本文介绍如何通过RAM限制只有启用了多因素认证(MFA)的RAM用户才能访问云资源,比如ECS。

前提条件

步骤1:为RAM用户设置MFA

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏的人员管理菜单下,单击用户
  3. 用户登录名称/显示名称列表下,单击目标RAM用户名称。
  4. 认证管理页签下,单击启用虚拟MFA设备
  5. 在移动端,下载并登录阿里云应用
  6. 在移动端,扫码添加多因素认证设备。
  7. 在RAM控制台,输入移动端显示的两组连续的动态验证码,单击确定启用,完成绑定。
说明 更多关于MFA的操作,请参见为RAM用户设置多因素认证

步骤2:创建自定义权限策略

  1. 在左侧导航栏的权限管理菜单下,单击权限策略管理
  2. 单击创建权限策略
  3. 输入策略名称备注
  4. 配置模式选择脚本配置
  5. 输入策略内容。
    {
    "Statement": [
        {
            "Action": "ecs:*",
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "acs:MFAPresent": "true"
                }
            }
        }
    ],
    "Version": "1"
}

    上述策略表示:只有启用了MFA的RAM用户才能在控制台访问ECS资源。您可以通过设置Conditionacs:MFAPresent的值为true来实现。

    您可以根据实际情况修改策略内容,限制访问其他云资源。

  6. 单击确定

步骤3:为RAM用户授权

  1. 在左侧导航栏的人员管理菜单下,单击用户
  2. 用户登录名称/显示名称列表下,找到目标RAM用户。
  3. 单击添加权限,被授权主体会自动填入。
  4. 在左侧权限策略名称列表下,单击步骤2创建的自定义权限策略。
  5. 单击确定
  6. 单击完成