Auf dieser Seite wird beschrieben, wie die integrierte Authentifizierung auf AlloyDB for PostgreSQL-Instanzen funktioniert und wie Datenbankadministratoren Passwortrichtlinien für lokale Datenbanknutzer festlegen können.
Bei der Authentifizierung wird die Identität eines Nutzers überprüft, der versucht, auf Daten in der Datenbank zuzugreifen. AlloyDB verwendet die folgenden Authentifizierungstypen für Datenbanknutzer:
Die native integrierte Authentifizierung von PostgreSQL verwendet einen Nutzernamen und ein Passwort zur Authentifizierung lokaler Datenbanknutzer. Auf der aktuellen Seite wird diese Art der Authentifizierung beschrieben.
Bei der IAM-Datenbankauthentifizierung wird IAM zur Authentifizierung eines Nutzers verwendet. Weitere Informationen finden Sie unter AlloyDB-IAM-Datenbankauthentifizierung.
Obwohl die IAM-Datenbankauthentifizierung sicherer und zuverlässiger ist, können Sie die integrierte Authentifizierung oder ein Hybrid-Authentifizierungsmodell verwenden, das beide Authentifizierungstypen enthält.
Sie können lokale Datenbanknutzer lokal in einer Datenbank erstellen und verwalten, um bestimmten Personen oder Anwendungen Zugriff auf eine Datenbank zu gewähren. Solche Datenbanknutzer sind Inhaber der in der Datenbank erstellten Objekte. AlloyDB bietet eine starke integrierte Passworterzwingung. Sie können solche Erzwingungen über Passwortrichtlinien definieren und aktivieren.
Passwortrichtlinien
Sie können eine Passwortrichtlinie für die primäre Instanz eines Clusters festlegen. Dies ist zwar eine Einstellung auf Instanzebene, sie sollte aber als Richtlinie auf Clusterebene betrachtet werden, da Nutzer für den gesamten Cluster definiert sind und Schreibvorgänge wie die Nutzererstellung nur von der primären Instanz verarbeitet werden können.
Sie können eine Passwortrichtlinie festlegen, wenn Sie eine primäre Instanz erstellen. Sie können eine Richtlinie aber auch später hinzufügen oder ändern, indem Sie die Instanz aktualisieren. Diese Richtlinie gilt für alle Datenbanken in der Instanz und kann die folgenden Optionen enthalten:
Mindestlänge: Gibt die Mindestanzahl an Zeichen an, die das Passwort haben muss.
Komplexität des Passworts: Prüft, ob das Passwort eine Kombination aus Kleinbuchstaben, Großbuchstaben, numerischen und nicht alphanumerischen Zeichen ist.
Nutzernamen nicht zulassen: verhindert die Verwendung des Nutzernamens im Passwort.
Ablauf von Passwörtern: Achten Sie darauf, dass Passwörter regelmäßig geändert werden.
Integrierte AlloyDB-Authentifizierung für Lesereplikate
Passwortrichtlinien für Lesereplikate werden von der primären Instanz übernommen und können nicht unabhängig geändert werden. Das liegt daran, dass Nutzerverwaltung und Authentifizierung Schreibvorgänge sind, die nur in der primären Instanz ausgeführt werden können.
Wenn Sie ein Lesereplikat zur primären Instanz hochstufen, wird die Passwortrichtlinie nicht automatisch übernommen. Sie müssen die Passwortrichtlinie für die neu hochgestufte Instanz explizit aktivieren, einschließlich aller spezifischen Richtlinienoptionen, die Sie erzwingen möchten.