Questa pagina descrive come funziona l'autenticazione integrata sulle istanze AlloyDB per PostgreSQL e come gli amministratori di database possono impostare le policy relative alle password per gli utenti del database locale.
L'autenticazione è il processo di verifica dell'identità di un utente che tenta di accedere ai dati nel database. AlloyDB utilizza i seguenti tipi di autenticazione per gli utenti del database:
L'autenticazione integrata nativa di PostgreSQL utilizza un nome utente e una password per autenticare gli utenti del database locale. In questa pagina viene descritto questo tipo di autenticazione.
L'autenticazione IAM dei database utilizza IAM per autenticare un utente. Per saperne di più, consulta Autenticazione database IAM di AlloyDB.
Sebbene l'autenticazione IAM dei database sia più sicura e affidabile, potresti preferire utilizzare l'autenticazione integrata o un modello di autenticazione ibrida che includa entrambi i tipi di autenticazione.
Puoi creare e gestire utenti di database locali all'interno di un database per consentire a persone o applicazioni specifiche di accedere a un database. Questi utenti del database sono proprietari degli oggetti che creano nel database. AlloyDB offre una rigorosa applicazione delle password integrate. Puoi definire e attivare questa applicazione forzata tramite i criteri relativi alle password.
Criteri di protezione con password
Puoi impostare una policy per le password sull'istanza principale di un cluster. Sebbene si tratti di un'impostazione a livello di istanza, è meglio considerarla una policy a livello di cluster, in quanto gli utenti sono definiti per l'intero cluster e le operazioni di scrittura come la creazione di utenti possono essere gestite solo dall'istanza principale.
Puoi impostare una policy per le password quando crei un'istanza primaria oppure puoi aggiungere o modificare una policy in un secondo momento aggiornando l'istanza. Queste norme si applicano a tutti i database all'interno dell'istanza e possono includere le seguenti opzioni:
Lunghezza minima: specifica il numero minimo di caratteri che deve avere la password.
Complessità della password: verifica se la password è una combinazione di caratteri minuscoli, maiuscoli, numerici e non alfanumerici.
Non consentire il nome utente: impedisce l'utilizzo del nome utente nella password.
Scadenza password: assicurati che le password vengano ruotate periodicamente.
Autenticazione integrata di AlloyDB per le repliche di lettura
Le norme relative alle password per le repliche di lettura vengono ereditate dall'istanza principale e non possono essere modificate in modo indipendente. Questo perché la gestione e l'autenticazione degli utenti sono operazioni di scrittura che possono essere eseguite solo sull'istanza principale.
Quando promuovi una replica di lettura a istanza principale, le norme relative alle password non vengono trasferite automaticamente. Devi attivare esplicitamente i criteri password nell'istanza appena promossa, incluse tutte le opzioni specifiche dei criteri che vuoi applicare.