このトピックでは、Resource Access Management (RAM) ユーザーの多要素認証メソッド、および使用上の注意と制限について説明します。
MFA とは何か、なぜ設定する必要があるのか
MFA は、ユーザー名とパスワードの上に保護レイヤーを追加します。
サインイン時に、2 つの形式の検証を提供する必要があります。
最初の検証: ユーザー名とパスワードを入力します。
2 番目の検証: 仮想 MFA デバイスによって 30 秒ごとに自動的に生成される 6 桁の動的検証コードなど、別の形式の認証を提供します。
二要素認証を使用すると、パスワードが漏洩した場合でも、デバイスがないと誰もアカウントにログインできません。これにより、アカウントの盗難を効果的に防ぎ、アカウントのセキュリティを大幅に向上させます。
RAM でサポートされる MFA メソッド
MFA メソッド | 説明 | シナリオ | リファレンス |
仮想 MFA デバイス | 時間ベースのワンタイム暗号アルゴリズム (TOTP) は、広く使用されている多要素認証プロトコルです。携帯電話などのデバイスで TOTP をサポートするアプリケーションは、仮想 MFA デバイスと呼ばれます。たとえば、Alibaba Cloud アプリと Google Authenticator アプリはどちらも仮想 MFA デバイスです。仮想 MFA デバイスを有効にした場合、Alibaba Cloud 管理コンソールにログインするときに、デバイスで生成された 6 桁の検証コードを入力する必要があります。これにより、パスワードの盗難による不正なログインを防ぎます。 |
| |
パスキー | パスキーは、パスワードの代わりに使用できる安全な認証方式です。RAM ユーザーは、ログインと MFA にパスキーを使用できます。パスキーを使用すると、ノートパソコン、携帯電話、またはその他のデバイスに組み込まれている認証方式をログインまたは MFA に使用できます。組み込みの認証方式には、指紋認識、顔認識、PIN コードなどがあります。 |
| |
メールアドレス | RAM ユーザーにバインドされたメールアドレスは、MFA の検証コードを受信するために使用されます。 |
|
このトピックでは、RAM ユーザーの MFA メソッドについて説明します。Alibaba Cloud アカウントの MFA メソッドと特定の操作の詳細については、「ステップ 3: アカウントの MFA を設定する」をご参照ください。
使用上の注意
MFA を有効にして MFA デバイスを RAM ユーザーにバインドした後、RAM ユーザーが Alibaba Cloud 管理コンソールにログインするか、コンソールで機密操作を実行するときは、次のステップを実行する必要があります。
RAM ユーザーのユーザー名とパスワードを入力します。
仮想 MFA デバイスによって生成された、またはメールアドレスに送信された検証コードを入力します。または、パスキーを使用して認証に合格します。
制限
仮想 MFAは、ブラウザまたは Alibaba Cloud アプリから Alibaba Cloud 管理コンソールにログインするときに使用できます。
パスキーの制限とパスキーでサポートされているデバイスタイプの詳細については、「パスキーとは」をご参照ください。
1 つのメールアドレスは、最大 5 人の RAM ユーザーにバインドできます。