Utilisation de la politique de mot de passe pour les connexions à SQL Server sur RDS pour SQL Server - Amazon Relational Database Service
Termes clésPolitique d'activation et de désactivationParamètres de politique

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de la politique de mot de passe pour les connexions à SQL Server sur RDS pour SQL Server

Amazon RDS vous permet de définir la politique de mot de passe pour votre instance de base de données Amazon RDS exécutant Microsoft SQL Server. Utilisez-le pour définir les exigences de complexité, de longueur et de verrouillage pour les connexions qui utilisent l'authentification SQL Server pour s'authentifier auprès de votre instance de base de données.

Termes clés

Connexion

Dans SQL Server, un principal au niveau du serveur capable de s'authentifier auprès d'une instance de base de données est appelé connexion. D'autres moteurs de base de données peuvent désigner ce principal en tant qu'utilisateur. Dans RDS pour SQL Server, un identifiant peut s'authentifier à l'aide de l'authentification SQL Server ou de l'authentification Windows.

Connexion à SQL Server

Un identifiant qui utilise un nom d'utilisateur et un mot de passe pour s'authentifier à l'aide de l'authentification SQL Server est un identifiant SQL Server. La politique de mot de passe que vous configurez via les paramètres de base de données s'applique uniquement aux connexions SQL Server.

Connexion à Windows

Un identifiant basé sur un principal Windows et authentifié à l'aide de l'authentification Windows est un identifiant Windows. Vous pouvez configurer la politique de mot de passe pour vos connexions Windows dans Active Directory. Pour plus d’informations, consultez Utilisation d'Active Directory avec RDS for SQL Server.

Politique d'activation et de désactivation pour chaque connexion

Chaque connexion à SQL Server comporte des indicateurs pour CHECK_POLICY etCHECK_EXPIRATION. Par défaut, les nouvelles connexions sont créées avec CHECK_POLICY set to ON et CHECK_EXPIRATION set toOFF.

S'il CHECK_POLICY est activé pour une connexion, RDS pour SQL Server valide le mot de passe en fonction des exigences de complexité et de longueur minimale. Les politiques de verrouillage s'appliquent également. Exemple d'instruction T-SQL pour activer CHECK_POLICY et CHECK_EXPIRATION : 

ALTER LOGIN [master_user] WITH CHECK_POLICY = ON, CHECK_EXPIRATION = ON;

Si cette option CHECK_EXPIRATION est activée, les mots de passe sont soumis aux politiques relatives à l'âge des mots de passe. L'instruction T-SQL pour vérifier si CHECK_POLICY et CHECK_EXPIRATION sont définis :

SELECT name, is_policy_checked, is_expiration_checked FROM sys.sql_logins;

Paramètres de politique de mot de passe

Tous les paramètres de politique de mot de passe sont dynamiques et ne nécessitent pas de redémarrage de la base de données pour être pris en compte. Le tableau suivant répertorie les paramètres de base de données que vous pouvez définir pour modifier la politique de mot de passe pour les connexions à SQL Server :

Paramètre de base de données Description Valeurs autorisées Valeur par défaut
rds.password_complexity_enabled Les exigences de complexité des mots de passe doivent être satisfaites lors de la création ou de la modification de mots de passe pour les connexions à SQL Server. Les contraintes suivantes doivent être respectées :

  • Le mot de passe doit inclure des caractères appartenant à trois des catégories suivantes :

    • lettre minuscule latine (a à z)

    • Lettre majuscule latine (A à Z)

    • Caractères non alphanumériques tels que : point d'exclamation (!) , signe dollar ($), signe numérique (#) ou pourcentage (%).

  • Le mot de passe ne contient pas le nom de compte de l'utilisateur.

 0,1 0
rds.password_min_length Le nombre minimum de caractères requis dans un mot de passe pour une connexion à SQL Server. 0-14 0
rds.password_min_age Nombre minimum de jours pendant lesquels un mot de passe de connexion à SQL Server doit être utilisé avant que l'utilisateur puisse le modifier. Les mots de passe peuvent être modifiés immédiatement lorsqu'ils sont définis sur 0. 0-998 0
rds.password_max_age

Nombre maximal de jours pendant lesquels un mot de passe de connexion à SQL Server peut être utilisé, après lequel l'utilisateur doit le modifier. Les mots de passe n'expirent jamais lorsqu'ils sont définis sur 0.

 0-999 42
rds.password_lockout_threshold Nombre de tentatives de connexion infructueuses consécutives qui ont entraîné le verrouillage d'une connexion à SQL Server. 0-999 0
rds.password_lockout_duration Le nombre de minutes pendant lesquelles une connexion SQL Server verrouillée doit attendre avant d'être déverrouillée. 1 à 60 10
rds.password_lockout_reset_counter_after Le nombre de minutes qui doivent s'écouler après l'échec d'une tentative de connexion avant que le compteur de tentatives de connexion échouées soit remis à 0. 1 à 60 10
Note

Pour plus d'informations sur la politique de mot de passe de SQL Server, consultez la section Stratégie de mot de passe.

Les politiques relatives à la complexité et à la longueur minimale des mots de passe s'appliquent également aux utilisateurs de bases de données contenues dans les bases de données. Pour plus d'informations, consultez la section Bases de données contenues.

Les contraintes suivantes s'appliquent aux paramètres de la politique de mot de passe :

  • Le rds.password_min_age paramètre doit être inférieur àrds.password_max_age parameter, sauf s'rds.password_max_ageil est défini sur 0

  • Le rds.password_lockout_reset_counter_after paramètre doit être inférieur ou égal au rds.password_lockout_duration paramètre.

  • rds.password_lockout_thresholdIl est défini sur 0 rds.password_lockout_duration et rds.password_lockout_reset_counter_after ne s'applique pas.

Considérations relatives aux connexions existantes

Une fois la politique de mot de passe modifiée sur une instance, les mots de passe existants pour les connexions ne sont pas évalués rétroactivement par rapport aux nouvelles exigences en matière de complexité et de longueur des mots de passe. Seuls les nouveaux mots de passe sont validés par rapport à la nouvelle politique.

SQL Server évalue les mots de passe existants en fonction de l'âge requis.

Il est possible que les mots de passe expirent immédiatement une fois qu'une politique de mots de passe est modifiée. Par exemple, si un identifiant est CHECK_EXPIRATION activé et que son mot de passe a été modifié pour la dernière fois il y a 100 jours et que vous définissez le rds.password_max_age paramètre sur 5 jours, le mot de passe expire immédiatement et l'identifiant doit changer son mot de passe lors de sa prochaine tentative de connexion.

Note

RDS pour SQL Server ne prend pas en charge les politiques relatives à l'historique des mots de passe. Les politiques d'historique empêchent les connexions de réutiliser les mots de passe précédemment utilisés.

Considérations sur les déploiements multi-AZ

Le compteur de tentatives de connexion échouées et l'état de verrouillage des instances multi-AZ ne se répliquent pas entre les nœuds. En cas de verrouillage d'une connexion lors du basculement d'une instance multi-AZ, il est possible que la connexion soit déjà déverrouillée sur le nouveau nœud.