虚拟MFA

虚拟Multi-Factor Authentication (MFA) 是能产生6位数字认证码的设备，遵循基于时间的一次性密码 （TOTP）标准。MFA设备可以基于硬件也可以基于软件，目前仅支持基于软件的虚拟MFA，虚拟MFA应用程序可以在移动硬件设备（包括智能手机）上运行，非常方便，虚拟MFA是多因素认证方式中的一种。

本节为您介绍如何绑定虚拟MFA，如需了解有关解绑虚拟MFA、重置虚拟MFA的操作，请参见：虚拟MFA。

暂未升级华为帐号、 已升级华为帐号绑定虚拟MFA的操作方法不同。

您需要先在智能设备上安装一个MFA应用程序（例如： “华为云”手机应用程序），才能绑定虚拟MFA设备。

• 暂未升级华为帐号

1. 进入安全设置。
2. 在“安全设置>敏感操作”页面，单击“虚拟MFA”右侧的“前往绑定”。
   图1 虚拟MFA
   

3. 根据右侧弹出的绑定虚拟MFA页面，在您的MFA应用程序中添加用户。
   图2 绑定虚拟MFA
   
   • 扫描二维码

     打开手机上已安装好的“华为云”手机应用程序，选择“控制台-MFA-添加-扫码添加”，扫描“绑定虚拟MFA”弹窗中的二维码。扫描成功后，“华为云”手机应用程序会自动添加用户，虚拟MFA列表中出现帐号/IAM用户名及对应的MFA动态码。

   • 手动输入

     打开手机上已安装好的“华为云”手机应用程序，选择“控制台-MFA-添加-手动输入”。帐号绑定虚拟MFA，输入帐号和密钥；IAM用户绑定虚拟MFA，输入IAM用户名和密钥。单击“添加”手动添加用户。

     

     手动输入添加用户方式只支持基于时间模式，建议在移动设备中开启自动设置时间功能。

4. 添加用户完成，在“华为云”手机应用程序“虚拟MFA页面”，查看虚拟MFA的动态口令页面。动态口令每30秒自动更新一次。
5. 在“绑定虚拟MFA”页面输入连续的两组口令，然后单击“确定”，完成绑定虚拟MFA设备的操作。

• 已升级华为帐号

1. 进入安全设置。
2. 在“安全设置>敏感操作”页面，单击“虚拟MFA”右侧的“前往绑定”。
   图3 虚拟MFA
   

3. 跳转至“华为帐号>安全验证”页面，根据提示绑定虚拟MFA。

登录保护

开启登录保护后，您或帐号中的IAM用户在登录华为云时，除了在登录页面输入用户名和密码外（第一次身份验证），还需要在登录验证页面输入验证码（第二次身份验证），该功能是一种安全实践，建议开启登录保护，多次身份认证可以提高帐号安全性。

• 华为云帐号只能自己开启登录保护，帐号或管理员都可以为IAM用户开启登录保护。
• 如果您的华为云帐号已升级为华为帐号，将不支持为帐号开启登录保护。

• 为帐号开启登录保护

  进入安全设置后，管理员可以在“安全设置 > 敏感操作>登录保护 > ”中单击“立即设置”，选择“开启”，并设置验证方式，为帐号开启登录保护。

  图4 开启登录保护
  

• 为IAM用户开启登录保护

  管理员在IAM用户列表中，单击操作列的“安全设置”，单击“登录保护>验证方式”右侧的“”，选择验证方式为手机、邮件地址或虚拟MFA，为IAM用户开启登录保护。

  

  • 登录保护仅影响使用管理控制台访问华为云的IAM用户，对编程访问用户无影响。
  • 目前“华为云”手机应用程序暂不支持通过手机、邮箱进行二次身份验证。如需登录“华为云”手机应用程序，建议选择MFA验证方式。

操作保护

• 开启操作保护

开启后，您以及帐号中的IAM用户进行敏感操作时，例如删除弹性云服务器资源，需要输入验证码进行验证，避免误操作带来的风险和损失。由于“操作保护”默认为关闭状态，为了帐号资源的安全，建议开启操作保护功能。

如果您的华为云帐号已升级为华为帐号，操作保护将对帐号不生效。

1. 管理员进入安全设置。
2. 在“安全设置 > 敏感操作>操作保护 > ”中，单击“立即启用”。
3. 在右侧弹窗中选择“开启”，勾选“操作员验证”或“指定人员验证”。
   • 操作员验证：触发敏感操作的帐号或IAM用户进行二次验证。
   • 指定人员验证：帐号及IAM用户触发的敏感操作均由指定人员进行验证。支持手机号、邮件地址，不支持虚拟MFA验证。

4. 单击“确定”开启操作保护。
   图5 开启操作保护
   

• 关闭操作保护

关闭后，您以及帐号中的IAM用户进行敏感操作时，不需要输入验证码进行验证。由于“操作保护”默认为关闭状态，为了帐号资源的安全，建议开启操作保护功能。

1. 管理员进入安全设置。
2. 在“安全设置 > 敏感操作>操作保护 > ”中，单击“立即修改”。
3. 在右侧弹窗中选择“关闭”，在“身份验证”弹窗中输入验证码。
   • 操作员验证：关闭操作保护管理员本人进行二次验证。支持手机号、邮件地址、虚拟MFA。
   • 指定人员验证：由指定人员进行验证。支持手机号、邮件地址，不支持虚拟MFA验证。

4. 单击“确定”，关闭操作保护。

• 敏感操作由各个云服务单独定义。
• 用户如果进行敏感操作，将进入“操作保护”页面，选择认证方式，包括邮箱、手机和虚拟MFA三种认证方式。
  • 如果用户只绑定了手机号，则认证方式只能选择手机。
  • 如果用户只绑定了邮件地址，则认证方式只能选择邮箱。
  • 如果用户未绑定邮件地址、手机和虚拟MFA，进行敏感操作时，将提示用户绑定邮箱、手机或虚拟MFA。
• 使用邮箱、手机进行认证可能出现收不到验证码故障，建议您使用MFA验证方式。
• 如需修改验证手机号、邮件地址，请在帐号中心修改；如需修改虚拟MFA设备，请在虚拟MFA中修改。
• 开启操作保护后，执行敏感操作时，需要输入验证码进行验证，此验证码将会发送至进行操作的IAM用户所绑定的手机号或邮件地址，而不是该IAM用户所属的帐号。

访问密钥保护

• 开启访问密钥保护

  管理员进入安全设置后，在“帐号安全设置 > 敏感操作>访问密钥保护 > ”中，单击“”，开启访问密钥保护。

  开启后，仅管理员才可以创建、启用/停用或删除IAM用户的访问密钥。由于“访问密钥保护”默认为关闭状态，为了帐号资源的安全，建议开启访问密钥保护功能。

• 关闭访问密钥保护

  管理员进入安全设置后，在“帐号安全设置 > 敏感操作 > 访问密钥保护 ”中，单击“”，关闭操作保护。

  关闭后，所有IAM用户可以创建、启用/停用或删除自己的访问密钥。

敏感操作有哪些

当您开启操作保护后，进行以下操作时，需要进行身份认证。