為增強RAM使用者帳號的安全性,建議在使用者名稱和密碼之外,額外啟用多因素認證(MFA)作為第二層安全驗證。啟用後,RAM使用者在登入控制台或執行敏感操作時,需要通過多因素認證手段進行二次認證,有效防止因憑證泄露導致的安全風險。本文介紹RAM使用者如何自行綁定多因素認證(MFA)裝置,包括通行密鑰、虛擬MFA和安全郵箱,以加強帳號安全。
為了更好地保護您的賬戶及資產安全,從2025年03月17日開始陸續為所有RAM使用者開啟登入時強制進行MFA多因素認證,詳情請參見通知。
RAM使用者支援的MFA方式對比
您可以根據業務需求和安全層級,為RAM使用者選擇一種或多種MFA方式。每種MFA方式的詳情可參考RAM支援的MFA方式
MFA方式 | 驗證方式 | 安全層級 | 依賴 | 推薦情境與建議 |
通行密鑰 (Passkey) | 生物識別技術(指紋/人臉)或裝置數字 PIN 碼 | 最高 | 相容的裝置(電腦/手機)和瀏覽器,以及安全密鑰硬體,詳見什麼是通行密鑰 | 追求極致安全和無密碼便捷登入的情境。通過認證裝置合法性,並結合裝置內建的生物識別特徵進行驗證。 |
虛擬MFA裝置 | 動態驗證碼(TOTP) | 高 | 智能手機上的身分識別驗證器App(如阿里雲App、Google Authenticator等) | 通用性強,安全性高,不受地區和電訊廠商限制。適合作為首選MFA方式。 |
安全郵箱 | 郵箱驗證碼 | 中 | 電子郵箱服務 | 作為備用驗證方式。當主要MFA裝置不可用時,可用於應急登入。 |
為防止因裝置丟失、損壞或應用卸載導致無法登入,強烈建議您為每個RAM使用者綁定至少兩種不同類型的MFA裝置,例如Passkey + 安全郵箱。
原U2F裝置已經升級為通行密鑰。如果您已綁定U2F裝置,推薦您將其升級為通行密鑰。具體操作,請參見U2F安全密鑰升級為通行密鑰。
配置全域MFA策略
在RAM使用者綁定MFA裝置前,必須由阿里雲帳號(主帳號)或Resource Access Management員配置全域MFA策略。此策略定義了MFA的啟用規則和允許的裝置類型,但不能用於為使用者大量繫結具體裝置,每個RAM使用者仍需獨立完成裝置綁定操作。
完成全域配置後,按照本文所述的方法綁定對應的MFA裝置,才能使多因素認證生效。全域配置方法請參見多因素認證設定。
綁定通行密鑰Passkey
通行密鑰Passkey利用裝置自身的生物識別技術(指紋、人臉)或數字 PIN 碼進行驗證,提供流暢且高度安全的無密碼體驗。您需要使用支援Passkey的作業系統和瀏覽器,或者安全密鑰硬體。通行密鑰的使用限制和支援的裝置類型見什麼是通行密鑰。
建議常用裝置都預先綁定好Passkey,並且備用綁定一個安全郵箱,避免更換裝置無法登入。
在RAM使用者登入頁面綁定
RAM使用者首次登入控制台時,可按如下操作自行綁定通行密鑰。
RAM使用者訪問RAM使用者登入頁面,然後輸入RAM使用者名稱和登入密碼。
選擇通行密鑰。
在綁定通行密鑰頁面,按照頁面提示完成綁定。可參考管理RAM使用者的通行密鑰(Passkey)。
在RAM使用者安全資訊頁面綁定
RAM使用者訪問RAM使用者登入頁面,完成登入。
滑鼠移至上方在右上方頭像的位置,單擊安全資訊。
在通行密鑰地區,單擊创建通行密鑰。
在綁定通行密鑰頁面,按照頁面提示完成綁定。可參考管理RAM使用者的通行密鑰(Passkey)。
綁定虛擬MFA
虛擬MFA裝置通過相容TOTP協議的身分識別驗證器App產生動態驗證碼,是安全性和通用性最佳的MFA方式。操作前,請在手機端下載並安裝虛擬MFA裝置,如阿里雲App、Google Authenticator等。
在RAM使用者登入頁面綁定
RAM使用者首次登入控制台時,可按如下操作自行綁定虛擬MFA裝置。
RAM使用者訪問RAM使用者登入頁面,然後輸入RAM使用者名稱和登入密碼。
選擇虛擬MFA裝置。
在移動端,添加虛擬MFA裝置。如下以Android系統上的阿里雲App及iOS系統上的Google Authenticator應用為例。
阿里雲App(Android)
登入阿里雲App。
在頁面右上方,點擊
表徵圖。點擊右上方+表徵圖,選擇合適的方式添加虛擬MFA裝置。
掃碼添加(推薦):在移動端,先點擊掃碼添加,然後掃描阿里雲控制台綁定虛擬MFA頁面上的二維碼,最後點擊確定。
手動添加:在移動端,先點擊手動添加,然後填寫阿里雲控制台綁定虛擬MFA頁面上的帳號和密鑰,最後點擊確定。
Google Authenticator應用(iOS)
登入Google Authenticator應用。
點擊開始使用,選擇合適的方式添加虛擬MFA裝置。
掃碼添加(推薦):點擊掃描二維碼,然後掃描阿里雲控制台綁定虛擬MFA頁面上的二維碼。
手動添加:先點擊輸入設定密鑰,然後填寫阿里雲控制台綁定虛擬MFA頁面上的帳號和密鑰,最後點擊添加。
在阿里雲控制台,輸入移動端顯示的動態驗證碼,然後單擊確定。
在RAM使用者安全資訊頁面綁定
RAM使用者訪問RAM使用者登入頁面,完成登入。
滑鼠移至上方在右上方頭像的位置,單擊安全資訊。
在MFA 訊息地區,單擊MFA 设备右側的綁定 VMFA。
在移動端,添加虛擬MFA裝置。如下以Android系統上的阿里雲App及iOS系統上的Google Authenticator應用為例。
阿里雲App(Android)
登入阿里雲App。
在頁面右上方,點擊
表徵圖。點擊右上方+表徵圖,選擇合適的方式添加虛擬MFA裝置。
掃碼添加(推薦):在移動端,先點擊掃碼添加,然後掃描阿里雲控制台綁定虛擬MFA頁面上的二維碼,最後點擊確定。
手動添加:在移動端,先點擊手動添加,然後填寫阿里雲控制台綁定虛擬MFA頁面上的帳號和密鑰,最後點擊確定。
Google Authenticator應用(iOS)
登入Google Authenticator應用。
點擊開始使用,選擇合適的方式添加虛擬MFA裝置。
掃碼添加(推薦):點擊掃描二維碼,然後掃描阿里雲控制台綁定虛擬MFA頁面上的二維碼。
手動添加:先點擊輸入設定密鑰,然後填寫阿里雲控制台綁定虛擬MFA頁面上的帳號和密鑰,最後點擊添加。
在阿里雲控制台,輸入移動端顯示的動態驗證碼,然後單擊確定。
您還可以設定是否允許RAM使用者記住MFA驗證狀態7天,如果為允許,則RAM使用者登入進行MFA驗證時,可以選中記住這台機器,7天內無需再次驗證。選中後,同一個RAM使用者7天內無需再次驗證MFA。關於具體的設定方法,請參見管理RAM使用者安全設定。
綁定安全郵箱
安全郵箱通常作為備用MFA方式,在主要裝置不可用時提供驗證途徑。
RAM使用者訪問RAM使用者登入頁面,完成登入。
滑鼠移至上方在右上方頭像的位置,單擊安全資訊。
在MFA 訊息地區,單擊安全邮箱右側的綁定。
在綁定安全郵箱頁面,輸入郵箱地址,然後擷取並輸入驗證碼,最後單擊確定。
RAM使用者基本資料中存在的郵箱僅作為備忘資訊,與上述綁定的安全郵箱不同,二次身分識別驗證只能使用安全郵箱。
U2F安全密鑰升級為通行密鑰
如果RAM使用者之前已綁定了U2F安全密鑰,該U2F安全密鑰可以正常使用,但是推薦您將其升級為通行密鑰。
RAM使用者訪問RAM使用者登入頁面,完成登入。
滑鼠移至上方在右上方頭像的位置,單擊安全資訊。
在MFA 訊息地區,單擊MFA 设备右側的升級為通行密鑰。
在升級 U2F 到通行密鑰對話方塊,單擊確定。
在綁定通行密鑰頁面,綁定安全密鑰。具體操作,請參見管理RAM使用者的通行密鑰(Passkey)。
後續步驟
啟用多因素認證並綁定多因素認證裝置後,RAM使用者再次登入阿里雲或在控制台進行敏感操作時,系統將要求輸入兩層安全要素:
第一層安全要素:輸入使用者名稱和密碼。
第二層安全要素:輸入虛擬MFA裝置產生的驗證碼、通過通行密鑰認證或輸入安全郵箱驗證碼。
如果您要為RAM使用者更換新的MFA裝置,請先解除綁定當前的MFA裝置,再綁定新的MFA裝置。具體操作,請參見為RAM使用者解除綁定MFA裝置。
如果RAM使用者在未解除綁定MFA裝置的狀態下卸載了MFA應用(例如阿里雲App,Google Authenticator等)或RAM使用者的U2F安全密鑰丟失,RAM使用者將無法正常登入阿里雲。此時RAM使用者需要聯絡阿里雲帳號(主帳號)或Resource Access Management員,前往RAM控制台解除綁定MFA裝置。具體操作,請參見為RAM使用者解除綁定MFA裝置。