体的设置方法,请参见管理RAM用户安全设置。
绑定安全邮箱
安全邮箱通常作为备用MFA方式,在主要设备不可用时提供验证途径。
阿里云账号(主账号)或RAM管理员登录RAM控制台。
在左侧导航栏,选择。
在用户登录名称/显示名称列,单击目标RAM用户名称。
在认证管理页签下的安全信息管理区域,单击安全邮箱右侧的编辑。
在编辑安全邮箱对话框,输入安全邮箱地址,然后单击确定。
在发送激活链接对话框,再次确认安全邮箱无误后,单击发送激活链接。
登录安全邮箱,验证激活链接。链接有效期为24小时,超期未验证需要重新发送链接。
RAM用户基本信息中存在的邮箱仅作为备注信息,与上述绑定的安全邮箱不同,二次身份验证只能使用安全邮箱。
后续步骤
启用多因素认证并绑定多因素认证设备后,RAM用户再次登录阿里云或在控制台进行敏感操作时,系统将要求输入两层安全要素:
第一层安全要素:输入用户名和密码。
第二层安全要素:输入虚拟MFA设备生成的验证码、通过通行密钥认证、输入安全手机验证码或输入安全邮箱验证码。
如果同时启用多种验证方式,RAM用户登录控制台或在控制台进行敏感操作时可以选择其中的一种方式进行验证。
如果您要为RAM用户更换新的MFA设备,请先解绑当前的MFA设备,再绑定新的MFA设备。具体操作,请参见为RAM用户解绑MFA设备。
如果RAM用户在未解绑MFA设备的状态下卸载了MFA应用(例如阿里云App,Google Authenticator等)或RAM用户的U2F安全密钥丢失,RAM用户将无法正常登录阿里云。此时RAM用户需要联系阿里云账号(主账号)或RAM管理员,前往RAM控制台解绑MFA设备。具体操作,请参见为RAM用户解绑MFA设备。