Cette page décrit le fonctionnement de l'authentification intégrée sur les instances AlloyDB pour PostgreSQL, ainsi que la manière dont les administrateurs de base de données peuvent définir des règles relatives aux mots de passe pour les utilisateurs locaux de bases de données.
L'authentification est le processus consistant à vérifier l'identité d'un utilisateur qui tente d'accéder aux données de la base de données. AlloyDB utilise les types d'authentification suivants pour les utilisateurs de bases de données :
L'authentification intégrée native de PostgreSQL utilise un nom d'utilisateur et un mot de passe pour authentifier les utilisateurs locaux de la base de données. Ce type d'authentification est décrit dans la présente page.
L'authentification IAM pour les bases de données utilise IAM pour authentifier un utilisateur. Pour en savoir plus, consultez Authentification IAM pour les bases de données AlloyDB.
Bien que l'authentification IAM pour les bases de données soit plus sécurisée et fiable, vous préférez peut-être utiliser l'authentification intégrée ou un modèle d'authentification hybride incluant les deux types d'authentification.
La création et la gestion des utilisateurs locaux de base de données peut s'effectuer localement, au sein d'une base de données, afin d'autoriser des personnes ou des applications spécifiques à accéder à une base de données. Ces utilisateurs sont les propriétaires des objets qu'ils créent dans la base de données. AlloyDB bénéficie d'une intégration dédiée qui n'accepte que des mots de passe complexes. Vous pouvez définir et activer une telle application forcée à l'aide de règles relatives aux mots de passe.
Règles relatives aux mots de passe
Vous pouvez définir une règle relative aux mots de passe sur l'instance principale d'un cluster. Bien qu'il s'agisse d'un paramètre au niveau de l'instance, il est préférable de le considérer comme une règle au niveau du cluster, car les utilisateurs sont définis pour l'ensemble du cluster et les opérations d'écriture telles que la création d'utilisateurs ne peuvent être gérées que par l'instance principale.
Vous pouvez définir une règle relative aux mots de passe lorsque vous créez une instance principale, ou vous pouvez ajouter ou modifier une règle ultérieurement en mettant à jour l'instance. Cette règle s'applique à toutes les bases de données de l'instance et peut inclure les options suivantes :
Longueur minimale : spécifiez le nombre minimal de caractères que le mot de passe doit contenir.
Complexité du mot de passe : vérifie si le mot de passe est une combinaison de caractères minuscules, majuscules, numériques et non alphanumériques.
Interdire le nom d'utilisateur : empêche de spécifier le nom d'utilisateur dans le mot de passe.
Expiration des mots de passe : assurez-vous que les mots de passe sont modifiés régulièrement.
Authentification intégrée AlloyDB pour les instances dupliquées avec accès en lecture
Les règles relatives aux mots de passe pour les instances répliquées avec accès en lecture sont héritées de l'instance principale et ne peuvent pas être modifiées indépendamment. En effet, la gestion des utilisateurs et l'authentification sont des opérations d'écriture qui ne peuvent être effectuées que sur l'instance principale.
Lorsque vous promouvez une instance dupliquée avec accès en lecture pour qu'elle devienne une instance principale, le règlement relatif aux mots de passe n'est pas automatiquement transféré. Vous devez activer explicitement la règle relative aux mots de passe sur l'instance nouvellement promue, y compris toutes les options spécifiques de la règle que vous souhaitez appliquer.