Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Délégation et contrôle de la gestion des mots de passe utilisateur
En tant que telDBA, vous souhaiterez peut-être déléguer la gestion des mots de passe des utilisateurs. Vous souhaitez peut-être également empêcher les utilisateurs de base de données de modifier leurs mots de passe ou de reconfigurer les contraintes de mot de passe, telles que la durée de vie d'un mot de passe. Pour vous assurer que seuls les utilisateurs de base de données que vous choisissez peuvent modifier les paramètres de mot de passe, vous pouvez activer la fonctionnalité de gestion restreinte des mots de passe. Lorsque vous activez cette fonctionnalité, seuls les utilisateurs de base de données qui ont obtenu le rôle rds_password
peuvent gérer les mots de passe.
Note
Pour utiliser la gestion restreinte des mots de passe, votre RDSSQLinstance de base de données Postgre doit exécuter le Postgre SQL 10.6 ou version ultérieure.
Par défaut, cette fonctionnalité est désactivée (off
), comme illustré ci-dessous :
postgres=>
SHOW rds.restrict_password_commands;
rds.restrict_password_commands -------------------------------- off (1 row)
Pour l'activer, vous utilisez un groupe de paramètres personnalisé et redéfinissez le paramètre rds.restrict_password_commands
sur 1. Assurez-vous de redémarrer l'instance de base de pour que le paramètre prenne effet.
Lorsque cette fonctionnalité est active, rds_password
des privilèges sont nécessaires pour les SQL commandes suivantes :
CREATE ROLE myrole WITH PASSWORD 'mypassword';
CREATE ROLE myrole WITH PASSWORD 'mypassword' VALID UNTIL '2023-01-01';
ALTER ROLE myrole WITH PASSWORD 'mypassword' VALID UNTIL '2023-01-01';
ALTER ROLE myrole WITH PASSWORD 'mypassword';
ALTER ROLE myrole VALID UNTIL '2023-01-01';
ALTER ROLE myrole RENAME TO myrole2;
Le changement de nom d'un rôle (ALTER ROLE myrole RENAME TO newname
) est également restreint si le mot de passe utilise l'algorithme de MD5 hachage.
Lorsque cette fonctionnalité est active, le fait de tenter l'une de ces SQL commandes sans les autorisations du rds_password
rôle génère l'erreur suivante :
ERROR: must be a member of rds_password to alter passwords
Nous vous recommandons de n'accorder rds_password
qu'à quelques rôles utilisés exclusivement pour la gestion des mots de passe. Si vous accordez des privilèges rds_password
aux utilisateurs de base de données qui ne disposent pas de privilèges rds_superuser
, vous devez également leur accorder l'attribut CREATEROLE
.
Assurez-vous de vérifier les exigences de mot de passe telles que la date d'expiration et le niveau de complexité requis du côté du client. Si vous utilisez votre propre utilitaire côté client pour les modifications relatives aux mots de passe, l'utilitaire doit être membre de rds_password
et disposer des privilèges CREATE ROLE
.