多要素認証 (MFA) は、ユーザー名とパスワードの認証モデルの補足です。 RAM (Resource Access Management) ユーザーのセキュリティを確保するために、MFAデバイスをRAMユーザーにバインドできます。 MFAデバイスは、RAMユーザーのIDを検証するのに役立ちます。
背景情報
RAMユーザーがサポートするMFAメソッドと制限の詳細については、「多要素認証 (MFA) 」をご参照ください。
RAMユーザーにバインドできるMFAデバイスは1種類のみです。
仮想MFAデバイスのバインド
前提条件
仮想MFAデバイスをバインドする前に、モバイルデバイスにGoogle Authenticatorアプリをダウンロードしてインストールする必要があります。 次のいずれかの方法を使用して、Google Authenticatorアプリをダウンロードできます。
iOSの場合は、app StoreからGoogle Authenticatorアプリをダウンロードします。
Androidの場合は、ご希望のアプリストアからGoogle Authenticatorアプリをダウンロードしてください。
説明Androidの場合、QRコードを識別するには、Google Authenticatorのアプリストアからクイックレスポンス (QR) コードスキャナーもダウンロードしてインストールする必要があります。
バインディングメソッド
次のいずれかの方法を使用して、ビジネス要件に基づいて仮想MFAデバイスをバインドできます。
Alibaba CloudアカウントまたはRAMコンソールの管理者権限を持つRAMユーザーを使用して、仮想MFAデバイスをバインドできます。
RAMユーザーの作成時にMFAを有効にするために [必須] を選択した場合、RAMユーザーのログイン時に仮想MFAデバイスをバインドする必要があります。 [MFAデバイスの有効化] ダイアログボックスで [仮想MFAデバイス] を選択し、6に移動します。
Alibaba CloudアカウントのRAMユーザーが独自の仮想MFAデバイスの管理を許可されている場合、RAMユーザーはRAMコンソールで仮想MFAデバイスをバインドできます。 仮想MFAデバイスをバインドするには、次の操作を実行します。コンソールの右上隅にあるプロファイル画像の上にポインターを移動し、[セキュリティ情報の管理] をクリックします。 コンソールログインページの [仮想MFAデバイス] タブで、[仮想MFAデバイスの有効化] をクリックし、[6] に移動します。
手順
Alibaba Cloudアカウントまたは管理者権限を持つRAMユーザーを使用して、RAMコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
[ユーザーログイン名 /表示名] 列で、仮想MFAデバイスを有効にするRAMユーザーのユーザー名をクリックします。
表示されるページで、[認証] タブをクリックします。 次に、[仮想MFAデバイス] タブをクリックします。
[仮想MFAデバイスの有効化] をクリックします。
モバイルデバイスで、仮想MFAデバイスをバインドします。
説明次の例は、iOSを実行するモバイルデバイスのGoogle Authenticatorアプリで仮想MFAデバイスをバインドする方法を示しています。
Google Authenticatorアプリを開きます。
[開始] をタップし、次のいずれかの方法を選択して仮想MFAデバイスを有効にします。
Google Authenticatorアプリで [QRコードのスキャン] をタップします。 次に、に表示されているQRコードをスキャンします。コードをスキャンします。 RAMコンソールのタブ。 この方法をお勧めします。
[設定キーの入力] をタップします。 次に、RAMコンソールの [QR情報] タブから取得したアカウントとキーを入力し、[追加] をタップします。
RAMコンソールで、Google Authenticatorアプリに表示される確認コードを入力します。 次に、[バインドの確認] をクリックします。
説明Remember MFA for Seven Daysパラメーターを設定することもできます。 このパラメーターを [許可] に設定すると、RAMユーザーは、ログイン中にMFAを使用するときに、[このマシンを7日間再認証する前に覚えておく] を選択できます。 再度認証する必要がある前に7日間このマシンを覚えている場合は、MFAは7日以内に必要ありません。 詳細については、「RAMユーザーのセキュリティ設定の管理」をご参照ください。
U2Fセキュリティキーのバインド
バインディングメソッド
次のいずれかの方法を使用して、ビジネス要件に基づいてU2Fセキュリティキーをバインドできます。
Alibaba CloudアカウントまたはRAMコンソールで管理者権限を持つRAMユーザーを使用して、U2Fセキュリティキーをバインドできます。
RAMユーザーの作成時にMFAを有効にするために [必須] を選択した場合、RAMユーザーのログイン時にMFAデバイスをバインドする必要があります。 [MFAデバイスの有効化] ダイアログボックスで [U2Fセキュリティキー] を選択し、[6] に移動します。
Alibaba CloudアカウントのRAMユーザーが独自のMFAデバイスの管理を許可されている場合、RAMユーザーはRAMコンソールでU2Fセキュリティキーをバインドできます。 U2Fセキュリティキーをバインドするには、次の操作を実行します。コンソールの右上隅にあるプロファイル画像の上にポインターを移動し、[セキュリティ情報の管理] をクリックします。 コンソールログインページの [U2Fセキュリティキー] タブで、[U2Fセキュリティキーの有効化] をクリックし、[6] に移動します。
手順
Alibaba Cloudアカウントまたは管理者権限を持つRAMユーザーを使用して、RAMコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
[ユーザーログイン名 /表示名] 列で、仮想MFAデバイスを有効にするRAMユーザーのユーザー名をクリックします。
表示されるページで、[認証] タブをクリックします。 次に、[U2Fセキュリティキー] タブをクリックします。
[U2Fセキュリティキーの有効化] をクリックします。
[U2Fセキュリティキーのバインド] ページで、RAMユーザーをU2Fセキュリティキーにバインドします。
説明次の操作を実行する前に、U2Fセキュリティキーの制限を理解する必要があります。 詳細については、「制限事項」をご参照ください。
U2FセキュリティキーをコンピュータのUSBポートに接続します。
U2Fセキュリティキーのボタンをタップします。
U2Fセキュリティキーの取得を求めるメッセージで、[OK] をクリックします。
U2Fセキュリティキーを取得したことを示すメッセージで、[バインドの確認] をクリックします。
次のステップ
MFAを有効にしてMFAデバイスをRAMユーザーにバインドした後、RAMユーザーがAlibaba Cloud管理コンソールにログインして機密操作を実行するときに、RAMユーザーは次の手順を実行する必要があります。
RAMユーザーのユーザー名とパスワードを入力します。
仮想MFAデバイスによって生成される確認コードを入力します。 または、U2F認証に合格します。
RAMユーザーにバインドされているMFAデバイスのタイプを変更する場合は、RAMコンソールにログインし、MFAデバイスのバインドを解除してから、RAMユーザーを別のMFAデバイスにバインドする必要があります。 詳細については、「RAMユーザーのMFAデバイスの無効化」をご参照ください。
MFAデバイスを無効にする前に仮想MFAデバイスがアンインストールされた場合、またはU2Fセキュリティキーが失われた場合、Alibaba Cloud管理コンソールにログインできません。 この場合、Alibaba Cloudアカウントまたは管理者権限を持つRAMユーザーを使用して、RAMコンソールにログインし、MFAデバイスのバインドを解除する必要があります。 次に、RAMユーザーをMFAデバイスにバインドします。 詳細については、「RAMユーザーのMFAデバイスの無効化」をご参照ください。