Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation de la politique de mot de passe pour les connexions à SQL Server sur RDS pour SQL Server
Amazon RDS vous permet de définir la politique de mot de passe pour votre instance de base de données Amazon RDS exécutant Microsoft SQL Server. Utilisez-le pour définir les exigences de complexité, de longueur et de verrouillage pour les connexions qui utilisent l'authentification SQL Server pour s'authentifier auprès de votre instance de base de données.
Termes clés
- Connexion
-
Dans SQL Server, un principal au niveau du serveur capable de s'authentifier auprès d'une instance de base de données est appelé connexion. D'autres moteurs de base de données peuvent désigner ce principal en tant qu'utilisateur. Dans RDS pour SQL Server, un identifiant peut s'authentifier à l'aide de l'authentification SQL Server ou de l'authentification Windows.
- Connexion à SQL Server
-
Un identifiant qui utilise un nom d'utilisateur et un mot de passe pour s'authentifier à l'aide de l'authentification SQL Server est un identifiant SQL Server. La politique de mot de passe que vous configurez via les paramètres de base de données s'applique uniquement aux connexions SQL Server.
- Connexion à Windows
-
Un identifiant basé sur un principal Windows et authentifié à l'aide de l'authentification Windows est un identifiant Windows. Vous pouvez configurer la politique de mot de passe pour vos connexions Windows dans Active Directory. Pour plus d’informations, consultez Utilisation d'Active Directory avec RDS for SQL Server.
Politique d'activation et de désactivation pour chaque connexion
Chaque connexion à SQL Server comporte des indicateurs pour CHECK_POLICY
etCHECK_EXPIRATION
. Par défaut, les nouvelles connexions sont créées avec CHECK_POLICY
set to ON
et CHECK_EXPIRATION
set toOFF
.
S'il CHECK_POLICY
est activé pour une connexion, RDS pour SQL Server valide le mot de passe en fonction des exigences de complexité et de longueur minimale. Les politiques de verrouillage s'appliquent également. Exemple d'instruction T-SQL pour activer CHECK_POLICY
et CHECK_EXPIRATION
:
ALTER LOGIN [master_user] WITH CHECK_POLICY = ON, CHECK_EXPIRATION = ON;
Si cette option CHECK_EXPIRATION
est activée, les mots de passe sont soumis aux politiques relatives à l'âge des mots de passe. L'instruction T-SQL pour vérifier si CHECK_POLICY
et CHECK_EXPIRATION
sont définis :
SELECT name, is_policy_checked, is_expiration_checked FROM sys.sql_logins;
Paramètres de politique de mot de passe
Tous les paramètres de politique de mot de passe sont dynamiques et ne nécessitent pas de redémarrage de la base de données pour être pris en compte. Le tableau suivant répertorie les paramètres de base de données que vous pouvez définir pour modifier la politique de mot de passe pour les connexions à SQL Server :
Paramètre de base de données | Description | Valeurs autorisées | Valeur par défaut |
---|---|---|---|
rds.password_complexity_enabled | Les exigences de complexité des mots de passe doivent être satisfaites lors de la création ou de la modification de mots de passe pour les connexions à SQL Server. Les contraintes suivantes doivent être respectées :
|
0,1 | 0 |
rds.password_min_length | Le nombre minimum de caractères requis dans un mot de passe pour une connexion à SQL Server. | 0-14 | 0 |
rds.password_min_age | Nombre minimum de jours pendant lesquels un mot de passe de connexion à SQL Server doit être utilisé avant que l'utilisateur puisse le modifier. Les mots de passe peuvent être modifiés immédiatement lorsqu'ils sont définis sur 0. | 0-998 | 0 |
rds.password_max_age | Nombre maximal de jours pendant lesquels un mot de passe de connexion à SQL Server peut être utilisé, après lequel l'utilisateur doit le modifier. Les mots de passe n'expirent jamais lorsqu'ils sont définis sur 0. |
0-999 | 42 |
rds.password_lockout_threshold | Nombre de tentatives de connexion infructueuses consécutives qui ont entraîné le verrouillage d'une connexion à SQL Server. | 0-999 | 0 |
rds.password_lockout_duration | Le nombre de minutes pendant lesquelles une connexion SQL Server verrouillée doit attendre avant d'être déverrouillée. | 1 à 60 | 10 |
rds.password_lockout_reset_counter_after | Le nombre de minutes qui doivent s'écouler après l'échec d'une tentative de connexion avant que le compteur de tentatives de connexion échouées soit remis à 0. | 1 à 60 | 10 |
Note
Pour plus d'informations sur la politique de mot de passe de SQL Server, consultez la section Stratégie de mot de passe
Les politiques relatives à la complexité et à la longueur minimale des mots de passe s'appliquent également aux utilisateurs de bases de données contenues dans les bases de données. Pour plus d'informations, consultez la section Bases de données contenues
Les contraintes suivantes s'appliquent aux paramètres de la politique de mot de passe :
-
Le
rds.password_min_age
paramètre doit être inférieur àrds.password_max_age parameter
, sauf s'rds.password_max_age
il est défini sur 0 -
Le
rds.password_lockout_reset_counter_after
paramètre doit être inférieur ou égal aurds.password_lockout_duration
paramètre. -
rds.password_lockout_threshold
Il est défini sur 0rds.password_lockout_duration
etrds.password_lockout_reset_counter_after
ne s'applique pas.
Considérations relatives aux connexions existantes
Une fois la politique de mot de passe modifiée sur une instance, les mots de passe existants pour les connexions ne sont pas évalués rétroactivement par rapport aux nouvelles exigences en matière de complexité et de longueur des mots de passe. Seuls les nouveaux mots de passe sont validés par rapport à la nouvelle politique.
SQL Server évalue les mots de passe existants en fonction de l'âge requis.
Il est possible que les mots de passe expirent immédiatement une fois qu'une politique de mots de passe est modifiée. Par exemple, si un identifiant est CHECK_EXPIRATION
activé et que son mot de passe a été modifié pour la dernière fois il y a 100 jours et que vous définissez le rds.password_max_age
paramètre sur 5 jours, le mot de passe expire immédiatement et l'identifiant doit changer son mot de passe lors de sa prochaine tentative de connexion.
Note
RDS pour SQL Server ne prend pas en charge les politiques relatives à l'historique des mots de passe. Les politiques d'historique empêchent les connexions de réutiliser les mots de passe précédemment utilisés.
Considérations sur les déploiements multi-AZ
Le compteur de tentatives de connexion échouées et l'état de verrouillage des instances multi-AZ ne se répliquent pas entre les nœuds. En cas de verrouillage d'une connexion lors du basculement d'une instance multi-AZ, il est possible que la connexion soit déjà déverrouillée sur le nouveau nœud.