Konfigurasikan kebijakan kata sandi untuk akun pada instans ApsaraDB RDS for SQL Server - ApsaraDB RDS

Kebijakan kata sandi akun mengelola pengaturan kata sandi di lapisan host Windows. RDS SQL Server memungkinkan Anda mengonfigurasi kebijakan kata sandi melalui Konsol atau API untuk meningkatkan keamanan dengan mengelola periode validitas kata sandi secara tepat. Secara default, kata sandi akun pengguna tidak pernah kedaluwarsa. Anda dapat secara manual menerapkan kebijakan kata sandi ke akun pengguna. Kata sandi akun Host hanya valid selama 42 hari secara default. Kedaluwarsa kata sandi menyebabkan kegagalan login. Kami menyarankan Anda mengonfigurasi kebijakan kata sandi sebelumnya. Akun Host secara otomatis menerapkan kebijakan ini tanpa konfigurasi manual.

Prasyarat

Instans RDS harus memenuhi persyaratan berikut:

Tipe instans: Tujuan umum atau dedicated (bukan shared)
Metode penagihan: langganan atau bayar sesuai penggunaan (bukan Instans Serverless)
Instans RDS tidak menjalankan SQL Server 2008 R2.

Catatan

Saat membuat akun dan menerapkan kebijakan kata sandi yang telah dikonfigurasi, kata sandi tidak boleh mengandung nama pengguna dari akun tersebut. Sebagai contoh, jika nama pengguna adalah Test240903, kata sandi tidak dapat diatur menjadi Test240903abc.

Langkah 1: Konfigurasikan kebijakan kata sandi untuk akun

Buka halaman Instans. Di bilah navigasi atas, pilih Wilayah tempat instans RDS berada. Kemudian, temukan instans RDS dan klik ID instans tersebut.
Di panel navigasi sisi kiri, klik Accounts.

Klik Account Password Policy, konfigurasikan parameter berikut, pilih kebijakan target, dan kemudian klik OK.

Anda dapat mengonfigurasi salah satu atau kedua parameter Maksimum waktu penggunaan usia kata sandi dan Minimum waktu penggunaan kata sandi.

Parameter	Deskripsi	Rentang nilai (hari)
Maximum Password Age	Periode waktu bahwa sebuah kata sandi dapat digunakan sebelum kata sandi harus diubah.	0~999
Minimum Password Age	Periode waktu bahwa sebuah kata sandi harus digunakan sebelum kata sandi dapat diubah. Catatan Nilai parameter ini tidak boleh lebih besar dari nilai parameter Usia maksimum kata sandi.	0~998

Contoh 1: Konfigurasikan hanya usia maksimum kata sandi

Jika Anda ingin kata sandi valid maksimal selama 60 hari dan mengharuskan pengguna untuk mengubah kata sandi mereka setelah 60 hari, atur Maximum Password Age menjadi 60 hari.

Contoh 2: Konfigurasikan hanya usia minimum kata sandi

Jika Anda ingin kata sandi digunakan minimal selama 30 hari dan mencegah pengguna mengubah kata sandi mereka dalam 30 hari, atur Minimum Password Age menjadi 30 hari.

Contoh 3: Konfigurasikan baik usia maksimum maupun minimum kata sandi

Jika Anda ingin pengguna mengubah kata sandi mereka setiap 90 hari dan menggunakan kata sandi baru minimal selama 30 hari, atur Maximum Password Age menjadi 90 hari dan Minimum Password Age menjadi 30 hari.

Langkah 2: Terapkan kebijakan kata sandi ke akun pengguna

Untuk akun pengguna, Anda perlu secara manual menerapkan kebijakan kata sandi. Akun Host secara otomatis menerapkan kebijakan kata sandi tanpa konfigurasi manual.

Terapkan kebijakan kata sandi saat Anda membuat akun pengguna

Di halaman Account Management > User Accounts, terapkan kebijakan kata sandi saat membuat akun standar atau akun istimewa atau akun database dengan izin SA.

Terapkan kebijakan kata sandi ke akun pengguna yang ada

Di halaman Account Management > User Accounts, terapkan kebijakan kata sandi ke akun yang ada.

FAQ

Berapa waktu kedaluwarsa kata sandi default untuk akun Host RDS SQL Server?

Secara default, akun Host menggunakan kebijakan kata sandi Windows, dengan waktu kedaluwarsa default 42 hari. Jika RDS SQL Server membuat akun logon Host, kata sandi akan kedaluwarsa setelah 42 hari secara default. Setelah kedaluwarsa, Anda perlu mereset kata sandi.

Bagaimana cara memodifikasi waktu kedaluwarsa kata sandi default untuk akun Host RDS SQL Server?

RDS SQL Server mendukung Kebijakan kata sandi kustom. Anda dapat memodifikasi usia maksimum atau minimum kata sandi di Konsol RDS sesuai kebutuhan. Setelah dimodifikasi, akun Host secara otomatis menerapkan kebijakan baru dengan efek segera. Jika akun pengguna juga memiliki kebijakan kata sandi yang diterapkan, kebijakan tersebut juga berlaku segera. Namun, perhatikan bahwa instans bersama, instans SQL Server 2008 R2, dan Instans Serverless tidak mendukung fitur ini.

Bisakah saya mengonfigurasi kebijakan kedaluwarsa kata sandi untuk akun pengguna/host RDS SQL Server melalui Konsol RDS?

Ya. SQL Server itu sendiri tidak mengelola kebijakan kedaluwarsa kata sandi independen tetapi mewarisi pengaturan Windows. Namun, Anda dapat mengonfigurasi kebijakan kata sandi akun melalui Konsol RDS atau masuk langsung ke host Windows untuk memodifikasi kebijakan kata sandi. Namun, perhatikan bahwa instans bersama, instans SQL Server 2008 R2, dan Instans Serverless tidak mendukung fitur ini.

Apakah akun pengguna RDS SQL Server yang dibuat melalui konsol memiliki kebijakan kedaluwarsa kata sandi default? Apakah ada waktu kedaluwarsa?

Secara default, akun pengguna yang dibuat melalui Konsol RDS tidak memiliki kebijakan kata sandi Windows yang diaktifkan. Jika Anda perlu mengaktifkan kebijakan kedaluwarsa kata sandi, Anda dapat memodifikasi CHECK_POLICY dan CHECK_EXPIRATION pengguna menjadi ON. Saat Anda menerapkan kebijakan kata sandi ke pengguna melalui Konsol RDS, CHECK_POLICY dan CHECK_EXPIRATION akun yang sesuai disetel ke ON, sehingga menggunakan kebijakan Windows.

Sebagai contoh, jika Anda mengatur usia minimum kata sandi menjadi 1 hari dan usia maksimum kata sandi menjadi 2 hari melalui Konsol RDS, kebijakan kata sandi Windows yang sesuai akan mengatur Usia minimum kata sandi menjadi 1 hari dan Usia maksimum kata sandi menjadi 2 hari.

Bagaimana cara memeriksa apakah pengguna memiliki kebijakan kata sandi yang diaktifkan di RDS SQL Server? Misalnya, apakah kata sandi telah kedaluwarsa? Kapan terakhir kali kata sandi dimodifikasi?

Anda dapat menggunakan pernyataan pencarian SQL berikut untuk memeriksa status kebijakan kata sandi pengguna dan informasi terkait, termasuk apakah kebijakan diaktifkan, apakah kata sandi telah kedaluwarsa, dan lainnya:

-- Query user password policy status and related information
SELECT 
    name,
    is_policy_checked, -- Whether password complexity policy is enabled
    is_expiration_checked, -- Whether password expiration policy is enabled
    LOGINPROPERTY(name, 'IsMustChange') AS IsMustChange, -- Whether password must be changed at next logon
    LOGINPROPERTY(name, 'IsLocked') AS IsLocked, -- Whether account is locked
    LOGINPROPERTY(name, 'LockoutTime') AS LockoutTime, -- Time when account was locked (NULL if not locked)
    LOGINPROPERTY(name, 'PasswordLastSetTime') AS PasswordLastSetTime, -- Time when password was last modified
    LOGINPROPERTY(name, 'IsExpired') AS IsExpired, -- Whether password has expired
    LOGINPROPERTY(name, 'BadPasswordCount') AS BadPasswordCount, -- Number of incorrect password attempts
    LOGINPROPERTY(name, 'BadPasswordTime') AS BadPasswordTime, -- Time of last incorrect password attempt
    LOGINPROPERTY(name, 'HistoryLength') AS HistoryLength, -- Password history length (prevents reuse of old passwords)
    modify_date -- Time when user account was last modified
FROM 
    sys.sql_logins; -- Query SQL Server login user information from system view

Operasi terkait

Untuk mengonfigurasi kebijakan kata sandi akun untuk instans RDS SQL Server melalui API, lihat ModifyAccountSecurityPolicy - Konfigurasikan kebijakan kata sandi akun SQL Server.
Untuk memodifikasi kebijakan kata sandi akun untuk database RDS SQL Server melalui API, lihat ModifyAccountCheckPolicy - Modifikasi kebijakan kata sandi akun SQL Server.
Untuk menerapkan kebijakan kata sandi RDS SQL Server saat membuat akun database melalui API, lihat CreateAccount - Buat akun database.