多要素認証 (MFA) は、コンソールのログオンと機密操作のためのユーザー名とパスワードの認証モデルを補完するものです。 RAM (Resource Access Management) ユーザーのセキュリティを確保するために、MFAデバイスをRAMユーザーにバインドできます。 MFAデバイスは、RAMユーザーのIDを検証するのに役立ちます。
背景情報
RAMユーザーがサポートするMFAメソッドと制限の詳細については、「MFA」をご参照ください。
RAMユーザーにバインドできるMFAデバイスは1種類のみです。
仮想MFAデバイスのバインド
前提条件
仮想MFAデバイスをバインドする前に、モバイルデバイスにGoogle Authenticatorアプリをダウンロードしてインストールする必要があります。 次のいずれかの方法を使用して、Google Authenticatorアプリをダウンロードできます。
iOSの場合は、app StoreからGoogle Authenticatorアプリをダウンロードします。
Androidの場合は、ご希望のアプリストアからGoogle Authenticatorアプリをダウンロードしてください。
説明Androidの場合、QRコードを識別するには、Google Authenticatorのアプリストアからクイックレスポンス (QR) コードスキャナーもダウンロードしてインストールする必要があります。
バインディングメソッド
次のいずれかの方法を使用して、ビジネス要件に基づいて仮想MFAデバイスをバインドできます。
Alibaba CloudアカウントまたはRAMコンソールで管理者権限を持つRAMユーザーを使用して、仮想MFAデバイスをバインドできます。
RAMユーザーの作成時にMFAを有効にするために [必須] を選択した場合、RAMユーザーはログイン時に仮想MFAデバイスをバインドする必要があります。 [MFAデバイスの有効化] ダイアログボックスで [仮想MFAデバイス] を選択し、ステップ6に進みます。
Alibaba CloudアカウントのRAMユーザーが独自の仮想MFAデバイスの管理を許可されている場合、RAMユーザーはRAMコンソールで仮想MFAデバイスをバインドできます。 仮想MFAデバイスをバインドするには、次の操作を実行します。コンソールの右上隅にあるプロファイル画像の上にポインターを移動し、[セキュリティ情報の管理] をクリックします。 コンソールログインページの [仮想MFAデバイス] タブで、[仮想MFAデバイスの有効化] をクリックし、ステップ6に進みます。
手順
Alibaba Cloudアカウントまたは管理者権限を持つRAMユーザーでRAMコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
ユーザーログイン名 /表示名列で、管理するRAMユーザーのユーザー名をクリックします。
表示されるページで、[認証] タブをクリックします。 次に、[仮想MFAデバイス] タブをクリックします。
仮想MFAデバイスの有効化をクリックします。
モバイルデバイスで、仮想MFAデバイスを有効にします。
説明次の例は、iOSを実行するモバイルデバイスのGoogle Authenticatorアプリで仮想MFAデバイスをバインドする方法を示しています。
Google Authenticatorアプリを開きます。
[開始] をタップし、次のいずれかの方法を選択して仮想MFAデバイスを有効にします。
Google Authenticatorアプリで [QRコードのスキャン] をタップします。 次に、に表示されているQRコードをスキャンします。コードをスキャンします。 RAMコンソールのタブ。 この方法をお勧めします。
[設定キーの入力] をタップします。 次に、RAMコンソールの [QR情報] タブから取得したアカウントとキーを入力し、[追加] をタップします。
RAMコンソールで、Google Authenticatorアプリに表示される確認コードを入力します。 次に、[バインドの確認] をクリックします。
説明Remember MFA for Seven Daysパラメーターを設定することもできます。 このパラメーターを [許可] に設定すると、RAMユーザーは、ログイン中にMFAを使用するときに、[このマシンを7日間再認証する前に覚えておく] を選択できます。 再度認証する必要がある前に7日間このマシンを覚えている場合は、MFAは7日以内に必要ありません。 詳細については、「RAMユーザーのセキュリティ設定の管理」をご参照ください。
U2Fセキュリティキーのバインド
バインディングメソッド
次のいずれかの方法を使用して、ビジネス要件に基づいてU2Fセキュリティキーをバインドできます。
Alibaba CloudアカウントまたはRAMコンソールで管理者権限を持つRAMユーザーを使用して、U2Fセキュリティキーをバインドできます。
RAMユーザーの作成時にMFAを有効にするために必須を選択した場合、RAMユーザーはログイン時にMFAデバイスをバインドする必要があります。 [MFAデバイスの有効化] ダイアログボックスで [U2Fセキュリティキー] を選択し、ステップ6に進みます。
Alibaba CloudアカウントのRAMユーザーが独自のMFAデバイスの管理を許可されている場合、RAMユーザーはRAMコンソールでU2Fセキュリティキーをバインドできます。 U2Fセキュリティキーをバインドするには、次の操作を実行します。コンソールの右上隅にあるプロファイル画像の上にポインターを移動し、[セキュリティ情報の管理] をクリックします。 コンソールログインページの [U2Fセキュリティキー] タブで、[U2Fセキュリティキーの有効化] をクリックし、ステップ6に進みます。
手順
Alibaba Cloudアカウントまたは管理者権限を持つRAMユーザーでRAMコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
ユーザーログイン名 /表示名列で、管理するRAMユーザーのユーザー名をクリックします。
表示されるページで、[認証] タブをクリックします。 次に、[U2Fセキュリティキー] タブをクリックします。
U2Fセキュリティキーの有効化をクリックします。
U2Fセキュリティキーのバインドページで、RAMユーザーをU2Fセキュリティキーにバインドします。
説明次の操作を実行する前に、U2Fセキュリティキーの制限を理解する必要があります。 詳細については、「制限事項」をご参照ください。
U2FセキュリティキーをコンピュータのUSBポートに接続します。
U2Fセキュリティキーのボタンをタップします。
U2Fセキュリティキーの取得を促すメッセージで、OKをクリックします。
U2Fセキュリティキーを取得したことを示すメッセージで、バインドの確認をクリックします。
次のステップ
MFAを有効にしてMFAデバイスをRAMユーザーにバインドした後、RAMユーザーがAlibaba Cloud管理コンソールにログインして機密操作を実行するときに、RAMユーザーは次の手順を実行する必要があります。
RAMユーザーのユーザー名とパスワードを入力します。
仮想MFAデバイスによって生成される確認コードを入力します。 または、U2F認証に合格します。
RAMユーザーにバインドされているMFAデバイスを変更する場合は、RAMコンソールにログインし、MFAデバイスのバインドを解除してから、RAMユーザーを別のMFAデバイスにバインドする必要があります。 詳細については、「RAMユーザーからMFAデバイスのバインド解除」をご参照ください。
MFAデバイスの場合 (RAMユーザーがMFAデバイスを無効にする前にGoogle Authenticatorアプリがアンインストールされるか、U2Fセキュリティキーが失われると、RAMユーザーはAlibaba Cloud管理コンソールにログインできなくなります。 この場合、RAMユーザーは、RAMユーザーが属するAlibaba Cloudアカウント、またはRAMコンソールにログインしてMFAデバイスのバインドを解除するための管理者権限を持つRAMユーザーに連絡する必要があります。 詳細については、「RAMユーザーからMFAデバイスのバインド解除」をご参照ください。