Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menyerahkan dan mengendalikan manajemen kata sandi pengguna
Sebagai DBA, Anda mungkin perlu menyerahkan manajemen kata sandi pengguna. Atau, Anda juga dapat mencegah pengguna basis data mengubah kata sandi mereka atau mengonfigurasi ulang batasan kata sandi, seperti masa pakai kata sandi. Untuk memastikan bahwa hanya pengguna basis data yang Anda pilih yang dapat mengubah pengaturan kata sandi, Anda dapat mengaktifkan fitur manajemen kata sandi terbatas. Bila mengaktifkan fitur ini, hanya pengguna basis data yang telah diberikan peran rds_password yang dapat mengelola kata sandi.
catatan
Untuk menggunakan manajemen kata sandi terbatas, klaster DB Aurora PostgreSQL harus menjalankan Amazon Aurora PostgreSQL 10.6 atau versi lebih tinggi.
Secara default, fitur ini dalam keadaan off, seperti yang ditunjukkan berikut:
postgres=>SHOW rds.restrict_password_commands;rds.restrict_password_commands -------------------------------- off (1 row)
Untuk mengaktifkan fitur ini, Anda harus menggunakan grup parameter kustom dan mengubah pengaturan rds.restrict_password_commands ke 1. Pastikan untuk melakukan booting ulang instans DB primer Aurora PostgreSQL agar pengaturan dapat berlaku.
Dalam keadaan fitur ini aktif, hak akses rds_password diperlukan untuk perintah SQL berikut:
CREATE ROLE myrole WITH PASSWORD 'mypassword';
CREATE ROLE myrole WITH PASSWORD 'mypassword' VALID UNTIL '2023-01-01';
ALTER ROLE myrole WITH PASSWORD 'mypassword' VALID UNTIL '2023-01-01';
ALTER ROLE myrole WITH PASSWORD 'mypassword';
ALTER ROLE myrole VALID UNTIL '2023-01-01';
ALTER ROLE myrole RENAME TO myrole2;Mengganti nama role (ALTER ROLE myrole RENAME TO newname) juga dibatasi jika password menggunakan algoritma MD5 hashing.
Jika fitur ini dalam keadaan aktif, mencoba salah satu perintah SQL ini tanpa izin peran rds_password akan menghasilkan kesalahan berikut:
ERROR: must be a member of rds_password to alter passwordsSebaiknya Anda memberikan rds_password hanya untuk beberapa peran yang Anda gunakan semata untuk manajemen kata sandi. Jika memberikan hak akses rds_password kepada pengguna basis data yang tidak memiliki hak akses rds_superuser, Anda juga harus memberi mereka atribut CREATEROLE.
Pastikan Anda memverifikasi persyaratan kata sandi seperti kedaluwarsa dan kompleksitas yang diperlukan di sisi klien. Jika Anda menggunakan utilitas sisi klien Anda sendiri untuk perubahan terkait kata sandi, utilitas tersebut harus menjadi anggota rds_password dan memiliki hak akses CREATE ROLE.
