安全設(shè)置概覽
本文介紹了訪問控制涉及的一些安全設(shè)置基本概念,這些安全設(shè)置可以更有效地保護(hù)賬號(hào)安全。
登錄密碼(Password)
登錄密碼是登錄阿里云的身份憑證,用于證明用戶真實(shí)身份的憑證。
請(qǐng)妥善保管您的登錄密碼并定期更換。
關(guān)于如何設(shè)置登錄密碼,請(qǐng)參見修改RAM用戶登錄密碼。
默認(rèn)域名(Default domain name)
阿里云為每個(gè)阿里云賬號(hào)分配了一個(gè)默認(rèn)域名,格式為:<AccountAlias>.onaliyun.com。默認(rèn)域名可作為RAM用戶登錄或單點(diǎn)登錄(SSO)等場(chǎng)景下該云賬號(hào)的唯一標(biāo)識(shí)符。
關(guān)于如何設(shè)置默認(rèn)域名,請(qǐng)參見查看和修改默認(rèn)域名。
域別名(Domain alias)
如果您持有公網(wǎng)上可以解析的域名,那么您可以使用該域名替代您的默認(rèn)域名,該域名稱為域別名。域別名就是指默認(rèn)域名的別名。
域別名必須經(jīng)過域名歸屬驗(yàn)證后才能使用。驗(yàn)證通過后,您可以使用域別名替代默認(rèn)域名,用于所有需要使用默認(rèn)域名的場(chǎng)景。
關(guān)于如何設(shè)置域別名,請(qǐng)參見創(chuàng)建并驗(yàn)證域別名。
訪問密鑰(AccessKey)
訪問密鑰指的是訪問身份驗(yàn)證中用到的AccessKey ID和AccessKey Secret。當(dāng)您創(chuàng)建一個(gè)API請(qǐng)求時(shí),RAM通過使用AccessKey ID和AccessKey Secret對(duì)稱加密的方法來驗(yàn)證某個(gè)請(qǐng)求的發(fā)送者身份,身份驗(yàn)證成功后您才能操作相應(yīng)資源。
AccessKey ID和AccessKey Secret一起使用,AccessKey ID用于標(biāo)識(shí)用戶,AccessKey Secret用于加密簽名字符串和RAM用來驗(yàn)證簽名字符串的密鑰。
AccessKey Secret只在創(chuàng)建時(shí)顯示,不支持查詢,請(qǐng)妥善保管。
關(guān)于如何創(chuàng)建訪問密鑰,請(qǐng)參見創(chuàng)建AccessKey。
多因素認(rèn)證(MFA)
多因素認(rèn)證MFA(Multi Factor Authentication)是一種簡(jiǎn)單有效的安全實(shí)踐,在用戶名和密碼之外再增加一層安全保護(hù),用于登錄控制臺(tái)或進(jìn)行敏感操作時(shí)的二次身份驗(yàn)證,以此保護(hù)您的賬號(hào)更安全。以下將為您介紹RAM用戶支持的多因素認(rèn)證方式、使用說明和使用限制。
多因素認(rèn)證方式
認(rèn)證方式 | 描述 | 使用場(chǎng)景 | 相關(guān)文檔 |
虛擬MFA | 基于時(shí)間的一次性密碼算法(TOTP)是一種廣泛采用的多因素認(rèn)證協(xié)議。在手機(jī)或其他設(shè)備上,支持TOTP的應(yīng)用(例如:阿里云App、Google Authenticator等)被稱為虛擬MFA設(shè)備。如果用戶啟用了虛擬MFA設(shè)備,在用戶登錄時(shí),阿里云將要求用戶必須輸入應(yīng)用上生成的6位驗(yàn)證碼,從而避免因密碼被盜而引起的非法登錄。 |
| |
U2F安全密鑰 | U2F(Universal 2nd Factor)是FIDO(Fast Identity Online)聯(lián)盟推出的多因素認(rèn)證協(xié)議,目前已被業(yè)界廣泛接受。該協(xié)議旨在提供一個(gè)兼具方便性和通用性的多因素認(rèn)證方式。用戶只要將支持Web Authentication協(xié)議的硬件設(shè)備(稱為U2F安全密鑰)插入計(jì)算機(jī)的USB接口,即可在登錄時(shí)通過觸碰或按下設(shè)備上的按鈕完成多因素認(rèn)證。 |
| |
安全手機(jī) | 為RAM用戶綁定安全手機(jī)號(hào)碼,通過安全手機(jī)號(hào)碼提供的驗(yàn)證碼進(jìn)行二次身份驗(yàn)證。 |
| |
安全郵箱 | 為RAM用戶綁定安全郵箱地址,通過安全郵箱提供的驗(yàn)證碼進(jìn)行二次身份驗(yàn)證。 | 敏感操作二次身份驗(yàn)證 |
使用說明
啟用多因素認(rèn)證并綁定多因素認(rèn)證設(shè)備后,RAM用戶再次登錄阿里云或在控制臺(tái)進(jìn)行敏感操作時(shí),系統(tǒng)將要求輸入兩層安全要素:
第一層安全要素:輸入用戶名和密碼。
第二層安全要素:輸入虛擬MFA設(shè)備生成的驗(yàn)證碼、通過U2F安全密鑰認(rèn)證、輸入安全手機(jī)驗(yàn)證碼或輸入安全郵箱驗(yàn)證碼。
使用限制
一個(gè)RAM用戶只能綁定虛擬MFA和U2F安全密鑰中的一種,不能同時(shí)綁定。
虛擬MFA和安全手機(jī)支持通過瀏覽器或阿里云App登錄阿里云時(shí)使用。
U2F安全密鑰的使用限制如下:
U2F安全密鑰只能在擁有USB接口的計(jì)算機(jī)上使用,不支持通過移動(dòng)端瀏覽器或阿里云App登錄阿里云時(shí)使用。如果您使用虛擬機(jī)或遠(yuǎn)程桌面連接,可能也無法使用。
只有以下瀏覽器版本支持Web Authentication協(xié)議,因此您只能在這些瀏覽器中使用U2F安全密鑰:
Google Chrome 67及以上版本
Opera 54及以上版本
Mozilla Firefox 60及以上版本
說明對(duì)于Mozilla Firefox瀏覽器,可能需要您手動(dòng)開啟U2F功能。您需要在瀏覽器地址欄輸入
about:config,然后搜索u2f,將security.webauth.u2f值設(shè)置為true,就可以開啟瀏覽器的U2F功能。更多信息,請(qǐng)參見Mozilla Firefox幫助文檔。
一個(gè)安全手機(jī)號(hào)碼允許被綁定的最大RAM用戶個(gè)數(shù):5個(gè)。
一個(gè)安全郵箱地址允許被綁定的最大RAM用戶個(gè)數(shù):5個(gè)。
敏感操作二次身份驗(yàn)證
為保護(hù)賬號(hào)安全,已綁定任意多因素認(rèn)證手段的RAM用戶登錄控制臺(tái)進(jìn)行敏感操作時(shí),會(huì)觸發(fā)風(fēng)控?cái)r截,要求其進(jìn)行二次身份驗(yàn)證。該RAM用戶必須輸入正確的驗(yàn)證碼后,才能進(jìn)行敏感操作。
如果您希望對(duì)所有RAM用戶啟用敏感操作二次身份驗(yàn)證,首先要強(qiáng)制所有RAM用戶使用MFA。具體操作,請(qǐng)參見管理RAM用戶安全設(shè)置。