AWS re:Postを使用することにより、以下に同意したことになります AWS re:Post 利用規約
AWS re:Postre:Post

RDS for SQL Server インスタンスのパスワードポリシーを設定するにはどうすればよいですか?

所要時間2分
0

Amazon Relational Database Service (Amazon RDS) for Microsoft SQL Server インスタンスのパスワードポリシーを設定する必要があります。これを実行するにはどうすればよいですか?

簡単な説明

パスワードポリシーと有効期限の間隔は、ホストレベル (OS、Microsoft Windows レイヤー) で設定されます。Amazon RDS はマネージドサービスです。したがって、オペレーティングシステムに対するアクセスが制限されているため、パスワードポリシーを変更することはできません。

RDS for SQL Server では、SQL Server Management Studio (SSMS) または T-SQL を使用して新規ログインまたは変更すると、パスワードポリシーがデフォルトでオンになります。

解決方法

RDS for SQL Server インスタンスが Active Directory に参加していない

インスタンスが Active Directory に参加していない場合、ポリシーは Windows オペレーティングシステムで定義されます。これらのポリシーを変更することはできません。Windows パスワードポリシーで設定されている値は次のとおりです。

  • [Enforce password history] (パスワード履歴を適用): 0 個のパスワードが記憶されます
  • [Minimum password length] (パスワードの最小文字数): 0 文字
  • [Password must meet complexity requirements] (パスワードは複雑さの要件を満たしている必要があります): 無効
  • [Store passwords using reversible encryption] (可逆暗号化を使用してパスワードを保存): 無効
  • [Minimum password age] (パスワードの最小有効期間): 0 日
  • [Maximum password age] (パスワードの最大有効期間): 42 日

注: アカウントロックアウトポリシーは、Active Directory に参加していない RDS for SQL Server インスタンスでは使用できません。アカウントロックアウトポリシーには、基盤となる OS へのアクセスが必要です。Amazon RDS はマネージドサービスであるため、ホストレベルのアクセスは利用できません。

RDS for SQL Server インスタンスが Active Directory に参加している

Windows Authentication for RDS for SQL Serve を使用している場合は、パスワードポリシーを適用および変更できます。これは Windows Authentication にのみ適用されます。SQL Authentication は、ドメインに参加しているかどうかにかかわらず、前のセクションで定義したローカルパスワードポリシーを使用します。

次のクエリを実行して、インスタンスでパスワードポリシーとパスワードの有効期限を使用して設定された SQL Server ログインを特定します。

select name, type_desc, create_date, modify_date, is_policy_checked,

       is_expiration_checked,  isnull(loginproperty(name,'DaysUntilExpiration'),'-') Days_to_Expire,  is_disabled

from sys.sql_logins

SQL Server ログインのパスワードポリシーの適用およびパスワードの有効期限に使用できるオプションは次のとおりです。

注: これらのオプションは、ドメインに参加している RDS for SQL Server インスタンスにのみ適用されます。

  • [policy_checked] 列は [0] です。SQL Server ログインでは、パスワードポリシーは一切適用されません。
  • [policy_checked] 列は [1] で、[is_expiration_checked][0] です。SQL Server ログインでは、パスワードの複雑さとロックアウトが適用されますが、パスワードの有効期限は適用されません。
  • [policy_checked] 列と [is_expiration_checked] はどちらも [1] です。SQL Server ログインでは、パスワードの複雑さ、ロックアウト、パスワードの有効期限が適用されます。

[policy_checked][is_expiration_checked] がどちらも [0] の場合、ポリシーは RDS for SQL Server DB インスタンスのプライマリユーザー用です。これは、パスワードの複雑さ、ロックアウト設定、およびパスワードの有効期限がプライマリユーザー用に設定されていないことを示しています。そのため、プライマリユーザーは RDS for SQL Server で期限切れになることはありません。プライマリユーザーがアクセスできなくなった場合は、パスワードをリセットできます。詳細については、「RDS for SQL Server インスタンスのマスターユーザーがアクセスできなくなりました、その理由とアクセス権を回復する方法を教えてください」を参照してください。

トピック
データベース移行と近代化分析
タグ
Microsoft SQL ServerAmazon Relational Database Service
言語
日本語
AWS公式
AWS公式更新しました 1年前
コメントはありません

関連するコンテンツ