¿Cómo puedo configurar la política de contraseñas de mi instancia de RDS para SQL Server?

Descripción breve

La política de contraseñas y los intervalos de caducidad se configuran a nivel de host (SO, capa de Microsoft Windows). Amazon RDS es un servicio administrado. Por lo tanto, no es posible modificar la política de contraseñas debido al acceso restringido al sistema operativo.

La política de contraseñas se activa de forma predeterminada en RDS para SQL Server cuando se crea un nuevo inicio de sesión o se modifica mediante SQL Server Management Studio (SSMS) o T-SQL.

Resolución

La instancia de RDS para SQL Server no está unida a un Active Directory

Si la instancia no está unida a un Active Directory, las políticas se definen en el sistema operativo Windows. Estas políticas no se pueden modificar. Los siguientes son los valores configurados en la política de contraseñas de Windows:

• Aplicación del historial de contraseñas: 0 contraseñas recordadas
• Longitud mínima de la contraseña: 0 caracteres
• La contraseña debe cumplir los requisitos de complejidad: deshabilitado
• Almacenamiento de contraseñas mediante encriptación reversible: deshabilitado
• Antigüedad mínima de la contraseña: 0 días
• Antigüedad máxima de la contraseña: 42 días

Nota: No es posible aplicar una política de bloqueo de cuentas a las instancias de RDS para SQL Server que no están asociadas a un Active Directory. Una política de bloqueo de cuentas requiere el acceso al sistema operativo subyacente. Amazon RDS es un servicio gestionado, por lo que el acceso a nivel de host no está disponible.

La instancia de RDS para SQL Server se asocia a un Active Directory

Puede aplicar y modificar las políticas de contraseñas si utiliza la Autenticación de Windows de RDS para SQL Server. Esto se aplica únicamente a la autenticación de Windows. La autenticación SQL utiliza la política de contraseñas local definida en la sección anterior independientemente de si está unida a un dominio o no.

Ejecute la siguiente consulta para identificar los inicios de sesión de SQL Server configurados con la política de contraseñas y la caducidad de las mismas en la instancia:

select name, type_desc, create_date, modify_date, is_policy_checked,

       is_expiration_checked,  isnull(loginproperty(name,'DaysUntilExpiration'),'-') Days_to_Expire,  is_disabled

from sys.sql_logins

A continuación encontrará las opciones disponibles para la aplicación de la política de contraseñas y la caducidad de las mismas para los inicios de sesión de SQL Server:

Nota: Estas opciones son solo para las instancias de RDS para SQL Server que están unidas a un dominio.

• La columna policy_checked es 0: el inicio de sesión de SQL Server no aplica ninguna política de contraseñas.
• La columna policy_checked es 1 y is_expiration_checked es 0: el inicio de sesión de SQL Server aplica la complejidad y el bloqueo de la contraseña, pero no la caducidad de la contraseña.
• La columna policy_checked y is_expiration_checked son ambas 1: el inicio de sesión de SQL Server aplica la complejidad, el bloqueo y la caducidad de la contraseña.

Si tanto policy_checked como is_expiration_checked son 0, la política es para el usuario principal de la instancia de base de datos de RDS para SQL Server. Esto indica que la complejidad de la contraseña, la configuración del bloqueo y la caducidad de la contraseña no están configuradas para el usuario principal. Así, el usuario principal no caduca en RDS para SQL Server. Si el usuario principal pierde el acceso, puede restablecer la contraseña. Para obtener más información consulte ¿Por qué el usuario maestro de mi instancia de RDS para SQL Server ya no tiene acceso y cómo puedo recuperarlo?