Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Delegieren und Steuern der Benutzerpasswortverwaltung
Als DBA Beispiel möchten Sie vielleicht die Verwaltung von Benutzerkennwörtern delegieren. Oder Sie möchten verhindern, dass Datenbankbenutzer ihre Passwörter ändern oder Passwortbeschränkungen wie die Lebensdauer des Passworts neu konfigurieren. Um sicherzustellen, dass nur die von Ihnen ausgewählten Datenbankbenutzer Passworteinstellungen ändern können, können Sie die Funktion zur eingeschränkten Passwortverwaltung aktivieren. Wenn Sie diese Funktion aktivieren, können nur die Datenbankbenutzer, denen die rds_password
-Rolle gewährt wurde, Passwörter verwalten.
Anmerkung
Um die eingeschränkte Passwortverwaltung verwenden zu können, . Der SQL Postgre-DB-Cluster muss Amazon Aurora Postgre SQL 10.6 oder höher ausführen.
Standardmäßig lautet diese Funktion off
, wie im Folgenden gezeigt:
postgres=>
SHOW rds.restrict_password_commands;
rds.restrict_password_commands -------------------------------- off (1 row)
Zum Aktivieren dieser Funktion verwenden Sie eine benutzerdefinierte Parametergruppe und ändern die Einstellung für rds.restrict_password_commands
in 1. Stellen Sie sicher, dass Sie die primäre DB-Instance SQL von Aurora Postgre RDS neu starten, damit die Einstellung wirksam wird.
Wenn diese Funktion aktiv ist, sind rds_password
Rechte für die folgenden SQL Befehle erforderlich:
CREATE ROLE myrole WITH PASSWORD 'mypassword';
CREATE ROLE myrole WITH PASSWORD 'mypassword' VALID UNTIL '2023-01-01';
ALTER ROLE myrole WITH PASSWORD 'mypassword' VALID UNTIL '2023-01-01';
ALTER ROLE myrole WITH PASSWORD 'mypassword';
ALTER ROLE myrole VALID UNTIL '2023-01-01';
ALTER ROLE myrole RENAME TO myrole2;
Das Umbenennen einer Rolle (ALTER ROLE myrole RENAME TO newname
) ist ebenfalls eingeschränkt, wenn das Passwort den MD5 Hash-Algorithmus verwendet.
Wenn diese Funktion aktiv ist, wird beim Versuch, einen dieser SQL Befehle ohne die rds_password
Rollenberechtigungen auszuführen, der folgende Fehler generiert:
ERROR: must be a member of rds_password to alter passwords
Wir empfehlen, dass Sie die rds_password
-Berechtigung nur wenigen Rollen zuweisen, die Sie ausschließlich für die Passwortverwaltung verwenden. Wenn Sie rds_password
-Berechtigungen für Datenbankbenutzer erteilen, die keine rds_superuser
-Berechtigungen haben, müssen Sie ihnen auch das CREATEROLE
-Attribut erteilen.
Stellen Sie sicher, dass Sie die Passwortanforderungen wie Ablaufdatum und erforderliche Komplexität auf Kundenseite überprüfen. Wenn Sie Ihr eigenes clientseitiges Dienstprogramm für passwortbezogene Änderungen verwenden, muss das Dienstprogramm Mitglied von rds_password
sein und über CREATE ROLE
-Berechtigungen verfügen.