Políticas de senha e validação de senha no Aurora MySQL
Políticas de senha
O Aurora MySQL é compatível com os recursos de política de senha do MySQL a seguir. Para ter mais informações sobre essas políticas, consulte a documentação MySQL Password Management
Expiração de senha
| Parâmetro/cláusula | Observações |
|---|---|
Parâmetro |
Disponível no Aurora MySQL versão 3 (compatível com MySQL 8.0) e versões posteriores. |
Cláusula DCL |
Nenhum |
Cláusula DCL |
Nenhum |
Cláusula DCL |
Nenhum |
Parâmetro |
Disponível no Aurora MySQL versão 8.4 e posterior. |
Restrições de reutilização de senhas
| Parâmetro/cláusula | Observações |
|---|---|
Parâmetro |
Disponível no Aurora MySQL versão 8.4 e posterior. |
Parâmetro |
Disponível no Aurora MySQL versão 8.4 e posterior. |
Cláusula DCL |
Nenhum |
Cláusula DCL |
Nenhum |
Cláusula DCL |
Nenhum |
Verificação de senha atual
| Parâmetro/cláusula | Observações |
|---|---|
Parâmetro |
Disponível no Aurora MySQL versão 8.4 e posterior. |
Cláusula DCL |
Nenhum |
Cláusula DCL |
Nenhum |
Cláusula DCL |
Nenhum |
Suporte a senha dupla
| Parâmetro/cláusula | Observações |
|---|---|
Cláusula DCL |
Nenhum |
Cláusula DCL |
Nenhum |
Rastreamento de login com falha e bloqueio temporário de conta
| Parâmetro/cláusula | Observações |
|---|---|
Cláusula DCL |
Nenhum |
Cláusula DCL |
Nenhum |
Cláusula DCL |
Nenhum |
Como usar o componente validate_password
O componente validate_password é um componente do servidor MySQL que oferece recursos de validação e imposição de força de senha. Ele testa as senhas em relação a regras configuráveis para garantir que elas atendam aos requisitos de segurança especificados antes de serem aceitas.
Quando habilitado, o componente validate_password valida automaticamente as senhas durante:
A criação de conta de usuário (
CREATE USER).A alteração de senhas (
ALTER USER,SET PASSWORD).
Isso ajuda as organizações a manter uma forte higienização de senhas entre os usuários do banco de dados e a cumprir políticas de segurança e requisitos regulamentares.
O Aurora MySQL versão 8.4 oferece uma abordagem baseada em parâmetros para habilitar e gerenciar o componente validate_password, eliminando a necessidade dos comandos manuais INSTALL COMPONENT e UNINSTALL COMPONENT.
Como habilitar o componente validate_password
Para habilitar a validação de senha em um cluster do Aurora MySQL, use o parâmetro do cluster:
Nome do parâmetro: aurora_enable_validate_password_component
Para habilitá-lo: defina aurora_enable_validate_password_component como true (ou 1) no grupo de parâmetros do cluster de banco de dados.
Para desabilitá-lo: defina aurora_enable_validate_password_component como false (ou 0) no grupo de parâmetros do cluster de banco de dados.
nota
Não será possível usar os comandos INSTALL/UNINSTALL COMPONENT do componente validate_password.
nota
A partir do Aurora MySQL versão 8.4, o componente validate_password não estará mais listado na tabela mysql.component. É possível ver o status do componente no grupo de parâmetros do cluster de banco de dados ou por meio da variável global aurora_enable_validate_password_component:
SELECT @@global.aurora_enable_validate_password_component;
Parâmetros compatíveis do componente validate_password
| Nome do parâmetro | Observações |
|---|---|
|
Disponível no Aurora MySQL versão 8.4 e posterior. |
|
Disponível no Aurora MySQL versão 8.4 e posterior. |
|
Disponível no Aurora MySQL versão 8.4 e posterior. |
|
Disponível no Aurora MySQL versão 8.4 e posterior. |
|
Disponível no Aurora MySQL versão 8.4 e posterior. Somente os níveis BAIXO e MÉDIO são permitidos. |
|
Disponível no Aurora MySQL versão 8.4 e posterior. |
Para ter mais informações sobre os parâmetros do validate_password do MySQL, consulte a documentação MySQL Password Validation Options and Variables
Migração do plug-in e componente validate_password do RDS para MySQL ou do Aurora MySQL versão 3 para o Aurora MySQL versão 8.4
A partir do Aurora MySQL versão 8.4, se você já tiver instalado o plug-in validate_password por meio do comando INSTALL PLUGIN, poderá migrar para o componente validate_password habilitando o parâmetro aurora_enable_validate_password_component e, em seguida, remover o plug-in por meio do comando UNINSTALL PLUGIN na sua instância de gravador.
nota
Se você já tiver instalado o plug-in e o parâmetro aurora_enable_validate_password_component estiver habilitado, o componente validate_password terá precedência sobre o plug-in.
Se você já tiver instalado o componente validate_password manualmente usando INSTALL COMPONENT 'file://component_validate_password', defina o parâmetro aurora_enable_validate_password_component no grupo de parâmetros do cluster de banco de dados de destino ao fazer a atualização. Após a atualização, o componente não será mais listado na tabela mysql.component. É possível usar a variável global aurora_enable_validate_password_component para verificar o status do componente.
Na primeira inicialização do mecanismo de banco de dados após a atualização, você verá a seguinte mensagem no log de erros do MySQL se já tiver instalado o componente manualmente:
Component 'file://component_validate_password' is being removed from mysql.component table.
validate_password component can be enabled/disabled through 'aurora_enable_validate_password_component' cluster parameter.
Restrições da instalação manual
A partir das versões 8.4 do Aurora MySQL, os comandos de instalação e desinstalação manual do componente validate_password não são mais permitidos:
mysql> INSTALL COMPONENT 'file://component_validate_password';
ERROR HY000: Cannot load component from specified URN: 'validate_password component can be
enabled/disabled through 'aurora_enable_validate_password_component' cluster parameter.'
Monitorar o status do componente
O Aurora MySQL registra em log as alterações do estado do componente no log de erros do MySQL:
Quando habilitado:
Component 'validate_password' is enabled by parameter aurora_enable_validate_password_component
Quando desabilitado:
Component 'validate_password' is disabled by parameter aurora_enable_validate_password_component
Impacto da validação de senhas na senha do usuário principal
Ao redefinir a senha do usuário principal por meio da API modify-db-cluster, se a nova senha não estiver em conformidade com as regras de validação de senha configuradas, o Aurora MySQL emitirá um evento visível para o cliente indicando a falha e você precisará repetir a operação com uma senha que cumpra essas regras.
Impacto da validação de senhas na senha do usuário principal gerenciada pelo Amazon RDS
Para clusters que usam credenciais de usuário principal gerenciadas pelo Amazon RDS e armazenadas no AWS Secrets Manager, se a senha gerada automaticamente durante a alternância não atender aos requisitos de validação configurados, a alternância falhará. Você precisará ajustar os parâmetros de validação de senha para permitir que a alternância tenha êxito. Sugerimos não usar o componente validate_password e a senha do usuário principal gerenciada ao mesmo tempo.