本文介绍了访问控制涉及的一些安全设置基本概念,这些安全设置可以更有效地保护账号安全。
登录密码(Password)
登录密码是登录阿里云的身份凭证,用于证明用户真实身份的凭证。
关于如何设置登录密码,请参见修改阿里云账号登录密码和修改RAM用户登录密码。
默认域名(Default domain name)
阿里云为每个云账号分配了一个默认域名,格式为:<AccountAlias>.onaliyun.com。默认域名可作为RAM用户登录或单点登录(SSO)等场景下该云账号的唯一标识符。
关于如何设置默认域名,请参见查看和修改默认域名。
域别名(Domain alias)
如果您持有公网上可以解析的域名,那么您可以使用该域名替代您的默认域名,该域名称为域别名。域别名就是指默认域名的别名。
关于如何设置域别名,请参见创建并验证域别名。
访问密钥(AccessKey)
访问密钥指的是访问身份验证中用到的AccessKey ID和AccessKey Secret。您可以使用访问密钥(或阿里云服务SDK)创建一个API请求,RAM通过使用AccessKey ID和AccessKey Secret对称加密的方法来验证某个请求的发送者身份,身份验证成功后将可以操作相应资源。
AccessKey ID和AccessKey Secret一起使用,AccessKey ID用于标识用户,AccessKey Secret用于加密签名字符串和RAM用来验证签名字符串的密钥。
关于如何创建访问密钥,请参见创建AccessKey。
多因素认证(MFA)
多因素认证MFA(Multi Factor Authentication)是一种简单有效的安全实践,在用户名和密码之外再增加一层安全保护。这些多重要素结合起来将为您的账号提供更高的安全保护。
支持类型
多因素认证设备有多种类型,目前阿里云支持以下两种:
- 虚拟MFA设备
基于时间的一次性密码算法(TOTP)是一种广泛采用的多因素认证协议。在手机或其他设备上,支持TOTP的应用(例如:阿里云App、Google Authenticator等)被称为虚拟MFA设备。如果用户启用了虚拟MFA设备,在用户登录时,阿里云将要求用户必须输入应用上生成的6位验证码,从而避免因密码被盗而引起的非法登录。
- U2F安全密钥
U2F(Universal 2nd Factor)是FIDO(Fast Identity Online)联盟推出的多因素认证协议,目前已被业界广泛接受。该协议旨在提供一个兼具方便性和通用性的多因素认证方式。用户只要将支持Web Authentication协议的硬件设备(称为U2F安全密钥,例如:Yubico公司生产的Yubikey)插入计算机的USB接口,即可在登录时通过触碰或按下设备上的按钮完成多因素认证。
使用说明
启用多因素认证后,再次登录阿里云时,系统将要求输入两层安全要素:
- 第一层安全要素:输入用户名和密码。
- 第二层安全要素:输入虚拟MFA设备生成的验证码,或通过U2F安全密钥认证。
关于如何设置多因素认证,请参见为阿里云账号启用多因素认证和为RAM用户启用多因素认证。
使用限制
- 阿里云账号(主账号)仅支持虚拟MFA设备,不支持U2F安全密钥。RAM用户两者都支持。
- 虚拟MFA设备支持通过浏览器或阿里云App登录阿里云时使用。
- U2F安全密钥的使用限制如下:
- U2F安全密钥只能在拥有USB接口的计算机上使用,不支持通过移动端浏览器或阿里云App登录阿里云时使用。如果您使用虚拟机或远程桌面连接,可能也无法使用。
- 只有在使用域名signin.alibabacloud.com登录时,才能使用U2F安全密钥。如果您使用阿里云以前支持的signin-intl.aliyun.com域名登录,则无法使用。
- 只有以下浏览器版本支持Web Authentication协议,因此您只能在这些浏览器中使用U2F安全密钥:
- Google Chrome 67及以上版本
- Opera 54及以上版本
- Mozilla Firefox 60及以上版本
说明 对于Mozilla Firefox浏览器,可能需要您手动开启U2F功能。您需要在浏览器地址栏输入
about:config,然后搜索u2f,将security.webauth.u2f值设置为true,就可以开启浏览器的U2F功能。更多信息,请参见Mozilla Firefox帮助文档。
敏感操作二次验证
为保护账号安全,已启用MFA的RAM用户登录控制台进行敏感操作时,会触发风控拦截,要求其进行二次MFA身份验证。该RAM用户输入正确的MFA验证码后,才能进行敏感操作。
如果您希望对所有用户启用敏感操作二次验证,首先要强制所有用户使用MFA。具体操作,请参见设置RAM用户安全策略。