在RAM中，您可以指定RAM用户必须设置多因素认证(MFA)。一旦设置MFA，您还可以统一指定是否允许登 录时在其登录设备上保存MFA登录状态(保存7天)。
6
补丁管理/使用手册
给您的员工创建RAM用户账号
当您需要给某个员工授权时，首先需要给该员工创建一个对应的用户身份。
创建RAM用户
操作步骤：登入RAM管理控制台，选择用户管理 -> 新建用户，进入创建用户页面。
1. AccessKeySecret只会在AK创建时提供查看或下载，为了安全考虑，后续不会提供 AccessKeySecret的再次查看或下载功能。如果AK丢失，您只能重新创建AK。新创建的AK与 原来的AK都是代表相同的用户身份，同一个RAM用户的不同AK在使用上是完全等效的。
2. 建议您为应用程序周期性更换AK，避免因为AK泄露导致风险。 如果需要对用户的AK进行管理，比如删除AK或创建第二个AK，可以进入用户详情页进行AK管理，如下图所示 ：
至此，您已经为应用系统（vedio-server）创建了RAM用户身份，该应用系统可以使用独立的RAM用户AK调 用阿里云服务的API了。但是，新创建的用户默认是没有任何权限的，该用户系统被授权才能正常使用。 要给RAM用户授权，请参考给RAM用户授权。
给RAM用户授权
直接给RAM用户授权（通过AttachPolicyToUser来完成）
7
Web 应用防火墙/快速入门
为用户设置登录密码
操作步骤：登入RAM管理控制台，选择用户管理 -> 选择用户 -> 进入用户详情页面。 您可以选择启用控制台登录，在弹窗中为用户设置初始密码，并可以指定用户登录时必须更换密码。
8
Web 应用防火墙/快速入门
重置用户登录密码
登录密码设置成功后，您还可以进一步设置多因素认证，或者重置密码，或者关闭控制台登录。
访问控制 快速入门
先知计划/快速入门
快速入门
为主账号开启多因素认证（两步认证）
主账号对其名下的资源拥有完全控制权限，一旦云账号登录密码泄露，账号下的资产将面临极大的威胁。为了 降低风险，我们强烈建议您给主账号绑定多因素认证。
进入账号安全设置
登入，进入管理控制台 -> 用户中心 -> 账号管理 -> 安全设置 选择虚拟MFA，点击设置进入启用虚拟MFA设备绑定流程（执行此操作时，需要通过获取手机验证 码来二次验证您的账户身份）
1. 在您的MFA应用程序中添加用户
1
Eclipse 插件/使用手册 这里以Google Authenticator为例来描述操作步骤。打开Authenticator -> 点击 +添加用户，然后点击扫码条 形码 进行扫码。（如果您的智能设备不支持扫码功能，那么您也可以点击手输信息获取，在MFA应用程序中以 手动输入MFA密钥的方式进行配置。） 扫码完成后会自动添加用户，然后您的MFA应用会显示账号Alice@example-company的动态口令，每30秒更 新一次，如下图所示：
启用虚拟MFA设备的绑定流程（开启两步认证）
1. 进入启用虚拟MFA设备页面，如下图所示：
此操作需要您在智能手机终端上安装虚拟MFA应用程序。常见的MFA应用程序有阿里身份宝或Google Authenticator，用户可以自主选择安装使用。关于Google Authenticator安装问题，请参考Google Authenticator安装及使用指导
4
移动推送/SDK 手册
1. 校验密码成功后，还需用户提供虚拟MFA设备的动态安全验证码，如下图所示：
两步验证通过后，用户才能登录到阿里云。
RAM初始设置
开通RAM后，您可以在RAM中设置您的企业别名、您的RAM用户登录密码强度、您的RAM用户的MFA登录配 置。
设置您的企业别名
为您的云账号设置一个RAM企业别名，好处是能让RAM用户更容易记住登录入口。由于安全原因，RAM用户 5
登录到RAM控制台后，在左侧导航栏中选择"用户管理"，选择相应的用户，点击"授权"。或者，进入用户详情 页面-> 用户授权策略，在弹窗中选择合适的授权策略名称进行授权即可。
给用户所属的用户组授权（通过AttachPolicyToGroup来完成
11
）
- 步骤1. 创建用户组（已创建的可直接进入步骤2） 登录到RAM控制台后，在左侧导航栏中选择"群组管理"，如下图：
创建RAM用户
操作步骤：登入RAM管理控制台，选择用户管理 -> 新建用户，进入创建用户页面。
9
云数据பைடு நூலகம் Memcache 版/快速入门
在创建RAM用户时，如果勾选了"为该用户自动生成AccessKey"，那么在创建用户时会一并为该用户创建 AccessKey。若下图所示：
10
数据集成/进阶与深入 注意：
至此，您已经为员工（张三）创建了RAM用户身份，而且张三可以登录到阿里云控制台了。但是，新创建的用 户默认是没有任何权限的，此时的张三即使登录到控制台也是做不了任何事情。 要给RAM用户授权，请参考给RAM用户授权。
为您的应用系统创建RAM用户账号
当您的应用系统需要访问云资源时，您应该为应用系统配置一个独立的RAM用户账号的AK，而不要使用主账号 的AK。因为主账号的AK拥有"root权限"，它可以控制您的所有阿里云资源操作，一旦泄露将会导致风险不可控 -- 这会导致您的所有资源或数据被他人控制。 下面介绍如何给您的应用系统创建RAM用户账号。
移动推送/SDK 手册 的登录入口不同于主账号的登录入口。RAM用户登录时，需要提供主账号的RAM企业别名、RAM用户名和 RAM用户登录密码。
设置RAM用户的登录密码强度
在RAM中，您可以统一指定所有RAM用户的密码登录强度，那么用户重置密码时不得低于您设置的密码强度。
设置RAM用户的MFA登录配置
2
Eclipse 插件/使用手册
1. 获取连续的两组口令 您需要在启用虚拟MFA设备页面中输入MFA应用中显示的连续两组动态口令，然后单击确定启用按钮。如下图
3
所示：
移动数据分析/SDK 手册
启用MFA设备的操作完成。
开启MFA后的登录过程（二步认证过程）
1. 登录控制台时先输入登录用户名和密码，如下图所示：