全部产品
Search

搜索本产品

    访问控制:为RAM用户绑定MFA设备

    文档中心

    访问控制:为RAM用户绑定MFA设备

    更新时间:Jan 03, 2025

    为保证RAM用户的账号安全,控制台登录或在控制台进行敏感操作时除使用用户名和密码验证外,您还可以绑定本文所述的MFA设备,用于二次身份验证。

    背景信息

    • RAM用户支持多种多因素认证方式,其使用场景及差异请参见多因素认证方式

    • 您需要先在RAM用户安全设置中,设置允许使用的MFA设备,然后按照本文所述的方法绑定对应的MFA设备,才能使多因素认证生效。更多信息,请参见管理RAM用户安全设置

    • 一个RAM用户只能绑定虚拟MFA和U2F安全密钥中的一种,不能同时绑定。

    绑定虚拟MFA

    前提条件

    操作前,请在移动端下载并安装支持虚拟MFA认证的应用。以下以Google Authenticator为例,其下载方式如下:

    • iOS:在App Store中搜索Google Authenticator。

    • Android:在Google Play中搜索Google Authenticator。

      说明

      Android系统的Google Authenticator还依赖外部二维码扫描组件,所以您还需要在应用市场中搜索并安装条行码扫描器。

    操作步骤

    在RAM用户登录页面绑定

    RAM用户登录时,可按如下操作自行绑定虚拟MFA设备。

    1. RAM用户访问RAM用户登录页面,然后输入RAM用户名和登录密码。

    2. 选择虚拟MFA设备

      image

    3. 在移动端,添加虚拟MFA设备。

      说明

      如下以iOS系统上的Google Authenticator应用为例。

      1. 登录Google Authenticator应用。

      2. 点击开始使用,选择合适的方式添加虚拟MFA设备。

        • 扫码添加(推荐):点击扫描二维码,然后扫描阿里云控制台绑定虚拟MFA页面上的二维码。

        • 手动添加:先点击输入设置密钥,然后填写阿里云控制台绑定虚拟MFA页面上的账号和密钥,最后点击添加

    4. 在阿里云控制台,输入移动端显示的动态验证码,然后单击确定

    在RAM控制台绑定

    您可以使用阿里云账号(主账号)或RAM管理员在RAM控制台主动为RAM用户绑定虚拟MFA。

    1. 阿里云账号(主账号)或RAM管理员登录RAM控制台

    2. 在左侧导航栏,选择身份管理 > 用户

    3. 用户登录名称/显示名称列,单击目标RAM用户名称。

    4. 认证管理页签下的安全信息管理区域,复制绑定VMFA链接,然后在浏览器中打开该链接。

      image

    5. 在移动端,添加虚拟MFA设备。

      说明

      如下以iOS系统上的Google Authenticator应用为例。

      1. 登录Google Authenticator应用。

      2. 点击开始使用,选择合适的方式添加虚拟MFA设备。

        • 扫码添加(推荐):点击扫描二维码,然后扫描阿里云控制台绑定虚拟MFA页面上的二维码。

        • 手动添加:先点击输入设置密钥,然后填写阿里云控制台绑定虚拟MFA页面上的账号和密钥,最后点击添加

    6. 在阿里云控制台,输入移动端显示的动态验证码,然后单击确定

    在RAM用户安全信息页面绑定

    允许自主管理MFA设备的RAM用户,可按如下操作自行绑定虚拟MFA设备。关于如何设置RAM用户自主管理MFA设备,请参见全局安全设置

    1. RAM用户访问RAM用户登录页面,完成登录。

    2. 鼠标悬停在右上角头像的位置,单击安全信息

      image

    3. MFA信息区域,单击MFA设备右侧的绑定VMFA

      image

    4. 在移动端,添加虚拟MFA设备。

      说明

      如下以iOS系统上的Google Authenticator应用为例。

      1. 登录Google Authenticator应用。

      2. 点击开始使用,选择合适的方式添加虚拟MFA设备。

        • 扫码添加(推荐):点击扫描二维码,然后扫描阿里云控制台绑定虚拟MFA页面上的二维码。

        • 手动添加:先点击输入设置密钥,然后填写阿里云控制台绑定虚拟MFA页面上的账号和密钥,最后点击添加

    5. 在阿里云控制台,输入移动端显示的动态验证码,然后单击确定

    说明

    您还可以设置是否允许RAM用户记住MFA验证状态7天,如果为允许,则RAM用户登录进行MFA验证时,可以选中记住这台机器,7天内无需再次验证。选中后,同一个RAM用户7天内无需再次验证MFA,但是,更换RAM用户登录记录将失效。关于具体的设置方法,请参见管理RAM用户安全设置

    绑定U2F安全密钥

    在RAM用户登录页面绑定

    RAM用户登录时,可按如下操作自行绑定U2F安全密钥。

    1. RAM用户访问RAM用户登录页面,然后输入RAM用户名和登录密码。

    2. 选择U2F安全密钥

      image

    3. 绑定U2F页面,绑定U2F安全密钥。

      说明

      进行以下操作前,您需要了解U2F的使用限制,请参见使用限制

      1. 将U2F安全密钥插入到计算机的USB端口。

      2. 轻按U2F安全密钥上的按钮。

      3. 在提示获取安全密钥的弹框中,单击确定

      4. 当页面显示获取U2F密钥成功时,单击确定绑定

    在RAM控制台绑定

    您可以使用阿里云账号(主账号)或RAM管理员在RAM控制台主动为RAM用户绑定U2F安全密钥。

    1. 阿里云账号(主账号)或RAM管理员登录RAM控制台

    2. 在左侧导航栏,选择身份管理 > 用户

    3. 用户登录名称/显示名称列,单击目标RAM用户名称。

    4. 认证管理页签下的安全信息管理区域,复制绑定U2链接,然后在浏览器中打开该链接。

      image

    5. 绑定U2F页面,绑定U2F安全密钥。

      说明

      进行以下操作前,您需要了解U2F的使用限制,请参见使用限制

      1. 将U2F安全密钥插入到计算机的USB端口。

      2. 轻按U2F安全密钥上的按钮。

      3. 在提示获取安全密钥的弹框中,单击确定

      4. 当页面显示获取U2F密钥成功时,单击确定绑定

    在RAM用户安全信息页面绑定

    允许自主管理MFA设备的RAM用户,可按如下操作自行绑定U2F安全密钥。关于如何设置RAM用户自主管理MFA设备,请参见全局安全设置

    1. RAM用户访问RAM用户登录页面,完成登录。

    2. 鼠标悬停在右上角头像的位置,单击安全信息

      image

    3. MFA信息区域,单击MFA设备右侧的绑定U2F

      image

    4. 绑定U2F页面,绑定U2F安全密钥。

      说明

      进行以下操作前,您需要了解U2F的使用限制,请参见使用限制

      1. 将U2F安全密钥插入到计算机的USB端口。

      2. 轻按U2F安全密钥上的按钮。

      3. 在提示获取安全密钥的弹框中,单击确定

      4. 当页面显示获取U2F密钥成功时,单击确定绑定

    后续步骤

    启用多因素认证并绑定多因素认证设备后,RAM用户再次登录阿里云或在控制台进行敏感操作时,系统将要求输入两层安全要素:

    1. 第一层安全要素:输入用户名和密码。

    2. 第二层安全要素:输入虚拟MFA设备生成的验证码或通过U2F安全密钥认证。

    重要

    • 如果您要为RAM用户更换新的MFA设备,请先解绑当前的MFA设备,再绑定新的MFA设备。具体操作,请参见为RAM用户解绑MFA设备

    • 如果RAM用户在未解绑MFA设备的状态下卸载了MFA应用(Google Authenticator)或RAM用户的U2F安全密钥丢失,RAM用户将无法正常登录阿里云。此时RAM用户需要联系阿里云账号(主账号)或RAM管理员,前往RAM控制台解绑MFA设备。具体操作,请参见为RAM用户解绑MFA设备