为RAM用户绑定MFA设备_访问控制(RAM)-阿里云帮助中心

为保证RAM用户的账号安全，控制台登录或进行敏感操作时除使用用户名和密码验证外，您还可以绑定本文所述的MFA设备，用于二次身份验证。

背景信息

RAM用户支持的多因素认证方式及使用限制，请参见多因素认证（MFA）。
您需要先在用户安全设置中，启用对应的多因素认证手段，然后按照本文所述的方法绑定对应的多因素认证设备，才能使多因素认证生效。系统默认启用虚拟MFA和U2F安全密钥多因素认证方式，但您只能绑定两种中的一种。同时，可以再启用安全手机和安全邮箱。更多信息，请参见管理RAM用户安全设置。

操作前，请在手机端下载并安装阿里云应用。下载方式如下：

请根据实际情况，选择合适的方式绑定虚拟MFA：

使用阿里云账号（主账号）或RAM管理员在RAM控制台绑定虚拟MFA。如下操作将以此为例进行介绍。
如果阿里云账号（主账号）要求RAM用户必须启用多因素认证，那么RAM用户登录时会直接进入多因素认证绑定流程，请在启用MFA设备页面选择虚拟MFA设备，然后直接从第6步开始操作。
如果阿里云账号（主账号）允许RAM用户自主管理多因素认证设备，RAM用户也可以登录控制台绑定虚拟MFA。将鼠标悬停在右上角头像的位置，先单击安全信息管理，然后在控制台登录页面的虚拟MFA页签下，单击启用虚拟MFA，最后直接从第6步开始操作。

阿里云账号（主账号）或RAM管理员登录RAM控制台。
在左侧导航栏，选择身份管理 > 用户。
在用户登录名称/显示名称列，单击目标RAM用户名称。
单击认证管理页签，然后单击虚拟MFA页签。
单击启用虚拟MFA。
在移动端，添加虚拟MFA设备。
说明
如下以Android系统上的阿里云应用为例。
1. 登录阿里云应用。
2. 在页面右上角，先点击+图标，然后点击图标。
3. 点击+图标，选择合适的方式添加虚拟MFA设备。
  - 扫码添加（推荐）：在移动端，先点击扫码添加，然后扫描从RAM控制台扫码获取页签下的二维码，最后点击确定。
  - 手动添加：在移动端，先点击手动输入，然后填写从RAM控制台手输信息获取页签下的账号和密钥，最后点击确定。
在RAM控制台，输入移动端显示的动态验证码，然后单击确定绑定。
说明
您还可以设置是否允许RAM用户保存MFA验证状态7天，如果为允许，则RAM用户使用MFA登录时，可以选中记住这台机器，7天内无需再次验证，就可以在7天内免MFA验证。关于具体的设置方法，请参见管理RAM用户安全设置。

请根据实际情况，选择合适的方式绑定U2F安全密钥：

使用阿里云账号（主账号）或RAM管理员在RAM控制台绑定U2F安全密钥。如下操作将以此为例进行介绍。
如果阿里云账号（主账号）要求RAM用户启用多因素认证，那么RAM用户登录时会直接进入多因素认证绑定流程。请在启用MFA设备页面选择U2F安全密钥，然后直接从第6步开始操作。
如果阿里云账号（主账号）允许RAM用户自主管理多因素认证设备，RAM用户也可以登录控制台绑定U2F安全密钥。将鼠标悬停在右上角头像的位置，先单击安全信息管理，然后在控制台登录页面的U2F安全密钥页签下，单击启用U2F安全密钥，最后直接从第6步开始操作。

您只能使用阿里云账号（主账号）或RAM管理员为RAM用户绑定安全手机号码。

说明

RAM用户基本信息中存在的手机号码仅作为备注信息用，与上述绑定的安全手机号码不同，身份二次验证只能使用安全手机号码。

您只能使用阿里云账号（主账号）或RAM管理员为RAM用户绑定安全邮箱。

说明

RAM用户基本信息中存在的邮箱仅作为备注信息用，与上述绑定的安全邮箱不同，身份二次验证只能使用安全邮箱。

启用多因素认证并绑定多因素认证设备后，RAM用户再次登录阿里云或进行敏感操作时，系统将要求输入两层安全要素：

如果同时启用多种验证方式，RAM用户登录控制台或进行敏感操作时可以选择其中的一种方式进行验证。

重要

如果您要为RAM用户更换新的MFA设备，请先前往RAM控制台解绑当前的MFA设备，再绑定新的MFA设备。具体操作，请参见为RAM用户解绑多因素认证设备。
如果RAM用户在未解绑MFA设备的状态下卸载了MFA应用（阿里云应用）或RAM用户的U2F安全密钥丢失，RAM用户将无法正常登录阿里云。此时RAM用户需要联系阿里云账号（主账号）或RAM管理员，前往RAM控制台解绑MFA设备。具体操作，请参见为RAM用户解绑多因素认证设备。