Menggunakan Kebijakan Kata Sandi untuk login SQL Server pada RDS untuk SQL Server - Layanan Basis Data Relasional Amazon
Istilah kunciMengaktifkan dan menonaktifkan kebijakanParameter kebijakan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan Kebijakan Kata Sandi untuk login SQL Server pada RDS untuk SQL Server

Amazon RDS memungkinkan Anda mengatur kebijakan kata sandi untuk instans Amazon RDS DB yang menjalankan Microsoft SQL Server. Gunakan ini untuk mengatur kompleksitas, panjang, dan persyaratan penguncian untuk login yang menggunakan SQL Server Authentication untuk mengautentikasi ke instans DB Anda.

Istilah kunci

Login

Di SQL Server, prinsipal tingkat server yang dapat mengautentikasi ke instance database disebut sebagai login. Mesin database lain mungkin merujuk pada prinsipal ini sebagai pengguna. Dalam RDS untuk SQL Server, login dapat mengautentikasi menggunakan SQL Server Authentication atau Windows Authentication.

Login SQL Server

Login yang menggunakan nama pengguna dan kata sandi untuk mengautentikasi menggunakan SQL Server Authentication adalah login SQL Server. Kebijakan kata sandi yang Anda konfigurasikan melalui parameter DB hanya berlaku untuk login SQL Server.

Login Windows

Login yang didasarkan pada prinsipal Windows dan mengotentikasi menggunakan Windows Authentication adalah login Windows. Anda dapat mengonfigurasi kebijakan kata sandi untuk login Windows Anda di Active Directory. Untuk informasi selengkapnya, lihat Menggunakan Active Directory dengan RDS for SQL Server.

Mengaktifkan dan menonaktifkan kebijakan untuk setiap login

Setiap login SQL Server memiliki flag untuk CHECK_POLICY dan. CHECK_EXPIRATION Secara default, login baru dibuat dengan CHECK_POLICY set to ON dan CHECK_EXPIRATION set keOFF.

Jika CHECK_POLICY diaktifkan untuk login, RDS untuk SQL Server memvalidasi kata sandi terhadap kompleksitas dan persyaratan panjang minimum. Kebijakan penguncian juga berlaku. Contoh pernyataan T-SQL untuk mengaktifkan CHECK_POLICY dan: CHECK_EXPIRATION 

ALTER LOGIN [master_user] WITH CHECK_POLICY = ON, CHECK_EXPIRATION = ON;

Jika CHECK_EXPIRATION diaktifkan, kata sandi tunduk pada kebijakan usia kata sandi. Pernyataan T-SQL untuk memeriksa apakah CHECK_POLICY dan CHECK_EXPIRATION diatur:

SELECT name, is_policy_checked, is_expiration_checked FROM sys.sql_logins;

Parameter kebijakan kata sandi

Semua parameter kebijakan kata sandi bersifat dinamis dan tidak memerlukan reboot DB untuk diterapkan. Tabel berikut mencantumkan parameter DB yang dapat Anda atur untuk mengubah kebijakan kata sandi untuk login SQL Server:

Parameter DB Deskripsi Nilai yang Diizinkan nilai default
rds.password_complexity_enabled Persyaratan kompleksitas kata sandi harus dipenuhi saat membuat atau mengubah kata sandi untuk login SQL Server. Kendala berikut harus dipenuhi:

  • Kata sandi harus menyertakan karakter dari tiga kategori berikut:

    • Huruf kecil latin (a sampai z)

    • Huruf besar Latin (A sampai Z)

    • Karakter non-alfanumerik seperti: tanda seru (!) , tanda dolar ($), tanda angka (#), atau persen (%).

  • Kata sandi tidak berisi nama akun pengguna.

 0,1 0
rds.password_min_length Jumlah minimum karakter yang diperlukan dalam kata sandi untuk login SQL Server. 0-14 0
rds.password_min_age Jumlah minimum hari kata sandi login SQL Server harus digunakan sebelum pengguna dapat mengubahnya. Kata sandi dapat segera diubah saat disetel ke 0. 0-998 0
rds.password_max_age

Jumlah hari maksimum kata sandi login SQL Server dapat digunakan setelah itu pengguna diminta untuk mengubahnya. Kata sandi tidak pernah kedaluwarsa saat disetel ke 0.

 0-999 42
rds.password_lockout_threshold Jumlah upaya login gagal berturut-turut yang menyebabkan login SQL Server menjadi terkunci. 0-999 0
rds.password_lockout_duration Jumlah menit login SQL Server yang terkunci harus menunggu sebelum dibuka kuncinya. 1-60 10
rds.password_lockout_reset_counter_after Jumlah menit yang harus berlalu setelah upaya login gagal sebelum penghitung upaya login yang gagal diatur ulang ke 0. 1-60 10
catatan

Untuk informasi selengkapnya tentang kebijakan kata sandi SQL Server, lihat Kebijakan Kata Sandi.

Kompleksitas kata sandi dan kebijakan panjang minimum juga berlaku untuk pengguna DB dalam database yang terkandung. Untuk informasi selengkapnya, lihat Database Terisi.

Kendala berikut berlaku untuk parameter kebijakan kata sandi:

  • rds.password_min_ageParameter harus kurang darirds.password_max_age parameter, kecuali rds.password_max_age diatur ke 0

  • rds.password_lockout_reset_counter_afterParameter harus kurang dari atau sama dengan rds.password_lockout_duration parameter.

  • Jika rds.password_lockout_threshold diatur ke 0, rds.password_lockout_duration dan rds.password_lockout_reset_counter_after tidak berlaku.

Pertimbangan untuk login yang ada

Setelah memodifikasi kebijakan kata sandi pada sebuah instance, kata sandi yang ada untuk login tidak dievaluasi secara surut terhadap kompleksitas kata sandi dan persyaratan panjang yang baru. Hanya kata sandi baru yang divalidasi terhadap kebijakan baru.

SQL Server mengevaluasi kata sandi yang ada untuk persyaratan usia.

Ada kemungkinan kata sandi segera kedaluwarsa setelah kebijakan kata sandi diubah. Misalnya, jika login telah CHECK_EXPIRATION diaktifkan dan kata sandinya terakhir diubah 100 hari yang lalu dan Anda menetapkan rds.password_max_age parameter menjadi 5 hari, kata sandi segera kedaluwarsa dan login perlu mengubah kata sandi mereka pada upaya berikutnya untuk masuk.

catatan

RDS untuk SQL Server tidak mendukung kebijakan riwayat kata sandi. Kebijakan riwayat mencegah login menggunakan kembali kata sandi yang digunakan sebelumnya.

Pertimbangan untuk deployment multi-AZ

Status penghitung dan penguncian upaya login yang gagal untuk instance Multi-AZ tidak mereplikasi antar node. Jika login dikunci ketika instance Multi-AZ gagal selesai, kemungkinan login sudah dibuka kuncinya di node baru.