このトピックでは、ApsaraDB RDS for MySQLインスタンスのカスタムパスワードポリシーを設定する方法について説明します。 カスタムパスワードポリシーを使用して、RDSインスタンスのセキュリティを確保できます。
前提条件
RDS インスタンスは、次のいずれかのデータベースエンジンバージョンと RDS エディションで実行されます。
RDS Basic EditionのMySQL 5.7
RDS High-availability EditionのMySQL 5.7
RDSクラスターエディションのMySQL 5.7
RDSクラスターエディションのMySQL 8.0
RDSインスタンスのマイナーエンジンバージョンが最新バージョンに更新されました。 詳細については、「マイナーエンジンバージョンの更新」をご参照ください。
使用上の注意
ApsaraDB RDSコンソールでカスタムパスワードポリシーを設定または変更する場合、カスタムパスワードポリシーは次のデフォルトパスワードポリシーよりも優先できません。
パスワードの長さは 8~32 文字である必要があります。
パスワードには、大文字、小文字、数字、特殊文字の少なくとも 3 種類の文字が含まれる必要があります。
パスワードには次の特殊文字を含めることができます:! @ # $ % ^ & * ( ) _ + - =
説明
RDSインスタンスがRDS Cluster EditionまたはMySQL 5.7でMySQL 8.0を実行している場合、validate_password
拡張機能を使用して、パスワードの複雑さの確認に使用されるルールを変更できます。 カスタムパスワードポリシーでは、次のパスワード複雑度ルールを指定する必要があります。
パスワードがユーザー名と同じかどうか
パスワードの長さ
パスワードの大文字と小文字の数
パスワードの桁数
パスワード内の特殊文字の数
パスワードの強さ
ステップ1: validate_passwordをインストールする
RDSインスタンスに接続します。 詳細については、「ApsaraDB RDS For MySQLインスタンスへの接続」をご参照ください。
説明RDSインスタンスに接続するには、RDSインスタンスの特権アカウントを使用する必要があります。 詳細については、「特権アカウントの作成」をご参照ください。
SQLウィンドウで次のステートメントを実行し、
validate_password
をインストールします。INSTALL PLUGIN validate_password SONAME 'validate_password.so';
SQLウィンドウで次のステートメントを実行して、validate_passwordがインストールされているかどうかを確認します。
「validate_password % 」のようなグローバルなバリエーションを表示します。
次の図のような情報が返された場合は、validate_passwordがインストールされます。
説明RDSインスタンスがRDS Cluster EditionまたはMySQL 5.7でMySQL 8.0を実行している場合にのみ、カスタムパスワードポリシーを設定できます。 RDSインスタンスが異なるデータベースエンジンバージョンまたは異なるRDSエディションを実行している場合、validate_passwordをインストールできますが、カスタムパスワードポリシーを設定することはできません。
手順2: カスタムパスワードポリシーの設定
- [インスタンス] ページに移動します。 上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。 次に、RDSインスタンスを見つけ、インスタンスのIDをクリックします。
表示されるページの左側のナビゲーションウィンドウで、パラメーターの設定 をクリックします。
名前の先頭にloose_validate_passwordが付いているパラメーターを設定します。 詳細は、「インスタンスパラメーターの変更」をご参照ください。
説明パラメーターを変更する前に、validate_passwordをインストールする必要があります。 validate_passwordがインストールされていない場合、新しいパラメーター設定は有効になりません。 詳細については、「手順1: validate_passwordのインストール」をご参照ください。
パラメーター
説明
loose_validate_password_check_user_name
パスワードをユーザー名と同じにできるかどうかを指定します。 有効な値:
ON: パスワードはユーザー名と同じにすることができます。
OFF: パスワードをユーザー名と同じにすることはできません。
デフォルト値: ON。
loose_validate_password_ポリシー
パスワードの強さ。 有効な値:
0: パスワードの強度が低い。 ApsaraDB RDSは、パスワードの長さのみをチェックします。
1: パスワードの強さは中程度です。 パスワードの長さに加えて、ApsaraDB RDSは、パスワードの桁数、大文字と小文字の数、および特殊文字の数をチェックします。
2: パスワードの強さが高いです。 ApsaraDB RDSは、パスワードの長さと辞書ファイルをチェックします。 さらに、ApsaraDB RDSは、パスワードの桁数、大文字と小文字の数、および特殊文字の数をチェックします。
説明ディクショナリファイルは指定できません。 これは、値1と2が同じパスワード強度を指定することを示します。
デフォルト値: 1
loose_validate_password_length
パスワードの長さ。 有効値: 0 ~ 256
デフォルト値: 8
説明ApsaraDB RDSコンソールで適用されるデフォルトのパスワードポリシーには、少なくとも8文字のパスワード長が必要です。 ApsaraDB RDSコンソールでこのパラメーターを5に設定した場合でも、各パスワードの長さは8文字以上である必要があります。 ただし、
SET PASSWORD
ステートメントを実行して、パスワードの長さを5文字に変更できます。loose_validate_password_number_count
パスワードの桁数。 有効値: 0 ~ 256
デフォルト値: 1
loose_validate_password_mixed_case_count
パスワードの大文字と小文字の数。 有効値: 0 ~ 256
デフォルト値: 1
loose_validate_password_special_char_count
パスワード内の特殊文字の数。 有効値: 0 ~ 256
デフォルト値: 1
説明詳細については、「オープンソースMySQLドキュメント」をご参照ください。