Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menyerahkan dan mengendalikan manajemen kata sandi pengguna
SebagaiDBA, Anda mungkin ingin mendelegasikan pengelolaan kata sandi pengguna. Atau, Anda juga dapat mencegah pengguna basis data mengubah kata sandi mereka atau mengonfigurasi ulang batasan kata sandi, seperti masa pakai kata sandi. Untuk memastikan bahwa hanya pengguna basis data yang Anda pilih yang dapat mengubah pengaturan kata sandi, Anda dapat mengaktifkan fitur manajemen kata sandi terbatas. Bila mengaktifkan fitur ini, hanya pengguna basis data yang telah diberikan peran rds_password
yang dapat mengelola kata sandi.
catatan
Untuk menggunakan manajemen kata sandi terbatas, instans Postgre SQL DB Anda RDS harus menjalankan Aurora Postgre . SQL
Secara default, fitur ini dalam keadaan off
, seperti yang ditunjukkan berikut:
postgres=>
SHOW rds.restrict_password_commands;
rds.restrict_password_commands -------------------------------- off (1 row)
Untuk mengaktifkan fitur ini, Anda harus menggunakan grup parameter kustom dan mengubah pengaturan rds.restrict_password_commands
ke 1. Pastikan untuk me-reboot Postgre SQL DB sehingga pengaturan berlaku.
Dengan fitur ini aktif, rds_password
hak istimewa diperlukan untuk SQL perintah berikut:
CREATE ROLE myrole WITH PASSWORD 'mypassword';
CREATE ROLE myrole WITH PASSWORD 'mypassword' VALID UNTIL '2023-01-01';
ALTER ROLE myrole WITH PASSWORD 'mypassword' VALID UNTIL '2023-01-01';
ALTER ROLE myrole WITH PASSWORD 'mypassword';
ALTER ROLE myrole VALID UNTIL '2023-01-01';
ALTER ROLE myrole RENAME TO myrole2;
Mengganti nama role (ALTER ROLE myrole RENAME TO newname
) juga dibatasi jika password menggunakan algoritma MD5 hashing.
Dengan fitur ini aktif, mencoba salah satu SQL perintah ini tanpa izin rds_password
peran menghasilkan kesalahan berikut:
ERROR: must be a member of rds_password to alter passwords
Sebaiknya Anda memberikan rds_password
hanya untuk beberapa peran yang Anda gunakan semata untuk manajemen kata sandi. Jika memberikan hak akses rds_password
kepada pengguna basis data yang tidak memiliki hak akses rds_superuser
, Anda juga harus memberi mereka atribut CREATEROLE
.
Pastikan Anda memverifikasi persyaratan kata sandi seperti kedaluwarsa dan kompleksitas yang diperlukan di sisi klien. Jika Anda menggunakan utilitas sisi klien Anda sendiri untuk perubahan terkait kata sandi, utilitas tersebut harus menjadi anggota rds_password
dan memiliki hak akses CREATE ROLE
.