Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Delega e controllo della gestione delle password utente
Come opzioneDBA, potresti voler delegare la gestione delle password degli utenti. In alternativa, è possibile impedire agli utenti del database di modificare le password o di riconfigurare i vincoli delle password, ad esempio la durata della password. Per garantire che solo gli utenti del database scelti possano modificare le impostazioni della password, è possibile attivare la funzione di gestione delle password con restrizioni. Quando si attiva questa funzione, solo gli utenti del database a cui è stato concesso il ruolo rds_password saranno in grado di gestire le password.
Nota
Per utilizzare la gestione limitata delle password, l' Postgre SQLDB. Il cluster deve eseguire Amazon Aurora Postgre 10.6 o versione successiva. SQL
Per impostazione predefinita, questa funzione è impostata su off, come mostrato di seguito:
postgres=>SHOW rds.restrict_password_commands;rds.restrict_password_commands -------------------------------- off (1 row)
Per attivare questa funzione, utilizzare un gruppo di parametri personalizzato e modificare l'impostazione per rds.restrict_password_commands su 1. Assicurati di riavviare l'.
Con questa funzionalità attiva, sono rds_password necessari i privilegi per i seguenti comandi: SQL
CREATE ROLE myrole WITH PASSWORD 'mypassword';
CREATE ROLE myrole WITH PASSWORD 'mypassword' VALID UNTIL '2023-01-01';
ALTER ROLE myrole WITH PASSWORD 'mypassword' VALID UNTIL '2023-01-01';
ALTER ROLE myrole WITH PASSWORD 'mypassword';
ALTER ROLE myrole VALID UNTIL '2023-01-01';
ALTER ROLE myrole RENAME TO myrole2;La ridenominazione di un role (ALTER ROLE myrole RENAME TO newname) è inoltre limitata se la password utilizza l'algoritmo di MD5 hashing.
Con questa funzionalità attiva, il tentativo di eseguire uno di questi SQL comandi senza le autorizzazioni del rds_password ruolo genera il seguente errore:
ERROR: must be a member of rds_password to alter passwordsSi consiglia di concedere i privilegi rds_password solo a ruoli utilizzati esclusivamente per la gestione delle password. Se si concedono i privilegi rds_password agli utenti del database sprovvisti dei privilegi rds_superuser, è necessario concedere loro anche l'attributo CREATEROLE.
Assicurarsi di verificare i requisiti della password come la scadenza e la complessità necessaria sul lato client. Se si utilizza la propria utilità lato client per le modifiche relative alla password, l'utilità deve essere membro di rds_password e avere i privilegi CREATE ROLE.
