Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menyerahkan dan mengendalikan manajemen kata sandi pengguna
SebagaiDBA, Anda mungkin ingin mendelegasikan pengelolaan kata sandi pengguna. Atau, Anda juga dapat mencegah pengguna basis data mengubah kata sandi mereka atau mengonfigurasi ulang batasan kata sandi, seperti masa pakai kata sandi. Untuk memastikan bahwa hanya pengguna basis data yang Anda pilih yang dapat mengubah pengaturan kata sandi, Anda dapat mengaktifkan fitur manajemen kata sandi terbatas. Bila mengaktifkan fitur ini, hanya pengguna basis data yang telah diberikan peran rds_password yang dapat mengelola kata sandi.
catatan
Untuk menggunakan manajemen kata sandi terbatas, Postgre SQLDB cluster harus menjalankan Amazon Aurora Postgre 10.6 atau lebih tinggi. SQL
Secara default, fitur ini dalam keadaan off, seperti yang ditunjukkan berikut:
postgres=>SHOW rds.restrict_password_commands;rds.restrict_password_commands -------------------------------- off (1 row)
Untuk mengaktifkan fitur ini, Anda harus menggunakan grup parameter kustom dan mengubah pengaturan rds.restrict_password_commands ke 1. Pastikan untuk me-reboot instans DB utama Aurora Postgre SQL Anda RDS untuk instans .
Dengan fitur ini aktif, rds_password hak istimewa diperlukan untuk SQL perintah berikut:
CREATE ROLE myrole WITH PASSWORD 'mypassword';
CREATE ROLE myrole WITH PASSWORD 'mypassword' VALID UNTIL '2023-01-01';
ALTER ROLE myrole WITH PASSWORD 'mypassword' VALID UNTIL '2023-01-01';
ALTER ROLE myrole WITH PASSWORD 'mypassword';
ALTER ROLE myrole VALID UNTIL '2023-01-01';
ALTER ROLE myrole RENAME TO myrole2;Mengganti nama role (ALTER ROLE myrole RENAME TO newname) juga dibatasi jika password menggunakan algoritma MD5 hashing.
Dengan fitur ini aktif, mencoba salah satu SQL perintah ini tanpa izin rds_password peran menghasilkan kesalahan berikut:
ERROR: must be a member of rds_password to alter passwordsSebaiknya Anda memberikan rds_password hanya untuk beberapa peran yang Anda gunakan semata untuk manajemen kata sandi. Jika memberikan hak akses rds_password kepada pengguna basis data yang tidak memiliki hak akses rds_superuser, Anda juga harus memberi mereka atribut CREATEROLE.
Pastikan Anda memverifikasi persyaratan kata sandi seperti kedaluwarsa dan kompleksitas yang diperlukan di sisi klien. Jika Anda menggunakan utilitas sisi klien Anda sendiri untuk perubahan terkait kata sandi, utilitas tersebut harus menjadi anggota rds_password dan memiliki hak akses CREATE ROLE.
