Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Politiques de mot de passe et validation des mots de passe dans Aurora MySQL
Politiques relatives aux mots
Aurora MySQL prend en charge les fonctionnalités de politique de mot de passe MySQL suivantes. Pour plus d'informations sur ces politiques, consultez la documentation de gestion des mots de passe MySQL
expiration du mot de passe
| Parameter/Clause | Remarques |
|---|---|
Paramètre du cluster |
Disponible dans Aurora MySQL version 3 (compatible avec MySQL 8.0) et versions supérieures. |
Clause DCL par compte |
Aucune |
Clause DCL par compte |
Aucune |
Clause DCL par compte |
Aucune |
Paramètre du cluster |
Disponible dans Aurora MySQL version 8.4 et supérieure. |
Restrictions concernant la réutilisation
| Parameter/Clause | Remarques |
|---|---|
Paramètre du cluster |
Disponible dans Aurora MySQL version 8.4 et supérieure. |
Paramètre du cluster |
Disponible dans Aurora MySQL version 8.4 et supérieure. |
Clause DCL par compte |
Aucune |
Clause DCL par compte |
Aucune |
Clause DCL par compte |
Aucune |
Vérification du mot de passe actuel
| Parameter/Clause | Remarques |
|---|---|
Paramètre |
Disponible dans Aurora MySQL version 8.4 et supérieure. |
Clause DCL par compte |
Aucune |
Clause DCL par compte |
Aucune |
Clause DCL par compte |
Aucune |
Support du double mot de passe
| Parameter/Clause | Remarques |
|---|---|
Clause DCL par compte |
Aucune |
Clause DCL par compte |
Aucune |
Failed-login suivi et verrouillage temporaire du compte
| Parameter/Clause | Remarques |
|---|---|
Clause DCL par compte |
Aucune |
Clause DCL par compte |
Aucune |
Clause DCL par compte |
Aucune |
Utilisation du composant validate_password
Le validate_password composant est un composant de serveur MySQL qui fournit des fonctionnalités de validation et d'application de la force des mots de passe. Il teste les mots de passe par rapport à des règles configurables pour s'assurer qu'ils répondent aux exigences de sécurité spécifiées avant d'être acceptés.
Lorsqu'il est activé, le validate_password composant valide automatiquement les mots de passe pendant :
Création de compte utilisateur (
CREATE USER)Changements de mot de passe (
ALTER USER,SET PASSWORD)
Cela permet aux entreprises de maintenir une bonne hygiène des mots de passe pour les utilisateurs de leurs bases de données et de se conformer aux politiques de sécurité et aux exigences réglementaires.
Aurora MySQL version 8.4 fournit une approche basée sur les paramètres pour activer et gérer le validate_password composant, éliminant ainsi le besoin de manuels INSTALL COMPONENT et de commandes. UNINSTALL COMPONENT
Activation du composant validate_password
Pour activer la validation du mot de passe dans votre cluster Aurora MySQL, utilisez le paramètre de cluster :
Nom du paramètre: aurora_enable_validate_password_component
Pour activer : définissez sur aurora_enable_validate_password_component true (ou1) dans le groupe de paramètres de votre cluster de base de données.
Pour désactiver : définissez sur aurora_enable_validate_password_component false (ou0) dans le groupe de paramètres de votre cluster de base de données.
Note
Vous ne pourrez pas utiliser les INSTALL/UNINSTALL COMPONENT commandes du validate_password composant.
Note
À partir de la version 8.4 d'Aurora MySQL, le validate_password composant n'est pas répertorié dans le mysql.component tableau. Vous pouvez voir l'état du composant dans le groupe de paramètres de votre cluster de base de données ou via la variable globale aurora_enable_validate_password_component :
SELECT @@global.aurora_enable_validate_password_component;
Paramètres du composant validate_password pris en charge
| Nom du paramètre | Remarques |
|---|---|
|
Disponible dans Aurora MySQL version 8.4 et supérieure. |
|
Disponible dans Aurora MySQL version 8.4 et supérieure. |
|
Disponible dans Aurora MySQL version 8.4 et supérieure. |
|
Disponible dans Aurora MySQL version 8.4 et supérieure. |
|
Disponible dans Aurora MySQL version 8.4 et supérieure. Seuls les niveaux FAIBLE et MOYEN sont pris en charge. |
|
Disponible dans Aurora MySQL version 8.4 et supérieure. |
Pour plus d'informations sur les paramètres MySQL validate_password, consultez la documentation sur les options et variables de validation des mots de passe MySQL
migration du plugin validate_password et des composants de RDS pour MySQL ou Aurora MySQL version 3 vers Aurora MySQL version 8.4
À partir de la version 8.4 d'Aurora MySQL, si vous avez déjà installé le validate_password plug-in par le biais de la INSTALL PLUGIN commande, vous pouvez migrer vers le validate_password composant en activant le paramètre, aurora_enable_validate_password_component puis en supprimant le plug-in via la UNINSTALL PLUGIN commande sur votre instance de rédacteur.
Note
Si le plugin est installé et que le paramètre aurora_enable_validate_password_component est activé, le validate_password composant aura priorité sur le plugin.
Si vous avez déjà installé le validate_password composant manuellement à l'aide deINSTALL COMPONENT 'file://component_validate_password', assurez-vous de définir le aurora_enable_validate_password_component paramètre dans le groupe de paramètres de votre cluster de base de données cible lors de la mise à niveau. Après la mise à niveau, le composant ne sera plus répertorié dans le mysql.component tableau. Vous pouvez utiliser la variable aurora_enable_validate_password_component globale pour vérifier l'état du composant.
Au premier démarrage du moteur de base de données après la mise à niveau, vous verrez le message suivant dans votre journal des erreurs MySQL si vous avez déjà installé le composant manuellement :
Component 'file://component_validate_password' is being removed from mysql.component table.
validate_password component can be enabled/disabled through 'aurora_enable_validate_password_component' cluster parameter.Restrictions d'installation manuelle
À partir des versions 8.4 d'Aurora MySQL, les commandes manuelles d'installation et de désinstallation des validate_password composants ne sont pas autorisées :
mysql> INSTALL COMPONENT 'file://component_validate_password';
ERROR HY000: Cannot load component from specified URN: 'validate_password component can be
enabled/disabled through 'aurora_enable_validate_password_component' cluster parameter.'Surveillance de l'état des composants
Aurora MySQL enregistre les modifications de l'état des composants dans le journal des erreurs MySQL :
Lorsque cette option est activée :
Component 'validate_password' is enabled by parameter aurora_enable_validate_password_componentEn cas de désactivation :
Component 'validate_password' is disabled by parameter aurora_enable_validate_password_componentImpact de la validation du mot de passe sur le mot de passe utilisateur principal
Lors de la réinitialisation du mot de passe de l'utilisateur principal via l'modify-db-clusterAPI, si le nouveau mot de passe n'est pas conforme aux règles de validation du mot de passe configurées, Aurora MySQL émettra un événement visible par le client indiquant l'échec, et vous devrez recommencer l'opération avec un mot de passe conforme.
Impact de la validation du mot de passe sur le mot de passe de l'utilisateur principal géré par Amazon RDS
Pour les clusters utilisant les informations d'identification de l'utilisateur RDS-managed principal Amazon stockées dans AWS Secrets Manager, si le mot de passe généré automatiquement pendant la rotation n'est pas conforme aux exigences de validation configurées, la rotation échouera. Vous devrez ajuster les paramètres de validation de votre mot de passe pour permettre à la rotation de réussir. Nous vous conseillons de ne pas utiliser conjointement le validate_password composant et le mot de passe de l'utilisateur principal géré.
Documents associés
