本页面介绍了内置身份验证在 AlloyDB for PostgreSQL 实例上的工作原理,以及数据库管理员如何为本地数据库用户设置密码政策。
身份验证是验证尝试访问数据库中数据的用户身份的过程。AlloyDB 将以下类型的身份验证用于数据库用户:
PostgreSQL 的原生内置身份验证使用用户名和密码对本地数据库用户进行身份验证。当前页面介绍了此类身份验证。
IAM 数据库身份验证使用 IAM 对用户进行身份验证。如需了解详情,请参阅 AlloyDB IAM 数据库身份验证。
虽然 IAM 数据库身份验证更安全可靠,但您可能想要使用内置身份验证或使用同时包含这两种身份验证类型的混合身份验证模型。
您可以在数据库中以本地方式创建和管理本地数据库用户,以允许特定人员或应用访问数据库。此类数据库用户拥有其在数据库中创建的对象。AlloyDB 提供强大的内置密码强制执行功能。您可以通过密码政策定义并启用此类强制执行。
密码策略
您可以为集群的主实例设置密码政策。虽然这是一个实例级设置,但最好将其视为集群级政策,因为用户是针对整个集群定义的,并且用户创建等写入操作只能由主实例处理。
您可以在创建主实例时设置密码政策,也可以稍后通过更新实例来添加或修改政策。此政策适用于实例中的所有数据库,并且可以包含以下选项:
最短长度:指定密码必须包含的字符数下限。
密码复杂度:检查密码是否为小写字母、大写字母、数字和非字母数字字符的组合。
禁止使用用户名:禁止在密码中使用用户名。
密码到期:确保定期轮替密码。
用于读取副本的 AlloyDB 内置身份验证
读取副本的密码政策继承自主实例,无法单独修改。这是因为用户管理和身份验证是写入操作,只能在主实例上执行。
将读取副本提升为主实例时,密码政策不会自动沿用。您必须在新提升的实例上明确启用密码政策,包括您要强制执行的所有特定政策选项。