Políticas de contraseñas y validación de contraseñas en Aurora MySQL
Políticas de contraseñas
Aurora MySQL admite las siguientes características de políticas de contraseñas de MySQL. Para obtener más información sobre estas políticas, consulte la sección Password Management
Vencimiento de la contraseña.
| Parámetro/cláusula | Notas |
|---|---|
Parámetro de clúster |
Disponible en la versión 3 de Aurora MySQL (compatible con MySQL 8.0) y versiones posteriores. |
Cláusula de DCL por cuenta |
Ninguno |
Cláusula de DCL por cuenta |
Ninguno |
Cláusula de DCL por cuenta |
Ninguno |
Parámetro de clúster |
Disponible en la versión 8.4 de Aurora MySQL y versiones posteriores. |
Restricciones de la reutilización de contraseñas
| Parámetro/cláusula | Notas |
|---|---|
Parámetro de clúster |
Disponible en la versión 8.4 de Aurora MySQL y versiones posteriores. |
Parámetro de clúster |
Disponible en la versión 8.4 de Aurora MySQL y versiones posteriores. |
Cláusula de DCL por cuenta |
Ninguno |
Cláusula de DCL por cuenta |
Ninguno |
Cláusula de DCL por cuenta |
Ninguno |
Verificación de la contraseña actual
| Parámetro/cláusula | Notas |
|---|---|
Parámetro |
Disponible en la versión 8.4 de Aurora MySQL y versiones posteriores. |
Cláusula de DCL por cuenta |
Ninguno |
Cláusula de DCL por cuenta |
Ninguno |
Cláusula de DCL por cuenta |
Ninguno |
Compatibilidad con doble contraseña
| Parámetro/cláusula | Notas |
|---|---|
Cláusula de DCL por cuenta |
Ninguno |
Cláusula de DCL por cuenta |
Ninguno |
Seguimiento de errores de inicio de sesión y bloqueo temporal de la cuenta
| Parámetro/cláusula | Notas |
|---|---|
Cláusula de DCL por cuenta |
Ninguno |
Cláusula de DCL por cuenta |
Ninguno |
Cláusula de DCL por cuenta |
Ninguno |
Uso del componente validate_password
El componente validate_password es un componente del servidor de MySQL que proporciona capacidades de aplicación y validación de seguridad de las contraseñas. Realiza pruebas en las contraseñas con reglas configurables para garantizar que cumplen los requisitos de seguridad especificados antes de aceptarse.
Cuando se encuentra habilitado, el componente validate_password valida automáticamente las contraseñas durante:
La creación de cuentas de usuario (
CREATE USER)Los cambios de la contraseña (
ALTER USER,SET PASSWORD)
Esto ayuda a las organizaciones a mantener una buena limpieza de las contraseñas entre los usuarios de sus bases de datos y a cumplir con las políticas de seguridad y los requisitos normativos.
La versión 8.4 de Aurora MySQL proporciona un método basado en parámetros para habilitar y administrar el componente validate_password, lo que elimina la necesidad de ejecutar los comandos manuales INSTALL COMPONENT y UNINSTALL COMPONENT.
Habilitación del componente validate_password
Para habilitar la validación de contraseñas en el clúster de Aurora MySQL, utilice el parámetro de clúster:
Nombre del parámetro: aurora_enable_validate_password_component
Para habilitar esta opción: establezca aurora_enable_validate_password_component en true (o 1) en el grupo de parámetros del clúster de la base de datos.
Para deshabilitar esta opción: establezca aurora_enable_validate_password_component en false (o 0) en el grupo de parámetros del clúster de la base de datos.
nota
No podrá utilizar los comandos INSTALL/UNINSTALL COMPONENT para el componente validate_password.
nota
A partir de la versión 8.4 de Aurora MySQL, el componente validate_password no aparecerá en la tabla mysql.component. Puede ver el estado del componente en el grupo de parámetros del clúster de la base de datos o mediante la variable global aurora_enable_validate_password_component:
SELECT @@global.aurora_enable_validate_password_component;
Parámetros compatibles del componente validate_password
| Nombre del parámetro | Notas |
|---|---|
|
Disponible en la versión 8.4 de Aurora MySQL y versiones posteriores. |
|
Disponible en la versión 8.4 de Aurora MySQL y versiones posteriores. |
|
Disponible en la versión 8.4 de Aurora MySQL y versiones posteriores. |
|
Disponible en la versión 8.4 de Aurora MySQL y versiones posteriores. |
|
Disponible en la versión 8.4 de Aurora MySQL y versiones posteriores. Solo se admiten los niveles BAJO y MEDIO. |
|
Disponible en la versión 8.4 de Aurora MySQL y versiones posteriores. |
Para obtener más información sobre los parámetros validate_password de MySQL, consulte la sección Password Validation Options and Variables
Migración de componentes y complementos validate_password de RDS para MySQL o Aurora MySQL (versión 3) a Aurora MySQL (versión 8.4)
A partir de la versión 8.4 de Aurora MySQL, si ya había instalado el complemento validate_password mediante el comando INSTALL PLUGIN, puede migrar al componente validate_password habilitando el parámetro aurora_enable_validate_password_component y, a continuación, eliminar el complemento mediante el comando UNINSTALL PLUGIN en la instancia de escritor.
nota
Si el complemento se encuentra instalado y el parámetro aurora_enable_validate_password_component habilitado, el componente validate_password tendrá prioridad sobre el complemento.
Si anteriormente ha instalado de forma manual el componente validate_password mediante INSTALL COMPONENT 'file://component_validate_password', asegúrese de establecer el parámetro aurora_enable_validate_password_component en el grupo de parámetros del clúster de la base de datos de destino al realizar la actualización. Tras la actualización, el componente dejará de aparecer en la tabla mysql.component. Puede utilizar la variable global aurora_enable_validate_password_component para verificar el estado del componente.
Al iniciar por primera vez el motor de base de datos tras la actualización, aparecerá el siguiente mensaje en el registro de errores de MySQL si anteriormente había instalado el componente de forma manual:
Component 'file://component_validate_password' is being removed from mysql.component table.
validate_password component can be enabled/disabled through 'aurora_enable_validate_password_component' cluster parameter.Restricciones de la instalación manual
A partir de las actualizaciones de la versión 8.4 de Aurora MySQL, no se permiten los comandos manuales de instalación y desinstalación del componente validate_password:
mysql> INSTALL COMPONENT 'file://component_validate_password';
ERROR HY000: Cannot load component from specified URN: 'validate_password component can be
enabled/disabled through 'aurora_enable_validate_password_component' cluster parameter.'Supervisión del estado de los componentes
Aurora MySQL registra los cambios de estado de los componentes en el registro de errores de MySQL:
Cuando se encuentra habilitada esta opción:
Component 'validate_password' is enabled by parameter aurora_enable_validate_password_componentCuando se encuentra deshabilitada esta opción:
Component 'validate_password' is disabled by parameter aurora_enable_validate_password_componentImpacto de la validación de contraseña en la contraseña del usuario maestro
Al restablecer la contraseña del usuario maestro a través de la API de modify-db-cluster, si la nueva contraseña no cumple con las reglas de validación de contraseñas configuradas, Aurora MySQL emitirá un evento que los clientes pueden ver en el que se indica el error, y tendrá que volver a intentar la operación con una contraseña compatible.
Impacto de la validación de contraseña en la contraseña del usuario maestro administrada por Amazon RDS
En el caso de los clústeres que utilizan credenciales de usuario maestro administradas por Amazon RDS almacenadas en AWS Secrets Manager, si la contraseña generada automáticamente durante la rotación no cumple con los requisitos de validación configurados, se producirá un error en la rotación. Tendrá que ajustar los parámetros de validación de la contraseña para permitir que la rotación se realice correctamente. Recomendamos no utilizar de forma conjunta el componente validate_password ni la contraseña del usuario maestro administrada.
Documentación relacionada
