Delegación y control de la administración de contraseñas de usuario - Amazon Aurora

Delegación y control de la administración de contraseñas de usuario

Como DBA, es posible que desee delegar la administración de contraseñas de usuario. O bien, puede que desee evitar que los usuarios de la base de datos cambien sus contraseñas o reconfiguren las restricciones de contraseña, como la duración de la contraseña. Para asegurarse de que solo los usuarios de la base de datos que elija puedan cambiar la configuración de contraseñas, puede activar la función de administración de contraseñas restringidas. Cuando activa esta función, solo pueden administrar contraseñas aquellos usuarios de base de datos a los que se les haya concedido el rol rds_password.

nota

Para utilizar la administración de contraseñas restringida, su el clúster de base de datos de PostgreSQL Aurora debe estar ejecutando Amazon Aurora para 10.6 o una versión posterior.

De forma predeterminada, esta función es off, tal y como se muestra en el ejemplo siguiente:

postgres=> SHOW rds.restrict_password_commands;
  rds.restrict_password_commands
--------------------------------
 off
(1 row)

Para activar esta función, utilice un grupo de parámetros personalizado y cambie la configuración de rds.restrict_password_commands a 1. Asegúrese de reiniciar su Instancia de base de datos principal de Aurora PostgreSQL para que la configuración surta efecto.

Con esta función activa, se necesitan privilegios de rds_password para los siguientes comandos SQL:

CREATE ROLE myrole WITH PASSWORD 'mypassword';
CREATE ROLE myrole WITH PASSWORD 'mypassword' VALID UNTIL '2023-01-01';
ALTER ROLE myrole WITH PASSWORD 'mypassword' VALID UNTIL '2023-01-01';
ALTER ROLE myrole WITH PASSWORD 'mypassword';
ALTER ROLE myrole VALID UNTIL '2023-01-01';
ALTER ROLE myrole RENAME TO myrole2;

Cambiar el nombre de un rol (ALTER ROLE myrole RENAME TO newname) también está restringido si la contraseña utiliza el algoritmo hash MD5.

Con esta función activa, intentar cualquiera de estos comandos SQL sin los permisos de rol rds_password, genera el siguiente error: 

ERROR: must be a member of rds_password to alter passwords

Recomendamos que otorgar el rds_password solamente a unos cuantos roles que utilice únicamente para la administración de contraseñas. Si concede privilegios de rds_password a usuarios de bases de datos que no tengan privilegios de rds_superuser, también debe otorgarles el atributo CREATEROLE.

Asegúrese de que comprueba los requisitos de las contraseñas del lado del cliente, como el vencimiento y la complejidad necesaria. Si utiliza su propia utilidad del lado del cliente para cambios relacionados con la contraseña, la utilidad debe ser miembro de rds_password tener privilegios de CREATE ROLE.