Mengelola autentikasi bawaan menggunakan kebijakan sandi

Pilih versi dokumentasi:

Halaman ini menjelaskan cara Anda dapat menyetel dan mengelola kebijakan sandi untuk AlloyDB Omni.

Tentang kebijakan sandi

Jika pengguna database aplikasi Anda melakukan autentikasi dengan AlloyDB Omni menggunakan metode bawaan berbasis sandi, Anda dapat meningkatkan keamanan autentikasi dengan menerapkan sandi kuat. Anda dapat menentukan dan mengaktifkan penerapan sandi dengan menetapkan kebijakan sandi AlloyDB Omni.

Batasan kebijakan sandi

Kebijakan sandi AlloyDB Omni memiliki batasan berikut:

  • Kebijakan sandi berlaku untuk sandi yang dibuat hanya setelah Anda menetapkan kebijakan. Sandi pengguna yang ada tidak terpengaruh oleh perubahan kebijakan sandi.

  • Kebijakan sandi hanya berlaku untuk sandi yang dimasukkan sebagai teks biasa. Kebijakan sandi tidak berlaku untuk sandi yang dimasukkan sebagai string terenkripsi.

Menetapkan kebijakan sandi AlloyDB Omni

Anda menetapkan kebijakan sandi dengan memperbarui parameter sandi Konfigurasi Terpadu Besar (GUC) di file konfigurasi postgresql.conf Anda. Untuk mempelajari cara menyetel parameter GUC, lihat Mengonfigurasi flag database AlloyDB Omni.

Kebijakan sandi untuk AlloyDB Omni dapat mencakup opsi berikut:

  • Larang nama pengguna: mencegah nama pengguna digunakan dalam sandi.

  • Kompleksitas sandi: periksa apakah sandi berisi jumlah karakter huruf kecil, huruf besar, angka, dan non-alfanumerik yang diizinkan. Periksa juga apakah panjang sandi valid.

  • Masa berlaku sandi: pastikan sandi diubah secara berkala.

Untuk mengetahui daftar tanda kebijakan sandi yang didukung AlloyDB Omni, lihat Tanda kebijakan sandi.

Memuat library validasi sandi terlebih dahulu

Agar kebijakan sandi berlaku di AlloyDB Omni, library alloydb_password_validation harus dimuat. Untuk memuat library ini, lakukan hal berikut:

  1. Temukan file konfigurasi postgresql.conf untuk penginstalan AlloyDB Omni Anda dan buka di editor teks.

  2. Temukan baris shared_preload_libraries dan periksa apakah baris tersebut menyertakan alloydb_password_validation. Jika tidak ada, Anda harus menambahkannya. Setelah selesai, baris shared_preload_libraries Anda akan terlihat seperti berikut:

    shared_preload_libraries='google_columnar_engine,google_job_scheduler,google_storage,alloydb_password_validation'

Menerapkan kerumitan sandi

Untuk menerapkan kebijakan kompleksitas sandi, lakukan hal berikut:

  1. Verifikasi file postgresql.conf Anda memuat library validasi sandi terlebih dahulu.

  2. Tetapkan password.enforce_complexity flag ke ON.

  3. Gunakan flag kebijakan sandi untuk menentukan kebijakan sandi Anda.

Misalnya, untuk menerapkan kebijakan sandi yang menyatakan bahwa sandi harus berisi setidaknya satu huruf besar, satu angka, dan memiliki panjang minimal 10 karakter, Anda menetapkan hal berikut dalam file postgresql.conf:

  • password.enforce_complexity = ON
  • password.min_uppercase_letters = 1
  • password.min_numerical_chars = 1
  • password.min_pass_length = 10

Setelah tanda ini disetel, upaya untuk menyetel sandi pengguna database yang tidak mematuhi kebijakan sandi ini akan gagal. Misalnya, dengan kebijakan ini ditetapkan, perintah klien psql berikut gagal karena sandi foo kurang dari 10 karakter dan tidak berisi angka atau huruf kapital.

CREATE USER USERNAME WITH PASSWORD foo;

Menerapkan masa berlaku sandi

Untuk menerapkan kebijakan masa berlaku sandi, lakukan hal berikut:

  1. Verifikasi file postgresql.conf Anda memuat library validasi sandi terlebih dahulu.

  2. Tetapkan password.enforce_expiration flag ke ON.

  3. Tetapkan password.expiration_in_days flag ke jumlah hari setelah sandi ditetapkan hingga masa berlakunya berakhir.

  4. Tetapkan password.notify_expiration_in_days flag ke jumlah hari sebelum masa berlaku sandi habis saat pengguna mulai menerima notifikasi habis masa berlaku sandi.

Misalnya, untuk menerapkan kebijakan sandi yang menyatakan bahwa masa berlaku sandi berakhir setelah 30 hari dan pengguna akan diberi tahu 15 hari sebelum masa berlaku sandi mereka berakhir, Anda harus menetapkan hal berikut dalam file postgresql.conf:

  • password.enforce_expiration = ON
  • password.expiration_in_days = 30
  • password.notify_expiration_in_days = 15

Jika masa berlaku sandi pengguna berakhir, pengguna tersebut tidak dapat terhubung ke AlloyDB Omni. Untuk mereset sandi pengguna, lakukan hal berikut:

  1. Terhubung ke AlloyDB Omni menggunakan psql. Misalnya, jika Anda menginstal AlloyDB Omni menggunakan Docker, jalankan perintah berikut:

    sh docker exec -it CONTAINER-NAME psql -h localhost -U postgres

  2. Di prompt postgres=#, jalankan perintah berikut:

    ALTER USER USERNAME WITH 'NEW-PASSWORD';

Untuk mengetahui informasi selengkapnya tentang cara mengubah sandi pengguna, lihat ALTER ROLE dalam dokumentasi PostgreSQL.

Menerapkan autentikasi berbasis sandi untuk akun administrator internal

Penerapan sandi untuk akun administrator mengotomatiskan dan memusatkan rotasi dan update sandi sistem penting yang aman, biasanya menggunakan alat eksternal seperti Vault. Fitur ini memungkinkan kepatuhan terhadap kebijakan zero trust dengan menerapkan autentikasi berbasis sandi untuk akun administrator penting yang digunakan AlloyDB Omni untuk mengelola berbagai proses internal.

Penerapan sandi didukung untuk akun database berikut:

  • alloydbadmin: akun superuser untuk pengontrol Kubernetes (K8s).
  • alloydbmonitor: akun hanya baca untuk mengumpulkan metrik database.

Untuk mengaktifkan penerapan, Anda mengonfigurasi spesifikasi cluster database untuk mereferensikan objek secret Kubernetes yang menyimpan sandi untuk akun ini. Proses ini meningkatkan keamanan dan mengurangi overhead manual yang diperlukan untuk mengelola kredensial akun administrasi internal database Anda.

Mengaktifkan penerapan sandi

Untuk mengaktifkan penerapan sandi saat Anda membuat cluster, ikuti langkah-langkah berikut:

  1. Pastikan Anda memiliki cluster Kubernetes yang menjalankan operator AlloyDB Omni Kubernetes 1.7.0 atau yang lebih baru.
  2. Tambahkan atribut systemUserPasswordRefs ke spesifikasi DBCluster. Atribut ini harus berisi pasangan nilai kunci yang menautkan setiap nama akun sistem internal—misalnya, alloydbadmin dan alloydbmonitor—ke nama objek secret Kubernetes yang sesuai.

  3. Sebelum membuat database, pastikan secret Kubernetes yang dirujuk berisi sandi awal untuk pengguna dan format atribut mengikuti struktur ini:

    systemUserPasswordRefs: USER_NAME:USER_NAME-PASSWORD-DATABASE_NAME

Mengelola rotasi sandi dengan aman

Setelah Anda mengaktifkan penerapan, gunakan alat eksternal seperti Vault untuk mengelola rotasi sandi yang sedang berlangsung dengan aman.

  1. Perbarui sandi database. Alat eksternal memperbarui sandi untuk akun sistem secara langsung di AlloyDB Omni.

  2. Perbarui secret Kubernetes. Alat eksternal kemudian memperbarui objek secret Kubernetes terkait dengan sandi baru.

    • Konten objek rahasia harus berupa pasangan nilai kunci dengan kunci adalah nama database, dan nilai adalah sandi baru yang dienkode base64.

    • Sebaiknya gunakan konvensi berikut untuk nama secret:

      USER_NAME-pw-DATABASE_NAME

    Operator AlloyDB Omni mendeteksi perubahan pada secret Kubernetes dan otomatis memperbarui cache sandi yang digunakan oleh agen database yang berjalan di pod database. Kemudian, agen akan menggunakan sandi yang di-cache baru ini untuk semua operasi database mendatang.

Menonaktifkan penerapan sandi untuk pengguna tertentu

Untuk menonaktifkan penerapan sandi untuk akun sistem tertentu, Anda harus menghapus pengguna tersebut dari daftar systemUserPasswordRefs dalam spesifikasi DBCluster.

  1. Hapus pengguna. Dalam spesifikasi DBCluster, hapus pasangan nilai kunci yang sesuai dengan pengguna yang ingin Anda kecualikan dari penerapan sandi. Misalnya, jika Anda menonaktifkannya untuk alloydbadmin, hapus alloydbadmin: alloydbadmin-pw-dbcluster-sample.

  2. Terapkan spesifikasi DBCluster yang telah diubah menggunakan kubectl apply.

    Setelah Anda menerapkan spesifikasi yang diperbarui, pemberlakuan sandi akan dinonaktifkan untuk pengguna tersebut.

Jangan izinkan nama pengguna dalam sandi

Untuk menerapkan kebijakan yang mencegah sandi berisi nama pengguna, lakukan hal berikut:

  1. Verifikasi file postgresql.conf Anda memuat library validasi sandi terlebih dahulu.

  2. Tetapkan password.enforce_password_does_not_contain_username ke ON.

Misalnya, untuk memastikan bahwa sandi tidak berisi nama pengguna sebagai substring, Anda menetapkan hal berikut dalam file postgresql.conf:

  • password.enforce_password_does_not_contain_username = ON

Jika tanda ini disetel, operasi berikut akan gagal karena sandi alex-secret berisi nama pengguna alex:

CREATE USER alex WITH PASSWORD 'alex-secret';

Langkah berikutnya