为增强RAM用户账号的安全性,建议在用户名和密码之外,额外启用多因素认证(MFA)作为第二层安全验证。启用后,RAM用户在登录控制台或执行敏感操作时,需要通过多因素认证手段进行二次认证,有效防止因凭证泄露导致的安全风险。本文介绍RAM用户如何自行绑定多因素认证(MFA)设备,包括通行密钥、安全手机、虚拟MFA和安全邮箱,以加强账号安全。
为了更好地保护您的账户及资产安全,从2024年08月20日开始陆续为所有RAM用户开启登录时强制进行MFA多因素认证,详情请参见通知。
RAM用户支持的MFA方式对比
您可以根据业务需求和安全级别,为RAM用户选择一种或多种MFA方式。每种MFA方式的详情可参考RAM支持的MFA方式
MFA方式 | 验证方式 | 安全级别 | 依赖 | 推荐场景与建议 |
通行密钥 (Passkey) | 生物识别(指纹/人脸)或设备PIN码 | 最高 | 兼容的设备(电脑/手机)和浏览器,以及安全密钥硬件,详见什么是通行密钥 | 追求极致安全和无密码便捷登录的场景。通过认证设备合法性,并结合设备自带的生物特征进行验证。 |
虚拟MFA设备 | 动态验证码(TOTP) | 高 | 智能手机上的身份验证器App(如阿里云App、Google Authenticator等) | 通用性强,安全性高,不受地域和运营商限制。适合作为首选MFA方式。 |
安全手机 | 短信验证码 | 中 | 手机及运营商信号 | 操作便捷,可作为Passkey或虚拟MFA的备用选项。 |
安全邮箱 | 邮箱验证码 | 中 | 电子邮箱服务 | 作为备用验证方式。当主要MFA设备不可用时,可用于操作认证,不能用于登录认证。 |
为防止因设备丢失、损坏或应用卸载导致无法登录,强烈建议您为每个RAM用户绑定至少两种不同类型的MFA设备,例如Passkey + 安全手机。
原U2F设备已经升级为通行密钥。如果您已绑定U2F设备,推荐您将其升级为通行密钥。具体操作,请参见U2F安全密钥升级为通行密钥。
配置全局MFA策略
在RAM用户绑定MFA设备前,必须由阿里云账号(主账号)或RAM管理员配置全局MFA策略。此策略定义了MFA的启用规则和允许的设备类型,但不能用于为用户批量绑定具体设备,每个RAM用户仍需独立完成设备绑定操作。
完成全局配置后,按照本文所述的方法绑定对应的MFA设备,才能使多因素认证生效。全局配置方法请参见多因素认证设置。
绑定通行密钥Passkey
通行密钥Passkey利用设备自身的生物识别(指纹、人脸)或PIN码进行验证,提供流畅且高度安全的无密码体验。您需要使用支持Passkey的操作系统和浏览器,或者安全密钥硬件。通行密钥的使用限制和支持的设备类型见什么是通行密钥。
建议常用设备都预先绑定好Passkey,并且备用绑定一个安全手机,避免更换设备无法登录。
在RAM用户登录页面绑定
RAM用户首次登录控制台时,可按如下操作自行绑定通行密钥。
RAM用户访问RAM用户登录页面,然后输入RAM用户名和登录密码。
选择通行密钥。
在绑定通行密钥页面,按照页面提示完成绑定。可参考管理RAM用户的通行密钥(Passkey)。
在RAM用户安全信息页面绑定
RAM用户访问RAM用户登录页面,完成登录。
鼠标悬停在右上角头像的位置,单击登录安全。
在通行密钥区域,单击创建通行密钥。
在绑定通行密钥页面,按照页面提示完成绑定。可参考管理RAM用户的通行密钥(Passkey)。
绑定安全手机
在RAM用户登录页面绑定
RAM用户首次登录控制台时,可按如下操作自行绑定安全手机号码。
访问RAM用户登录页面,输入RAM用户名和登录密码,完成登录。
选择手机短信验证。
输入手机号码,获取并输入验证码,然后单击确定。
在RAM用户安全信息页面绑定
允许自主管理MFA设备的RAM用户,可按如下操作自行绑定安全手机号码。关于如何设置RAM用户自主管理MFA设备,请参见全局安全设置。
RAM用户访问RAM用户登录页面,完成登录。
鼠标悬停在右上角头像的位置,单击登录安全。
在MFA 信息区域,单击安全手机右侧的绑定。
输入手机号码,获取并输入验证码,然后单击确定。
RAM用户基本信息中存在的手机号码仅作为备注信息,与上述绑定的安全手机号码不同,二次身份验证只能使用安全手机号码。
绑定虚拟MFA
虚拟MFA设备通过兼容TOTP协议的身份验证器App生成动态验证码,是安全性和通用性最佳的MFA方式。操作前,请在手机端下载并安装虚拟MFA设备,如阿里云App、Google Authenticator等。
在RAM用户登录页面绑定
RAM用户首次登录控制台时,可按如下操作自行绑定虚拟MFA设备。
RAM用户访问RAM用户登录页面,然后输入RAM用户名和登录密码。
选择虚拟MFA设备。
在移动端,添加虚拟MFA设备。如下以Android系统上的阿里云App及iOS系统上的Google Authenticator应用为例。
阿里云App(Android)
登录阿里云App。
在页面右上角,点击
图标。点击右上角+图标,选择合适的方式添加虚拟MFA设备。
扫码添加(推荐):在移动端,先点击扫码添加,然后扫描阿里云控制台绑定虚拟MFA页面上的二维码,最后点击确定。
手动添加:在移动端,先点击手动添加,然后填写阿里云控制台绑定虚拟MFA页面上的账号和密钥,最后点击确定。
Google Authenticator应用(iOS)
登录Google Authenticator应用。
点击开始使用,选择合适的方式添加虚拟MFA设备。
扫码添加(推荐):点击扫描二维码,然后扫描阿里云控制台绑定虚拟MFA页面上的二维码。
手动添加:先点击输入设置密钥,然后填写阿里云控制台绑定虚拟MFA页面上的账号和密钥,最后点击添加。
在阿里云控制台,输入移动端显示的动态验证码,然后单击确定。
在RAM用户安全信息页面绑定
RAM用户访问RAM用户登录页面,完成登录。
鼠标悬停在右上角头像的位置,单击登录安全。
在MFA 信息区域,单击MFA 设备右侧的绑定 VMFA。
在移动端,添加虚拟MFA设备。如下以Android系统上的阿里云App及iOS系统上的Google Authenticator应用为例。
阿里云App(Android)
登录阿里云App。
在页面右上角,点击
图标。点击右上角+图标,选择合适的方式添加虚拟MFA设备。
扫码添加(推荐):在移动端,先点击扫码添加,然后扫描阿里云控制台绑定虚拟MFA页面上的二维码,最后点击确定。
手动添加:在移动端,先点击手动添加,然后填写阿里云控制台绑定虚拟MFA页面上的账号和密钥,最后点击确定。
Google Authenticator应用(iOS)
登录Google Authenticator应用。
点击开始使用,选择合适的方式添加虚拟MFA设备。
扫码添加(推荐):点击扫描二维码,然后扫描阿里云控制台绑定虚拟MFA页面上的二维码。
手动添加:先点击输入设置密钥,然后填写阿里云控制台绑定虚拟MFA页面上的账号和密钥,最后点击添加。
在阿里云控制台,输入移动端显示的动态验证码,然后单击确定。
您还可以设置是否允许RAM用户记住MFA验证状态7天,如果为允许,则RAM用户登录进行MFA验证时,可以选中记住这台机器,7天内无需再次验证。选中后,同一个RAM用户7天内无需再次验证MFA。关于具体的设置方法,请参见管理RAM用户安全设置。
绑定安全邮箱
安全邮箱通常作为备用MFA方式,在主要设备不可用时提供验证途径。
RAM用户访问RAM用户登录页面,完成登录。
鼠标悬停在右上角头像的位置,单击登录安全。
在MFA 信息区域,单击安全邮箱右侧的绑定。
在绑定安全邮箱页面,输入邮箱地址,然后获取并输入验证码,最后单击确定。
RAM用户基本信息中存在的邮箱仅作为备注信息,与上述绑定的安全邮箱不同,二次身份验证只能使用安全邮箱。
U2F安全密钥升级为通行密钥
如果RAM用户之前已绑定了U2F安全密钥,该U2F安全密钥可以正常使用,但是推荐您将其升级为通行密钥。
RAM用户访问RAM用户登录页面,完成登录。
鼠标悬停在右上角头像的位置,单击登录安全。
在MFA 信息区域,单击MFA 设备右侧的升级为通行密钥。
在升级 U2F 到通行密钥对话框,单击确定。
在绑定通行密钥页面,绑定安全密钥。具体操作,请参见管理RAM用户的通行密钥(Passkey)。
后续步骤
启用多因素认证并绑定多因素认证设备后,RAM用户再次登录阿里云或在控制台进行敏感操作时,系统将要求输入两层安全要素:
第一层安全要素:输入用户名和密码。
第二层安全要素:输入虚拟MFA设备生成的验证码、通过通行密钥认证、输入安全手机验证码或输入安全邮箱验证码。
如果同时启用多种验证方式,RAM用户登录控制台或在控制台进行敏感操作时可以选择其中的一种方式进行验证。
如果您要为RAM用户更换新的MFA设备,请先解绑当前的MFA设备,再绑定新的MFA设备。具体操作,请参见为RAM用户解绑MFA设备。
如果RAM用户在未解绑MFA设备的状态下卸载了MFA应用(例如阿里云App,Google Authenticator等)或RAM用户的U2F安全密钥丢失,RAM用户将无法正常登录阿里云。此时RAM用户需要联系阿里云账号(主账号)或RAM管理员,前往RAM控制台解绑MFA设备。具体操作,请参见为RAM用户解绑MFA设备。