GCP 的 MFA 体系跟 AWS 不同的地方在于——它不直接在每个 Gmail 账号上配 2FA而是推荐通过 Cloud Identity 或 Google Workspace 来管理组织内的身份和 MFA 策略。如果你是个人开发者用个人 Gmail 账号开 GCP——那就直接给 Google 账号开 2FA。这里重点讲组织场景下的 MFA 配置。组织场景通过 Cloud Identity 强制 MFA如果你用 GCP 的 Cloud Identity 管理团队账号推荐管理员可以在管理控制台统一配置 MFA 策略登录 Google Admin 控制台admin.google.com→ 安全 → 两步验证配置强制策略允许用户自行开启、或强制所有用户必须开启设置受信任设备策略允许用户在常用设备上跳过 2FACloud Identity 支持多种两步验证方式Google 提示推送、Google Authenticator标准 TOTP、安全密钥FIDO2/U2F、以及备用验证码。GCP 特有的安全层级GCP 的 IAM 模型比 AWS 和阿里云更细粒度除了 MFA 之外还有几层额外的保护Service Account 密钥管理。GCP 的 Service Account 相当于云平台上的机器身份。Service Account 密钥一旦泄露攻击者可以直接以该身份调用 GCP API——不经过 MFA。同样的原则密钥遵循最小权限、不在代码仓库中硬编码、定期轮换。BeyondCorp / 零信任。GCP 是零信任概念的早期推动者之一。在云控制台的上下文感知访问Context-Aware Access中管理员可以配置基于设备状态、IP 地址、地理位置的访问策略。如果请求来自一个未加密或未打补丁的设备即使账号密码和 MFA 验证都通过了也可以拒绝访问。GCP 跟其他云厂商的 MFA 差异维度GCPAWS阿里云/腾讯云/华为云个人账号 MFAGoogle 账号 2FAIAM 根账号 MFARAM/CAM/IAM 根账号 MFA组织 MFA 管理Cloud Identity / WorkspaceAWS SSO / IAM Identity Center各自 IAM 体系上下文感知支持BeyondCorp通过条件策略部分实现有限协议标准 TOTP FIDO2 推送标准 TOTP FIDO2标准 TOTP FIDO2安全建议个人开发者Google 账号开 2FA → GCP 控制台也受保护。云 Service Account 密钥不硬编码。企业团队用 Cloud Identity 统一管理 MFA 策略配合上下文感知访问做分层防护。多云厂商团队用「二次验证码Free2FA」小程序或其他TOTP 验证器统一管理 GCP AWS 阿里云 腾讯云的 MFA。最好能支持账号的云备份和跨设备同步恢复。