Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Menggunakan Kebijakan Kata Sandi untuk login SQL Server pada RDS untuk SQL Server
Amazon RDS memungkinkan Anda mengatur kebijakan kata sandi untuk instans Amazon RDS DB yang menjalankan Microsoft SQL Server. Gunakan ini untuk mengatur kompleksitas, panjang, dan persyaratan penguncian untuk login yang menggunakan SQL Server Authentication untuk mengautentikasi ke instans DB Anda.
## Istilah kunci
**Login**
**Di SQL Server, prinsipal tingkat server yang dapat mengautentikasi ke instance database disebut sebagai login.** Mesin database lain mungkin merujuk pada prinsip ini sebagai *pengguna*. Dalam RDS untuk SQL Server, login dapat mengautentikasi menggunakan SQL Server Authentication atau Windows Authentication.
**Login SQL Server**
Login yang menggunakan nama pengguna dan kata sandi untuk mengautentikasi menggunakan SQL Server Authentication adalah login SQL Server. Kebijakan kata sandi yang Anda konfigurasikan melalui parameter DB hanya berlaku untuk login SQL Server.
**Login Windows**
Login yang didasarkan pada prinsipal Windows dan mengautentikasi menggunakan Windows Authentication adalah login Windows. Anda dapat mengonfigurasi kebijakan kata sandi untuk login Windows Anda di Active Directory. Untuk informasi selengkapnya, lihat [Menggunakan Active Directory dengan RDS for SQL Server](User.SQLServer.ActiveDirectoryWindowsAuth.md).
## Mengaktifkan dan menonaktifkan kebijakan untuk setiap login
Setiap login SQL Server memiliki flag untuk `CHECK_POLICY` dan. `CHECK_EXPIRATION` Secara default, login baru dibuat dengan `CHECK_POLICY` set to `ON` dan `CHECK_EXPIRATION` set ke`OFF`.
Jika `CHECK_POLICY` diaktifkan untuk login, RDS untuk SQL Server memvalidasi kata sandi terhadap kompleksitas dan persyaratan panjang minimum. Kebijakan penguncian juga berlaku. Contoh T-SQL pernyataan untuk mengaktifkan `CHECK_POLICY` dan`CHECK_EXPIRATION`:
```
ALTER LOGIN [master_user] WITH CHECK_POLICY = ON, CHECK_EXPIRATION = ON;
```
Jika `CHECK_EXPIRATION` diaktifkan, kata sandi tunduk pada kebijakan usia kata sandi. T-SQL Pernyataan untuk memeriksa apakah `CHECK_POLICY` dan `CHECK_EXPIRATION` ditetapkan:
```
SELECT name, is_policy_checked, is_expiration_checked FROM sys.sql_logins;
```
## Parameter kebijakan kata sandi
Semua parameter kebijakan kata sandi bersifat dinamis dan tidak memerlukan reboot DB untuk diterapkan. Tabel berikut mencantumkan parameter DB yang dapat Anda atur untuk mengubah kebijakan kata sandi untuk login SQL Server:
****
| Parameter DB | Deskripsi | Nilai yang Diizinkan | nilai default |
| --- | --- | --- | --- |
| rds.password\_complexity\_enabled | Persyaratan kompleksitas kata sandi harus dipenuhi saat membuat atau mengubah kata sandi untuk login SQL Server. Kendala berikut harus dipenuhi: [See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/AmazonRDS/latest/UserGuide/SQLServer.Concepts.General.PasswordPolicy.Using.html) | 0,1 | 0 |
| rds.password\_min\_length | Jumlah minimum karakter yang diperlukan dalam kata sandi untuk login SQL Server. | 0-14 | 0 |
| rds.password\_min\_age | Jumlah minimum hari kata sandi login SQL Server harus digunakan sebelum pengguna dapat mengubahnya. Kata sandi dapat segera diubah saat diatur ke 0. | 0-998 | 0 |
| rds.password\_max\_age | Jumlah hari maksimum kata sandi login SQL Server dapat digunakan setelah itu pengguna diminta untuk mengubahnya. Kata sandi tidak pernah kedaluwarsa saat disetel ke 0. | 0-999 | 42 |
| rds.password\_lockout\_threshold | Jumlah upaya login gagal berturut-turut yang menyebabkan login SQL Server menjadi terkunci. | 0-999 | 0 |
| rds.password\_lockout\_duration | Jumlah menit login SQL Server yang terkunci harus menunggu sebelum dibuka kuncinya. | 1-60 | 10 |
| rds.password\_lockout\_reset\_counter\_after | Jumlah menit yang harus berlalu setelah upaya login gagal sebelum penghitung upaya login yang gagal diatur ulang ke 0. | 1-60 | 10 |
**catatan**
Untuk informasi selengkapnya tentang kebijakan kata sandi SQL Server, lihat [Kebijakan Kata Sandi](https://learn.microsoft.com/en-us/sql/relational-databases/security/password-policy).
Kompleksitas kata sandi dan kebijakan panjang minimum juga berlaku untuk pengguna DB dalam database yang terkandung. Untuk informasi selengkapnya, lihat [Database Terisi](https://learn.microsoft.com/en-us/sql/relational-databases/databases/contained-databases).
Kendala berikut berlaku untuk parameter kebijakan kata sandi:
+ `rds.password_min_age`Parameter harus kurang dari`rds.password_max_age parameter`, kecuali `rds.password_max_age` diatur ke 0
+ `rds.password_lockout_reset_counter_after`Parameter harus kurang dari atau sama dengan `rds.password_lockout_duration` parameter.
+ Jika `rds.password_lockout_threshold` diatur ke 0, `rds.password_lockout_duration` dan `rds.password_lockout_reset_counter_after` tidak berlaku.
### Pertimbangan untuk login yang ada
Setelah memodifikasi kebijakan kata sandi pada sebuah instance, kata sandi yang ada untuk login **tidak** dievaluasi secara surut terhadap kompleksitas kata sandi dan persyaratan panjang yang baru. Hanya kata sandi baru yang divalidasi terhadap kebijakan baru.
SQL Server mengevaluasi **kata** sandi yang ada untuk persyaratan usia.
Ada kemungkinan kata sandi segera kedaluwarsa setelah kebijakan kata sandi diubah. Misalnya, jika login telah `CHECK_EXPIRATION` diaktifkan dan kata sandinya terakhir diubah 100 hari yang lalu dan Anda menetapkan `rds.password_max_age` parameter menjadi 5 hari, kata sandi segera kedaluwarsa dan login perlu mengubah kata sandi mereka pada upaya berikutnya untuk masuk.
**catatan**
RDS untuk SQL Server tidak mendukung kebijakan riwayat kata sandi. Kebijakan riwayat mencegah login menggunakan kembali kata sandi yang digunakan sebelumnya.
### Pertimbangan untuk penerapan Multi-AZ
Penghitung upaya login yang gagal dan status penguncian untuk Multi-AZ instance tidak mereplikasi antar node. Dalam hal login dikunci ketika sebuah Multi-AZ instance gagal selesai, dimungkinkan untuk login sudah dibuka pada node baru.