View a markdown version of this page

Kebijakan kata sandi dan validasi Kata Sandi di Aurora MySQL - Amazon Aurora
Kebijakan kata sandiMenggunakan komponen validate_passwordDokumentasi terkait

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kebijakan kata sandi dan validasi Kata Sandi di Aurora MySQL

Kebijakan kata sandi

Aurora MySQL mendukung fitur kebijakan kata sandi MySQL berikut. Untuk informasi selengkapnya tentang kebijakan ini, lihat dokumentasi Manajemen Kata Sandi MySQL.

Kedaluwarsa kata sandi

Parameter kedaluwarsa kata sandi
Parameter/Clause Catatan

Parameter cluster default_password_lifetime

Tersedia di Aurora MySQL versi 3 (kompatibel dengan MySQL 8.0) dan lebih tinggi.

Klausul DCL per akun PASSWORD EXPIRE INTERVAL N DAY

Tidak ada

Klausul DCL per akun PASSWORD EXPIRE NEVER

Tidak ada

Klausul DCL per akun PASSWORD EXPIRE DEFAULT

Tidak ada

Parameter cluster disconnect_on_expired_password

Tersedia di Aurora MySQL versi 8.4 dan lebih tinggi.

Pembatasan penggunaan kembali kata sandi

Parameter pembatasan penggunaan kembali kata sandi
Parameter/Clause Catatan

Parameter cluster password_history

Tersedia di Aurora MySQL versi 8.4 dan lebih tinggi.

Parameter cluster password_reuse_interval

Tersedia di Aurora MySQL versi 8.4 dan lebih tinggi.

Klausul DCL per akun PASSWORD HISTORY N

Tidak ada

Klausul DCL per akun PASSWORD REUSE INTERVAL N DAY

Tidak ada

Klausul DCL per akun PASSWORD HISTORY DEFAULT

Tidak ada

Verifikasi kata sandi saat ini

Parameter verifikasi kata sandi saat ini
Parameter/Clause Catatan

Parameter password_require_current

Tersedia di Aurora MySQL versi 8.4 dan lebih tinggi.

Klausul DCL per akun PASSWORD REQUIRE CURRENT

Tidak ada

Klausul DCL per akun PASSWORD REQUIRE CURRENT OPTIONAL

Tidak ada

Klausul DCL per akun PASSWORD REQUIRE CURRENT DEFAULT

Tidak ada

Dukungan kata sandi ganda

Klausul dukungan kata sandi ganda
Parameter/Clause Catatan

Klausul DCL per akun RETAIN CURRENT PASSWORD

Tidak ada

Klausul DCL per akun DISCARD OLD PASSWORD

Tidak ada

Failed-login pelacakan dan penguncian akun sementara

Failed-login klausul pelacakan
Parameter/Clause Catatan

Klausul DCL per akun FAILED_LOGIN_ATTEMPTS N

Tidak ada

Klausul DCL per akun PASSWORD_LOCK_TIME N

Tidak ada

Klausul DCL per akun PASSWORD_LOCK_TIME UNBOUNDED

Tidak ada

Menggunakan komponen validate_password

validate_passwordKomponen ini adalah komponen server MySQL yang menyediakan validasi kekuatan kata sandi dan kemampuan penegakan. Ini menguji kata sandi terhadap aturan yang dapat dikonfigurasi untuk memastikan mereka memenuhi persyaratan keamanan yang ditentukan sebelum diterima.

Saat diaktifkan, validate_password komponen secara otomatis memvalidasi kata sandi selama:

  • Pembuatan akun pengguna (CREATE USER)

  • Perubahan kata sandi (ALTER USER,SET PASSWORD)

Ini membantu organisasi menjaga kebersihan kata sandi yang kuat di seluruh pengguna database mereka dan mematuhi kebijakan keamanan dan persyaratan peraturan.

Aurora MySQL versi 8.4 menyediakan pendekatan berbasis parameter untuk mengaktifkan dan mengelola validate_password komponen, menghilangkan kebutuhan akan manual dan perintah. INSTALL COMPONENT UNINSTALL COMPONENT

Mengaktifkan komponen validate_password

Untuk mengaktifkan validasi kata sandi di cluster Aurora MySQL Anda, gunakan parameter cluster:

Nama parameter: aurora_enable_validate_password_component

Untuk mengaktifkan: Setel aurora_enable_validate_password_component ke true (atau1) di grup parameter cluster DB Anda.

Untuk menonaktifkan: Setel aurora_enable_validate_password_component ke false (atau0) di grup parameter cluster DB Anda.

catatan

Anda tidak akan dapat menggunakan INSTALL/UNINSTALL COMPONENT perintah untuk validate_password komponen.

catatan

Mulai dari Aurora MySQL versi 8.4, validate_password komponen tidak tercantum dalam tabel. mysql.component Anda dapat melihat status komponen di grup parameter cluster DB Anda atau melalui variabel globalaurora_enable_validate_password_component:

SELECT @@global.aurora_enable_validate_password_component;

Parameter komponen validate_password yang didukung

parameter komponen validate_password
Nama parameter Catatan

validate_password.check_user_name

Tersedia di Aurora MySQL versi 8.4 dan lebih tinggi.

validate_password.length

Tersedia di Aurora MySQL versi 8.4 dan lebih tinggi.

validate_password.mixed_case_count

Tersedia di Aurora MySQL versi 8.4 dan lebih tinggi.

validate_password.number_count

Tersedia di Aurora MySQL versi 8.4 dan lebih tinggi.

validate_password.policy

Tersedia di Aurora MySQL versi 8.4 dan lebih tinggi. Hanya level LOW dan MEDIUM yang didukung.

validate_password.special_char_count

Tersedia di Aurora MySQL versi 8.4 dan lebih tinggi.

Untuk informasi selengkapnya tentang parameter validate_password MySQL, lihat Opsi Validasi Kata Sandi MySQL dan dokumentasi Variabel.

validate_password plugin dan migrasi komponen dari RDS untuk MySQL atau Aurora MySQL versi 3 ke Aurora MySQL versi 8.4

Mulai dari Aurora MySQL versi 8.4, jika sebelumnya Anda telah menginstal validate_password plugin melalui INSTALL PLUGIN perintah, Anda dapat bermigrasi ke validate_password komponen dengan mengaktifkan parameter aurora_enable_validate_password_component dan kemudian menghapus plugin melalui perintah pada instance penulis Anda. UNINSTALL PLUGIN

catatan

Jika Anda memiliki kedua plugin diinstal dan parameter aurora_enable_validate_password_component diaktifkan, validate_password komponen akan lebih diutamakan daripada plugin.

Jika sebelumnya Anda menginstal validate_password komponen secara manual menggunakanINSTALL COMPONENT 'file://component_validate_password', pastikan Anda mengatur aurora_enable_validate_password_component parameter dalam grup parameter cluster DB target Anda saat memutakhirkan. Setelah upgrade, komponen tidak akan lagi tercantum dalam mysql.component tabel. Anda dapat menggunakan variabel aurora_enable_validate_password_component global untuk memverifikasi status komponen.

Pada startup mesin DB pertama setelah upgrade, Anda akan melihat pesan berikut di log kesalahan MySQL Anda jika sebelumnya Anda telah menginstal komponen secara manual:

Component 'file://component_validate_password' is being removed from mysql.component table.
validate_password component can be enabled/disabled through 'aurora_enable_validate_password_component' cluster parameter.

Pembatasan instalasi manual

Memulai rilis Aurora MySQL versi 8.4, perintah pemasangan dan penghapusan validate_password komponen manual tidak diperbolehkan:

mysql> INSTALL COMPONENT 'file://component_validate_password';
ERROR HY000: Cannot load component from specified URN: 'validate_password component can be
enabled/disabled through 'aurora_enable_validate_password_component' cluster parameter.'

Memantau status komponen

Aurora MySQL mencatat perubahan status komponen ke log kesalahan MySQL:

Saat diaktifkan:

Component 'validate_password' is enabled by parameter aurora_enable_validate_password_component

Saat dinonaktifkan:

Component 'validate_password' is disabled by parameter aurora_enable_validate_password_component

Dampak validasi kata sandi pada kata sandi pengguna utama

Saat mengatur ulang kata sandi pengguna utama melalui modify-db-cluster API, jika kata sandi baru tidak mematuhi aturan validasi kata sandi yang dikonfigurasi, Aurora MySQL akan memancarkan peristiwa yang terlihat pelanggan yang menunjukkan kegagalan, dan Anda harus mencoba lagi operasi dengan kata sandi yang sesuai.

Dampak validasi kata sandi pada kata sandi pengguna master terkelola Amazon RDS

Untuk klaster yang menggunakan RDS-managed kredensil pengguna master Amazon yang disimpan di AWS Secrets Manager, jika kata sandi yang dihasilkan secara otomatis selama rotasi tidak memenuhi persyaratan validasi yang dikonfigurasi, rotasi akan gagal. Anda perlu menyesuaikan parameter validasi kata sandi Anda agar rotasi berhasil. Kami menyarankan untuk tidak menggunakan validate_password komponen dan kata sandi pengguna master yang dikelola secara bersamaan.

Dokumentasi terkait