Informazioni sulle policy per le password
Se gli utenti del database della tua applicazione eseguono l'autenticazione con AlloyDB Omni utilizzando il metodo integrato basato su password, puoi rendere l'autenticazione più sicura applicando password efficaci. Puoi definire e attivare l'applicazione delle password impostando una policy per le password di AlloyDB Omni.
Limitazioni delle policy per le password
Le policy per le password di AlloyDB Omni presentano le seguenti limitazioni:
Le policy per le password si applicano alle password create solo dopo averle impostate. Le password utente esistenti non sono interessate da una modifica della policy per le password.
Le policy per le password si applicano alle password inserite solo come testo normale. Le policy per le password non si applicano alle password inserite come stringhe criptate.
Impostare una policy per le password di AlloyDB Omni
Per impostare una policy per le password, aggiorna i parametri delle password GUC (Grand Unified Configuration) nel file di configurazione postgresql.conf. Per scoprire come impostare un
parametro GUC, consulta
Configurare i flag del database AlloyDB Omni.
Una policy per le password di AlloyDB Omni può includere le seguenti opzioni:
Non consentire il nome utente: impedisci l'utilizzo del nome utente nella password.
Complessità della password: verifica se la password contiene il numero consentito di caratteri minuscoli, maiuscoli, numerici e non alfanumerici. Verifica anche se la lunghezza della password è valida.
Scadenza della password: assicurati che le password vengano ruotate periodicamente.
Per un elenco dei flag delle policy per le password supportati da AlloyDB Omni, consulta Flag delle policy per le password.
Per rispettare gli standard di sicurezza e seguire le indicazioni del Security Recommender, devi attivare tutte e tre le opzioni configurando i relativi flag di applicazione principali su ON:
password.enforce_password_does_not_contain_usernamepassword.enforce_complexitypassword.enforce_expiration
Se imposti uno di questi tre flag su OFF o li ometti, il Security Recommender segnala l'istanza come se non avesse una policy per le password attivata.
Precaricare la libreria di convalida delle password
Affinché una policy per le password venga applicata in AlloyDB Omni, è necessario caricare la libreria alloydb_password_validation. Per caricare questa libreria:
Individua il file di configurazione
postgresql.confper l'installazione di AlloyDB Omni e aprilo in un editor di testo.Individua la riga
shared_preload_librariese verifica se includealloydb_password_validation. In caso contrario, devi aggiungerla. Al termine, la rigashared_preload_librariessarà simile alla seguente:shared_preload_libraries='google_columnar_engine,google_job_scheduler,google_storage,alloydb_password_validation'
Applicare la complessità delle password
Per applicare una policy di complessità delle password:
Verifica che il tuo file
postgresql.confprecarichi la libreria di convalida delle password.Imposta il
password.enforce_complexityflag suON.Utilizza i flag delle policy per le password per definire la policy per le password.
Ad esempio, per applicare una policy per le password che prevede che una password deve contenere almeno una lettera maiuscola, un numero e avere una lunghezza di almeno 10 caratteri, imposta quanto segue nel file postgresql.conf:
password.enforce_complexity = ONpassword.min_uppercase_letters = 1password.min_numerical_chars = 1password.min_pass_length = 10
Dopo aver impostato questi flag, un tentativo di impostare una password utente del database che non rispetta questa policy per le password non va a buon fine. Ad esempio, con questa policy impostata, il seguente comando del client psql non va a buon fine perché la password foo ha meno di 10 caratteri e non contiene un numero o un carattere maiuscolo.
CREATE USER USERNAME WITH PASSWORD foo;
Applicare la scadenza delle password
Per applicare la policy di scadenza delle password:
Verifica che il tuo file
postgresql.confprecarichi la libreria di convalida delle password.Imposta il
password.enforce_expirationflag suON.Imposta il
password.expiration_in_daysflag sul numero di giorni dopo l'impostazione della password in cui scade.Imposta il flag
password.notify_expiration_in_dayssul numero di giorni prima della scadenza della password in cui un utente inizia a ricevere notifiche di scadenza della password.
Ad esempio, per applicare una policy per le password che prevede che le password scadano dopo 30 giorni e che gli utenti ricevano una notifica 15 giorni prima della scadenza della password, devi impostare quanto segue nel file postgresql.conf:
password.enforce_expiration = ONpassword.expiration_in_days = 30password.notify_expiration_in_days = 15
Se la password di un utente scade, l'utente non può connettersi ad AlloyDB Omni. Per reimpostare la password di un utente:
Connettiti ad AlloyDB Omni utilizzando
psql. Ad esempio, se hai installato AlloyDB Omni utilizzando Docker, esegui il seguente comando:sh docker exec -it CONTAINER-NAME psql -h localhost -U postgresAl prompt
postgres=#, esegui il seguente comando:ALTER USER USERNAME WITH 'NEW-PASSWORD';
Per ulteriori informazioni sulla modifica della password di un utente, consulta
ALTER ROLE nella
documentazione di PostgreSQL.
Non consentire i nomi utente nelle password
Per applicare la policy che impedisce a una password di contenere un nome utente:
Verifica che il tuo file
postgresql.confprecarichi la libreria di convalida delle password.Imposta
password.enforce_password_does_not_contain_usernamesuON.
Ad esempio, per assicurarti che una password non contenga un nome utente come sottostringa, imposta quanto segue nel file postgresql.conf:
password.enforce_password_does_not_contain_username = ON
Se questo flag è impostato, l'operazione seguente non va a buon fine perché la password
alex-secret contiene il nome utente alex:
CREATE USER alex WITH PASSWORD 'alex-secret';
Passaggi successivi
- Scopri come eseguire il backup e il ripristino di AlloyDB AlloyDB Omni
- Crea una replica di sola lettura