GCP 的 MFA 体系跟 AWS 不同的地方在于------它不直接在每个 Gmail 账号上配 2FA,而是推荐通过 Cloud Identity 或 Google Workspace 来管理组织内的身份和 MFA 策略。如果你是个人开发者用个人 Gmail 账号开 GCP------那就直接给 Google 账号开 2FA。
这里重点讲组织场景下的 MFA 配置。
组织场景:通过 Cloud Identity 强制 MFA
如果你用 GCP 的 Cloud Identity 管理团队账号(推荐),管理员可以在管理控制台统一配置 MFA 策略:
- 登录 Google Admin 控制台(admin.google.com)→ 安全 → 两步验证
- 配置强制策略:允许用户自行开启、或强制所有用户必须开启
- 设置受信任设备策略(允许用户在常用设备上跳过 2FA)
Cloud Identity 支持多种两步验证方式:Google 提示推送、Google Authenticator(标准 TOTP)、安全密钥(FIDO2/U2F)、以及备用验证码。
GCP 特有的安全层级
GCP 的 IAM 模型比 AWS 和阿里云更细粒度,除了 MFA 之外还有几层额外的保护:
Service Account 密钥管理。 GCP 的 Service Account 相当于云平台上的"机器身份"。Service Account 密钥一旦泄露,攻击者可以直接以该身份调用 GCP API------不经过 MFA。同样的原则:密钥遵循最小权限、不在代码仓库中硬编码、定期轮换。
BeyondCorp / 零信任。 GCP 是零信任概念的早期推动者之一。在云控制台的上下文感知访问(Context-Aware Access)中,管理员可以配置基于设备状态、IP 地址、地理位置的访问策略。如果请求来自一个未加密或未打补丁的设备,即使账号密码和 MFA 验证都通过了,也可以拒绝访问。
GCP 跟其他云厂商的 MFA 差异
| 维度 | GCP | AWS | 阿里云/腾讯云/华为云 |
|---|---|---|---|
| 个人账号 MFA | Google 账号 2FA | IAM 根账号 MFA | RAM/CAM/IAM 根账号 MFA |
| 组织 MFA 管理 | Cloud Identity / Workspace | AWS SSO / IAM Identity Center | 各自 IAM 体系 |
| 上下文感知 | 支持(BeyondCorp) | 通过条件策略部分实现 | 有限 |
| 协议 | 标准 TOTP + FIDO2 + 推送 | 标准 TOTP + FIDO2 | 标准 TOTP + FIDO2 |
安全建议
个人开发者 :Google 账号开 2FA → GCP 控制台也受保护。云 Service Account 密钥不硬编码。
企业团队 :用 Cloud Identity 统一管理 MFA 策略,配合上下文感知访问做分层防护。
多云厂商团队:用「二次验证码Free2FA」小程序或其他TOTP 验证器统一管理 GCP + AWS + 阿里云 + 腾讯云的 MFA。最好能支持账号的云备份和跨设备同步恢复。