腾讯云 CAM 子账号怎么开二次验证?MFA 绑定教程 #腾讯云 CAM访问管理子账号支持虚拟 MFA 和硬件 MFA。跟阿里云一样腾讯云在过去两年中也披露过因 AccessKey 泄露导致的资源盗挖事件。MFA 是控制台层面最直接有效的防护手段。子账号自行绑定登录腾讯云控制台 → 右上角头像 → 安全设置 → MFA 设备 → 绑定选择「虚拟 MFA 设备」→ 页面生成二维码用 「二次验证码Free2FA」小程序或其他TOTP验证器扫码 → 输入当前 6 位验证码等待 30 秒 → 输入第二个验证码 → 绑定完成管理员强制全员 MFA在 CAM 中挂上条件策略{version:2.0,statement:[{effect:deny,action:*,resource:*,condition:{bool_if_exist:{qcs:MFAPresent:false}}}]}挂上之后没有 MFA 的子账号任何操作都做不了。建议先在测试账号验证再全局生效。跟阿里云的差异两家在 MFA 层面的技术实现几乎一致——都是标准 TOTP都要连续两次验证码都支持硬件 U2F 密钥。差异主要在于控制台 UI 路径名称不同CAM 子账号的安全设置在MFA 设备栏目下条件策略键名不同qcs:MFAPresentvsacs:MFAPresent腾讯云的 MFA 设备管理入口在访问管理 → 用户 → 用户列表 → 安全也可以找到对同时使用腾讯云和阿里云的团队来说同一个 TOTP 验证器可以统一管理两家云厂商的 MFA。绑进去之后备注好腾讯云-主号“阿里云-子账号”打开一眼分清换手机一键全恢复。不可忽视的安全习惯子账号 MFA 解绑需要管理员操作。员工变动时把MFA 清理写进交接清单。根账号的安全级别高于子账号。根账号建议至少绑两个 MFA 设备虚拟 硬件互为备份。虚拟 MFA 可用微信小程序「二次验证码Free2FA」——标准 TOTP 协议绑完自动云备份换手机不用重绑。MFA 保护控制台不保护 API。AccessKey 遵循最小权限 定期轮换不在代码仓库中硬编码。