RDS for MySQL に対するパスワードの検証

MySQL では、セキュリティを高めるための validate_password プラグインが提供されています。このプラグインでは、MySQL DB インスタンスの DB パラメータグループでパラメータを使用してパスワードポリシーを適用します。プラグインは、MySQL バージョン 5.7、8.0、および 8.4 を実行している DB インスタンスでサポートされています。validate_password プラグインの詳細については、MySQL ドキュメントの「パスワード検証プラグイン」を参照してください。

MySQL DB インスタンスの validate_password プラグインを有効にするには

1. MySQL DB インスタンスに接続し、次のコマンドを実行します。

   
   INSTALL PLUGIN validate_password SONAME 'validate_password.so';                    
                   

2. DB インスタンスで使用される DB パラメータグループでプラグインのパラメータを設定します。

   パラメータに関する詳細については、MySQL ドキュメントの「パスワード検証プラグインオプションおよび変数」を参照してください。

   DB インスタンスのパラメータの変更の詳細については、「Amazon RDS の DB パラメータグループのパラメータの変更」を参照してください。

3. DB インスタンスを再起動します。

validate_password プラグインを有効にしたら、新しい検証ポリシーに準拠するように、既存のパスワードをリセットします。

Amazon RDS では、パスワードは検証されません。MySQL DB インスタンスでは、パスワード検証が実行されます。AWS Management Console、modify-db-instance AWS CLI コマンド、または ModifyDBInstance RDS API オペレーションでユーザーパスワードを設定する場合は、パスワードがパスワードポリシーに準拠していなくても、変更することができます。ただし、新しいパスワードは、パスワードポリシーに準拠している場合にのみ、MySQL DB インスタンスに設定されます。この場合、Amazon RDS は、次のイベントを記録します。

    "RDS-EVENT-0067" - An attempt to reset the master password for the DB instance has failed.            
            

Amazon RDS イベントの詳細については、「Amazon RDS イベント通知の操作」を参照してください。