本文介紹了存取控制涉及的一些安全設定基本概念,這些安全設定可以更有效地保護帳號安全。
登入密碼(Password)
登入密碼是登入阿里雲的身份憑證,用於證明使用者真實身份的憑證。
請妥善保管您的登入密碼並定期更換。
關於如何設定登入密碼,請參見修改RAM使用者登入密碼。
預設網域名稱(Default domain name)
阿里雲為每個阿里雲帳號分配了一個預設網域名稱,格式為:<AccountAlias>.onaliyun.com。預設網域名稱可作為RAM使用者登入或單點登入(SSO)等情境下該雲帳號的唯一識別碼。
關於如何設定預設網域名稱,請參見查看和修改預設網域名稱。
域別名(Domain alias)
如果您持有公網上可以解析的網域名稱,那麼您可以使用該網域名稱替代您的預設網域名稱,該網域名稱稱為域別名。域別名就是指預設網域名稱的別名。
域別名必須經過網域名稱歸屬驗證後才能使用。驗證通過後,您可以使用域別名替代預設網域名稱,用於所有需要使用預設網域名稱的情境。
關於如何設定域別名,請參見建立並驗證域別名。
存取金鑰(AccessKey)
存取金鑰指的是訪問身分識別驗證中用到的AccessKey ID和AccessKey Secret。當您建立一個API請求時,RAM通過使用AccessKey ID和AccessKey Secret對稱式加密的方法來驗證某個請求的寄件者身份,身分識別驗證成功後您才能操作相應資源。
AccessKey ID和AccessKey Secret一起使用,AccessKey ID用於標識使用者,AccessKey Secret用於加密簽名字串和RAM用來驗證簽名字串的密鑰。
AccessKey Secret只在建立時顯示,不支援查詢,請妥善保管。
關於如何建立存取金鑰,請參見建立AccessKey。
多因素認證(MFA)
多因素認證MFA(Multi Factor Authentication)是一種簡單有效安全實踐,在使用者名稱和密碼之外再增加一層安全保護,用於登入控制台或進行敏感操作時的二次身分識別驗證,以此保護您的帳號更安全。以下將為您介紹RAM使用者支援的多因素認證方式、使用說明和使用限制。
多因素認證方式
認證方式 | 描述 | 使用情境 | 相關文檔 |
虛擬MFA | 限時單次密碼演算法(TOTP)是一種廣泛採用的多因素認證協議。在手機或其他裝置上,支援TOTP的應用(例如:阿里雲App、Google Authenticator等)被稱為虛擬MFA裝置。如果使用者啟用了虛擬MFA裝置,在使用者登入時,阿里雲將要求使用者必須輸入應用上產生的6位驗證碼,從而避免因密碼被盜而引起的非法登入。 |
| |
通行密鑰 | 通行密鑰(Passkey)是一種可以替代密碼的更為安全的認證方式,阿里雲支援RAM使用者使用通行密鑰登入以及使用通行密鑰作為多因素認證(MFA)手段之一。藉助通行密鑰,您可以使用膝上型電腦、手機等裝置內建的指紋、人臉或數字 PIN 碼認證方式,完成登入或MFA驗證。 |
| |
安全郵箱 | 為RAM使用者綁定安全郵箱地址,通過安全郵箱提供的驗證碼進行二次身分識別驗證。 | 敏感操作二次身分識別驗證 |
使用說明
啟用多因素認證並綁定多因素認證裝置後,RAM使用者再次登入阿里雲或在控制台進行敏感操作時,系統將要求輸入兩層安全要素:
第一層安全要素:輸入使用者名稱和密碼。
第二層安全要素:輸入虛擬MFA裝置產生的驗證碼、通過通行密鑰認證或輸入安全郵箱驗證碼。
使用限制
虛擬MFA支援通過瀏覽器或阿里雲App登入阿里雲時使用。
通行密鑰的使用限制及支援的裝置類型,請參見什麼是通行密鑰。
一個安全郵箱地址允許被綁定的最大RAM使用者個數:5個。
敏感操作二次身分識別驗證
為保護帳號安全,已綁定任意多因素認證手段的RAM使用者登入控制台進行敏感操作時,會觸發風控攔截,要求其進行二次身分識別驗證。該RAM使用者必須輸入正確的驗證碼後,才能進行敏感操作。
如果您希望對所有RAM使用者啟用敏感操作二次身分識別驗證,首先要強制所有RAM使用者使用MFA。具體操作,請參見管理RAM使用者安全設定。