阿里云安全中，用户账户安全主要提供哪些方面的支持？

a) 身份认证

通过凭证信息认证用户的真实身份，通常指通过登录密码或访问密钥AK 来进行认证。

• 账号密码认证：使用主账号或RAM 用户的密码登录阿里云控制台并对云上资源进行操作。

• Access Key（AK）认证：Access Key（AK）是用户调用云服务API 的身份凭证，用于在用户通过API 访问阿里云资源时对用户身份进行认证。AK ID 用于标识用户，AK Secret 用来验证用户身份的合法性。不建议用户为其云账号（即主账号）创建AK 凭证。

• STS 认证：为RAM 用户、阿里云服务、身份提供商等受信实体提供短期访问资源的权限凭证。

• MFA 认证：在用户名和密码之外再额外增加一层安全保护。启用MFA 后，用户登录阿里云时，系统将要求输入用户名和密码（第一安全要素），然后要求输入来自其MFA 设备的可变验证码（第二安全要素），支持基于软件的虚拟MFA 设备。

• SSO 认证：支持基于SAML2.0 的单点登录，支持使用企业自有身份系统的登录服务登录访问阿里云。

• SSH 密钥对：将公钥配置在Linux 实例中，在本地或者另外一个实例中，可以使用私钥通过SSH 命令或相关工具登录之前有公钥配置的实例，而不需要输入密码。

b) 账号管理和访问授权

• 阿里云账号和RAM：用户管理与资源访问权限控制服务，RAM 使得一个阿里主账号可拥有多个独立的子用户（RAM 用户）。

• RAM 用户：云账号下为企业员工、系统或应用程序创建独立的RAM 用户账号。

• RAM 角色：解决跨云帐号的资源授权、不同云服务之间的资源访问授权、给移动App 颁发临时授权令牌、进行角色SSO 登录等场景。

• 资源目录（Resource Directory）：面向企业客户提供的一套基于多账号的分级管理服务。

c) 操作审计

• ActionTrail：提供统一的云资源操作日志管理，记录云账号下的用户登录及资源访问操作。

• 堡垒机：集中运维身份鉴别、账号管控、系统操作审计等多种功能，基于协议正向代理实现。

d) 应用管理

• 应用身份服务：集中式身份管理服务，提供统一的应用门户、用户目录、单点登录、集中授权、以及行为审计等中台服务。整合部署在本地或云端的系统，实现一个账号打通所有应用服务。

以上内容摘自《阿里云认证的解析与实战-关系型数据库ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7806可下载完整版。