Comment configurer la politique de mot de passe pour mon instance RDS for SQL Server ?

Brève description

La politique de mot de passe et les intervalles d'expiration sont configurés au niveau de l'hôte (système d'exploitation, couche Microsoft Windows). Amazon RDS est un service géré. Il n'est donc pas possible de modifier la politique de mot de passe en raison de l'accès restreint au système d'exploitation.

La politique de mot de passe est activée par défaut sur RDS for SQL Server lors d'une nouvelle connexion ou d'une modification de connexion à l'aide de SQL Server Management Studio (SSMS) ou T-SQL.

Solution

L'instance RDS for SQL Server n'est pas jointe à un Active Directory

Si l'instance n'est pas jointe à un Active Directory, les politiques sont définies sur le système d'exploitation Windows. Vous ne pouvez pas modifier ces politiques. Les valeurs configurées dans la politique de mot de passe Windows sont les suivantes :

• Imposer l'historique des mots de passe : 0 mot mémorisé
• Longueur minimale du mot de passe : 0 caractère
• Le mot de passe doit répondre à des exigences de complexité : désactivé
• **Enregistrer les mots de passe à l'aide d'un cryptage :**désactivé
• Age minimum du mot de passe : 0 jour
• Âge maximum du mot de passe : 42 jours

Remarque : une politique de verrouillage de compte n'est pas possible pour les instances RDS for SQL Server qui ne sont pas jointes à un Active Directory. Une politique de verrouillage de compte nécessite l'accès au système d'exploitation sous-jacent. Amazon RDS étant un service géré, l'accès au niveau de l'hôte n'est pas disponible.

L'instance RDS pour SQL Server est jointe à un Active Directory

Vous pouvez appliquer et modifier les politiques de mot de passe si vous utilisez l'authentification Windows pour RDS for SQL Server. Cela s'applique uniquement à l'authentification Windows. L'authentification SQL utilise la politique de mot de passe locale définie dans la section précédente, qu'elle soit jointe ou non à un domaine.

Exécutez la requête suivante afin d'identifier les connexions SQL Server configurées avec la politique de mot de passe et l'expiration de mot de passe sur l'instance :

select name, type_desc, create_date, modify_date, is_policy_checked,

       is_expiration_checked,  isnull(loginproperty(name,'DaysUntilExpiration'),'-') Days_to_Expire,  is_disabled

from sys.sql_logins

Les options suivantes sont disponibles pour l'application de politique de mot de passe et l'expiration de mot de passe pour les connexions SQL Server :

Remarque : ces options concernent uniquement les instances RDS for SQL Server jointes à un domaine.

• La colonne policy_checked indique 0 : la connexion SQL Server n'applique aucune politique de mot de passe.
• La colonne policy_checked indique 1 et is_expiration_checked indique 0 : la connexion SQL Server applique le verrouillage et la complexité de mot de passe, mais pas l'expiration de mot de passe.
• La colonne policy_checked et is_expiration_checked indiquent 1 : la connexion SQL Server applique le verrouillage, la complexité et l'expiration de mot de passe.

Si policy_checked et is_expiration_checked indiquent 0, la politique s'applique à l'utilisateur principal de votre instance de base de données RDS for SQL Server. Cela indique que la complexité de mot de passe, les paramètres de verrouillage et l'expiration de mot de passe ne sont pas définis pour l'utilisateur principal. Ainsi, l'utilisateur principal n'expire pas dans RDS for SQL Server. Si votre utilisateur principal perd l'accès, vous pouvez réinitialiser le mot de passe. Pour plus d’informations, veuillez consulter la section Pourquoi l'utilisateur principal de mon instance RDS for SQL Server a-t-il perdu l'accès et comment puis-je le récupérer ?