RAM提供哪些安全設定 - Resource Access Management

本文介紹了存取控制涉及的一些安全設定基本概念，這些安全設定可以更有效地保護帳號安全。

登入密碼（Password）

登入密碼是登入阿里雲的身份憑證，用於證明使用者真實身份的憑證。

重要

請妥善保管您的登入密碼並定期更換。

關於如何設定登入密碼，請參見修改RAM使用者登入密碼。

阿里雲為每個阿里雲帳號分配了一個預設網域名稱，格式為：<AccountAlias>.onaliyun.com。預設網域名稱可作為RAM使用者登入或單點登入（SSO）等情境下該雲帳號的唯一識別碼。

關於如何設定預設網域名稱，請參見查看和修改預設網域名稱。

如果您持有公網上可以解析的網域名稱，那麼您可以使用該網域名稱替代您的預設網域名稱，該網域名稱稱為域別名。域別名就是指預設網域名稱的別名。

說明

域別名必須經過網域名稱歸屬驗證後才能使用。驗證通過後，您可以使用域別名替代預設網域名稱，用於所有需要使用預設網域名稱的情境。

關於如何設定域別名，請參見建立並驗證域別名。

存取金鑰指的是訪問身分識別驗證中用到的AccessKey ID和AccessKey Secret。當您建立一個API請求時，RAM通過使用AccessKey ID和AccessKey Secret對稱式加密的方法來驗證某個請求的寄件者身份，身分識別驗證成功後您才能操作相應資源。

AccessKey ID和AccessKey Secret一起使用，AccessKey ID用於標識使用者，AccessKey Secret用於加密簽名字串和RAM用來驗證簽名字串的密鑰。

重要

AccessKey Secret只在建立時顯示，不支援查詢，請妥善保管。

關於如何建立存取金鑰，請參見建立AccessKey。

多因素認證MFA（Multi Factor Authentication）是一種簡單有效安全實踐，在使用者名稱和密碼之外再增加一層安全保護，用於登入控制台或進行敏感操作時的二次身分識別驗證，以此保護您的帳號更安全。以下將為您介紹RAM使用者支援的多因素認證方式、使用說明和使用限制。

認證方式	描述	使用情境	相關文檔
虛擬MFA	限時單次密碼演算法（TOTP）是一種廣泛採用的多因素認證協議。在手機或其他裝置上，支援TOTP的應用（例如：阿里雲App、Google Authenticator等）被稱為虛擬MFA裝置。如果使用者啟用了虛擬MFA裝置，在使用者登入時，阿里雲將要求使用者必須輸入應用上產生的6位驗證碼，從而避免因密碼被盜而引起的非法登入。	登入控制台二次身分識別驗證敏感操作二次身分識別驗證	為RAM使用者綁定虛擬MFA
U2F安全密鑰	U2F（Universal 2nd Factor）是FIDO（Fast Identity Online）聯盟推出的多因素認證協議，目前已被業界廣泛接受。該協議旨在提供一個兼具方便性和通用性的多因素認證方式。使用者只要將支援Web Authentication協議的硬體裝置（稱為U2F安全密鑰）插入電腦的USB介面，即可在登入時通過觸碰或按下裝置上的按鈕完成多因素認證。	登入控制台二次身分識別驗證敏感操作二次身分識別驗證	綁定U2F安全密鑰

啟用多因素認證並綁定多因素認證裝置後，RAM使用者再次登入阿里雲或進行敏感操作時，系統將要求輸入兩層安全要素：

為保護帳號安全，已綁定任意多因素認證手段的RAM使用者登入控制台進行敏感操作時，會觸發風控攔截，要求其進行二次身分識別驗證。該RAM使用者必須輸入正確的驗證碼後，才能進行敏感操作。

如果您希望對所有RAM使用者啟用敏感操作二次身分識別驗證，首先要強制所有RAM使用者使用MFA。具體操作，請參見管理RAM使用者安全設定。