為保證RAM用戶的賬號安全,控制臺登錄或在控制臺進行敏感操作時除使用用戶名和密碼驗證外,您還可以綁定本文所述的MFA設備,用于二次身份驗證。
背景信息
RAM用戶支持多種多因素認證方式,其使用場景及差異請參見多因素認證方式。
您需要先在RAM用戶安全設置中,設置允許使用的MFA設備,然后按照本文所述的方法綁定對應的MFA設備,才能使多因素認證生效。更多信息,請參見管理RAM用戶安全設置。
一個RAM用戶只能綁定虛擬MFA和U2F安全密鑰中的一種,不能同時綁定。
為了更好地保護您的賬戶及資產安全,從2024年08月20日開始將陸續為所有RAM用戶開啟登錄時強制進行MFA多因素認證,詳情請參見通知。
綁定安全手機
在RAM用戶登錄頁面綁定
RAM用戶登錄時,可按如下操作自行綁定安全手機號碼。
訪問RAM用戶登錄頁面,輸入RAM用戶名和登錄密碼,完成登錄。
選擇手機短信驗證。
輸入手機號碼,獲取并輸入驗證碼,然后單擊確定。
在RAM控制臺綁定
您可以使用阿里云賬號(主賬號)或RAM管理員在RAM控制臺主動為RAM用戶綁定安全手機號碼。
使用阿里云賬號(主賬號)或RAM管理員登錄RAM控制臺。
在左側導航欄,選擇。
在用戶登錄名稱/顯示名稱列,單擊目標RAM用戶名稱。
在認證管理頁簽下的安全信息管理區域,單擊安全手機右側的編輯。
在編輯安全手機對話框,輸入安全手機號碼,然后單擊確定。
在發送激活鏈接對話框,再次確認手機號碼無誤后,單擊發送激活鏈接。
在安全手機上,驗證激活鏈接。
鏈接有效期為24小時,超期未驗證需要重新發送鏈接。
在RAM用戶安全信息頁面綁定
允許自主管理MFA設備的RAM用戶,可按如下操作自行綁定安全手機號碼。關于如何設置RAM用戶自主管理MFA設備,請參見全局安全設置。
RAM用戶訪問RAM用戶登錄頁面,完成登錄。
鼠標懸停在右上角頭像的位置,單擊安全信息。
在MFA信息區域,單擊安全手機右側的綁定。
輸入手機號碼,獲取并輸入驗證碼,然后單擊確定。
RAM用戶基本信息中存在的手機號碼僅作為備注信息,與上述綁定的安全手機號碼不同,二次身份驗證只能使用安全手機號碼。
綁定虛擬MFA
前提條件
操作前,請在手機端下載并安裝阿里云App。下載方式如下:
iOS:在App Store中搜索阿里云。
Android:在應用市場中搜索阿里云。
操作步驟
在RAM用戶登錄頁面綁定
RAM用戶登錄時,可按如下操作自行綁定虛擬MFA設備。
RAM用戶訪問RAM用戶登錄頁面,然后輸入RAM用戶名和登錄密碼。
選擇虛擬MFA設備。
在移動端,添加虛擬MFA設備。
說明如下以Android系統上的阿里云App為例。
登錄阿里云App。
在頁面右上角,點擊
圖標。
點擊+圖標,選擇合適的方式添加虛擬MFA設備。
掃碼添加(推薦):在移動端,先點擊掃碼添加,然后掃描阿里云控制臺綁定虛擬MFA頁面上的二維碼,最后點擊確定。
手動添加:在移動端,先點擊手動添加,然后填寫阿里云控制臺綁定虛擬MFA頁面上的賬號和密鑰,最后點擊確定。
在阿里云控制臺,輸入移動端顯示的動態驗證碼,然后單擊確定。
在RAM控制臺綁定
您可以使用阿里云賬號(主賬號)或RAM管理員在RAM控制臺主動為RAM用戶綁定虛擬MFA。
阿里云賬號(主賬號)或RAM管理員登錄RAM控制臺。
在左側導航欄,選擇。
在用戶登錄名稱/顯示名稱列,單擊目標RAM用戶名稱。
在認證管理頁簽下的安全信息管理區域,復制綁定VMFA鏈接,然后在瀏覽器中打開該鏈接。
在移動端,添加虛擬MFA設備。
說明如下以Android系統上的阿里云App為例。
登錄阿里云App。
在頁面右上角,點擊
圖標。點擊+圖標,選擇合適的方式添加虛擬MFA設備。
掃碼添加(推薦):在移動端,先點擊掃碼添加,然后掃描阿里云控制臺綁定虛擬MFA頁面上的二維碼,最后點擊確定。
手動添加:在移動端,先點擊手動添加,然后填寫阿里云控制臺綁定虛擬MFA頁面上的賬號和密鑰,最后點擊確定。
在阿里云控制臺,輸入移動端顯示的動態驗證碼,然后單擊確定。
在RAM用戶安全信息頁面綁定
允許自主管理MFA設備的RAM用戶,可按如下操作自行綁定虛擬MFA設備。關于如何設置RAM用戶自主管理MFA設備,請參見全局安全設置。
RAM用戶訪問RAM用戶登錄頁面,完成登錄。
鼠標懸停在右上角頭像的位置,單擊安全信息。
在MFA信息區域,單擊MFA設備右側的綁定VMFA。
在移動端,添加虛擬MFA設備。
說明如下以Android系統上的阿里云App為例。
登錄阿里云App。
在頁面右上角,點擊
圖標。點擊+圖標,選擇合適的方式添加虛擬MFA設備。
掃碼添加(推薦):在移動端,先點擊掃碼添加,然后掃描阿里云控制臺綁定虛擬MFA頁面上的二維碼,最后點擊確定。
手動添加:在移動端,先點擊手動添加,然后填寫阿里云控制臺綁定虛擬MFA頁面上的賬號和密鑰,最后點擊確定。
在阿里云控制臺,輸入移動端顯示的動態驗證碼,然后單擊確定。
您還可以設置是否允許RAM用戶記住MFA驗證狀態7天,如果為允許,則RAM用戶登錄進行MFA驗證時,可以選中記住這臺機器,7天內無需再次驗證。選中后,同一個RAM用戶7天內無需再次驗證MFA,但是,更換RAM用戶登錄記錄將失效。關于具體的設置方法,請參見管理RAM用戶安全設置。
綁定U2F安全密鑰
在RAM用戶登錄頁面綁定
RAM用戶登錄時,可按如下操作自行綁定U2F安全密鑰。
在RAM控制臺綁定
您可以使用阿里云賬號(主賬號)或RAM管理員在RAM控制臺主動為RAM用戶綁定U2F安全密鑰。
在RAM用戶安全信息頁面綁定
允許自主管理MFA設備的RAM用戶,可按如下操作自行綁定U2F安全密鑰。關于如何設置RAM用戶自主管理MFA設備,請參見全局安全設置。
綁定安全郵箱
您只能使用阿里云賬號(主賬號)或RAM管理員為RAM用戶綁定安全郵箱。
使用阿里云賬號(主賬號)或RAM管理員登錄RAM控制臺。
在左側導航欄,選擇。
在用戶登錄名稱/顯示名稱列,單擊目標RAM用戶名稱。
在認證管理頁簽下的安全信息管理區域,單擊安全郵箱右側的編輯。
在編輯安全郵箱對話框,輸入安全郵箱地址,然后單擊確定。
在發送激活鏈接對話框,再次確認安全郵箱無誤后,單擊發送激活鏈接。
登錄安全郵箱,驗證激活鏈接。
鏈接有效期為24小時,超期未驗證需要重新發送鏈接。
RAM用戶基本信息中存在的郵箱僅作為備注信息,與上述綁定的安全郵箱不同,二次身份驗證只能使用安全郵箱。
后續步驟
啟用多因素認證并綁定多因素認證設備后,RAM用戶再次登錄阿里云或在控制臺進行敏感操作時,系統將要求輸入兩層安全要素:
第一層安全要素:輸入用戶名和密碼。
第二層安全要素:輸入虛擬MFA設備生成的驗證碼、通過U2F安全密鑰認證、輸入安全手機驗證碼或輸入安全郵箱驗證碼。
如果同時啟用多種驗證方式,RAM用戶登錄控制臺或在控制臺進行敏感操作時可以選擇其中的一種方式進行驗證。
如果您要為RAM用戶更換新的MFA設備,請先解綁當前的MFA設備,再綁定新的MFA設備。具體操作,請參見為RAM用戶解綁MFA設備。
如果RAM用戶在未解綁MFA設備的狀態下卸載了MFA應用(阿里云App)或RAM用戶的U2F安全密鑰丟失,RAM用戶將無法正常登錄阿里云。此時RAM用戶需要聯系阿里云賬號(主賬號)或RAM管理員,前往RAM控制臺解綁MFA設備。具體操作,請參見為RAM用戶解綁MFA設備。