使用密碼政策管理內建驗證

選取說明文件版本:

本頁面說明如何為 AlloyDB Omni 設定及管理密碼政策。

密碼政策簡介

如果應用程式的資料庫使用者是透過內建的密碼驗證方法,使用 AlloyDB Omni 進行驗證,您可以強制使用高強度密碼,進一步確保驗證安全。您可以設定 AlloyDB Omni 密碼政策,定義並啟用密碼強制執行功能。

密碼政策的限制

AlloyDB Omni 密碼政策有下列限制:

  • 密碼政策只會套用至您設定政策後建立的密碼。 現有使用者密碼不會受到密碼政策變更的影響。

  • 密碼政策僅適用於以純文字輸入的密碼。密碼政策不適用於以加密字串形式輸入的密碼。

設定 AlloyDB Omni 密碼政策

如要設定密碼政策,請更新 postgresql.conf 設定檔中的 Grand Unified Configuration (GUC) 密碼參數。如要瞭解如何設定 GUC 參數,請參閱「設定 AlloyDB Omni 資料庫旗標」。

AlloyDB Omni 的密碼政策可包含下列選項:

  • 禁止使用者名稱:禁止在密碼中使用使用者名稱。

  • 密碼複雜度:檢查密碼是否包含允許數量的小寫、大寫、數字和非英數字元。同時檢查密碼長度是否符合規定。

  • 密碼到期:確保定期輪替密碼。

如需 AlloyDB Omni 支援的密碼政策旗標清單,請參閱「密碼政策旗標」。

預先載入密碼驗證程式庫

如要在 AlloyDB Omni 中套用密碼政策,必須載入 alloydb_password_validation 程式庫。如要載入這個程式庫,請執行下列操作:

  1. 找出 AlloyDB Omni 安裝的 postgresql.conf 設定檔,並在文字編輯器中開啟。

  2. 找出 shared_preload_libraries 行,並檢查是否包含 alloydb_password_validation。如果沒有,請新增。完成後,shared_preload_libraries 行會類似如下:

    shared_preload_libraries='google_columnar_engine,google_job_scheduler,google_storage,alloydb_password_validation'

強制使用高複雜度密碼

如要強制執行密碼複雜度政策,請按照下列步驟操作:

  1. 確認 postgresql.conf 檔案預先載入密碼驗證程式庫

  2. password.enforce_complexity 標記設為 ON

  3. 使用密碼政策標記定義密碼政策。

舉例來說,如要強制執行密碼政策,規定密碼至少須包含一個大寫字母、一個數字,且長度至少為 10 個字元,請在 postgresql.conf 檔案中設定以下內容:

  • password.enforce_complexity = ON
  • password.min_uppercase_letters = 1
  • password.min_numerical_chars = 1
  • password.min_pass_length = 10

設定這些標記後,如果嘗試設定的資料庫使用者密碼不符合這項密碼政策,系統就會失敗。舉例來說,如果設定這項政策,下列 psql 用戶端指令就會失敗,因為密碼 foo 少於 10 個字元,且不含數字或大寫字元。

CREATE USER USERNAME WITH PASSWORD foo;

強制執行密碼到期設定

如要強制執行密碼到期政策,請按照下列步驟操作:

  1. 確認 postgresql.conf 檔案預先載入密碼驗證程式庫

  2. password.enforce_expiration 標記設為 ON

  3. password.expiration_in_days 旗標設為密碼設定後失效的天數。

  4. password.notify_expiration_in_days 旗標設為密碼到期前天數,使用者會在該天數前開始收到密碼到期通知。

舉例來說,如要強制執行密碼政策,規定密碼會在 30 天後失效,且系統會在密碼失效前 15 天通知使用者,您必須在 postgresql.conf 檔案中設定下列項目:

  • password.enforce_expiration = ON
  • password.expiration_in_days = 30
  • password.notify_expiration_in_days = 15

如果使用者密碼過期,就無法連線至 AlloyDB Omni。如要重設使用者密碼,請按照下列步驟操作:

  1. 使用 psql 連線至 AlloyDB Omni。舉例來說,如果您使用 Docker 安裝 AlloyDB Omni,請執行下列指令:

    sh docker exec -it CONTAINER-NAME psql -h localhost -U postgres

  2. postgres=# 提示字元中執行下列指令:

    ALTER USER USERNAME WITH 'NEW-PASSWORD';

如要進一步瞭解如何變更使用者密碼,請參閱 PostgreSQL 說明文件中的ALTER ROLE

強制內部管理員帳戶使用密碼驗證

管理員帳戶的密碼強制執行功能可自動集中管理重要系統密碼的安全輪替和更新作業,通常會使用 Vault 等外部工具。這項功能會對 AlloyDB Omni 用於管理各種內部程序的重要管理員帳戶,強制執行以密碼為基礎的驗證,確保符合零信任政策。

下列資料庫帳戶支援強制執行密碼:

  • alloydbadmin:Kubernetes (K8s) 控制器的超級使用者帳戶。
  • alloydbmonitor:用於收集資料庫指標的唯讀帳戶。

如要啟用強制執行功能,請設定資料庫叢集規格,參照儲存這些帳戶密碼的 Kubernetes Secret 物件。這個程序可提升安全性,並減少管理資料庫內部管理帳戶憑證所需的手動作業負擔。

啟用密碼強制執行功能

如要在建立叢集時啟用密碼強制執行功能,請按照下列步驟操作:

  1. 請確認您有執行 AlloyDB Omni Kubernetes 運算子 1.7.0 以上版本的 Kubernetes 叢集。
  2. 在 DBCluster 規格中新增 systemUserPasswordRefs 屬性。這項屬性必須包含鍵/值組合,將每個內部系統帳戶名稱 (例如 alloydbadminalloydbmonitor) 連結至對應的 Kubernetes 密鑰物件名稱。

  3. 建立資料庫前,請確認參照的 Kubernetes 密鑰包含使用者的種子密碼,且屬性格式符合下列結構:

    systemUserPasswordRefs: USER_NAME:USER_NAME-PASSWORD-DATABASE_NAME

安全地管理密碼輪換

啟用強制執行後,請使用 Vault 等外部工具,安全地管理持續進行的密碼輪替作業。

  1. 更新資料庫密碼。外部工具會直接在 AlloyDB Omni 中更新系統帳戶的密碼。

  2. 更新 Kubernetes 密鑰。外部工具隨後會使用新密碼更新相關聯的 Kubernetes 密鑰物件。

    • 密鑰物件的內容必須是鍵/值組合,其中鍵是資料庫名稱,值是以 Base64 編碼的新密碼。

    • 建議您採用下列密鑰名稱慣例:

      USER_NAME-pw-DATABASE_NAME

    AlloyDB Omni 運算子會偵測 Kubernetes 密鑰的變更,並自動更新資料庫 Pod 中執行的資料庫代理程式所使用的密碼快取。然後,代理程式會使用這個新的快取密碼,執行所有後續的資料庫作業。

為特定使用者停用密碼強制執行設定

如要為特定系統帳戶停用密碼強制執行功能,您必須從 DBCluster 規格中的 systemUserPasswordRefs 清單移除該使用者。

  1. 移除使用者。在 DBCluster 規格中,刪除要排除密碼強制執行的使用者對應的鍵值組。舉例來說,如要為 alloydbadmin 停用這項功能,請移除 alloydbadmin: alloydbadmin-pw-dbcluster-sample

  2. 使用 kubectl apply 套用修改後的 DBCluster 規格。

    套用更新後的規格後,系統就會為該使用者停用密碼強制執行功能。

禁止在密碼中加入使用者名稱

如要強制執行禁止密碼包含使用者名稱的政策,請按照下列步驟操作:

  1. 確認 postgresql.conf 檔案預先載入密碼驗證程式庫

  2. password.enforce_password_does_not_contain_username 設為 ON

舉例來說,如要確保密碼不含使用者名稱做為子字串,請在 postgresql.conf 檔案中設定以下內容:

  • password.enforce_password_does_not_contain_username = ON

如果設定這個標記,下列作業就會失敗,因為密碼 alex-secret 包含使用者名稱 alex

CREATE USER alex WITH PASSWORD 'alex-secret';

後續步驟