¿Cómo puedo configurar la política de contraseñas de mi instancia de RDS para SQL Server?

Última actualización: 13/10/2022

Necesito configurar una política de contraseñas para mi Amazon Relational Database Service (Amazon RDS) en una instancia de Microsoft SQL Server. ¿Cómo lo hago?

Descripción corta

La política de contraseñas y los intervalos de caducidad se configuran a nivel de host (SO, capa de Windows). Amazon RDS es un servicio administrado. Por lo tanto, no es posible modificar la política de contraseñas debido al acceso restringido al sistema operativo. 

La política de contraseñas se activa de forma predeterminada en RDS para SQL Server cuando se crea un nuevo inicio de sesión o se modifica un inicio de sesión mediante SQL Server Management Studio (SSMS) o T-SQL.

Resolución

La instancia de RDS para SQL Server no está unida a un Active Directory

Si la instancia no está unida a un AD, las políticas se definen en el sistema operativo Windows. Estas políticas no se pueden modificar. Los siguientes son los valores configurados en la política de contraseñas de Windows:

  • Aplicación del historial de contraseñas: 0 contraseñas recordadas
  • Longitud mínima de la contraseña: 0 caracteres
  • La contraseña debe cumplir los requisitos de complejidad: deshabilitado
  • Almacenamiento de contraseñas mediante encriptación reversible: deshabilitado
  • Antigüedad mínima de la contraseña: 0 días
  • Antigüedad máxima de la contraseña: 42 días

Nota: No es posible aplicar una política de bloqueo de cuentas a las instancias de RDS para SQL Server que no están asociadas a un AD. Una política de bloqueo de cuentas requiere el acceso al sistema operativo subyacente. Amazon RDS es un servicio gestionado, por lo que el acceso a nivel de host no está disponible.

La instancia de RDS para SQL Server se asocia a un Active Directory

Puede aplicar y modificar las políticas de contraseñas si utiliza la Autenticación de Windows de RDS para SQL Server. Si la instancia de RDS está asociada a un dominio, la política del dominio tiene prioridad sobre la política de contraseñas de RDS predeterminada.

Ejecute la siguiente consulta para identificar los inicios de sesión de SQL configurados con la política de contraseñas y la caducidad de las mismas en la instancia:

select name, type_desc, create_date, modify_date, is_policy_checked,

       is_expiration_checked,  isnull(loginproperty(name,'DaysUntilExpiration'),'-') Days_to_Expire,  is_disabled

from sys.sql_logins

A continuación encontrará las opciones disponibles para la aplicación de la política de contraseñas y la caducidad de las mismas para los inicios de sesión de SQL Server:

Nota: Estas opciones son solo para las instancias de RDS que están unidas a un dominio.

  • La columna policy_checked es 0: el inicio de sesión de SQL Server no aplica ninguna política de contraseñas.
  • La columna policy_checked es 1 y is_expiration_checked es 0: el inicio de sesión de SQL Server aplica la complejidad y el bloqueo de la contraseña, pero no la caducidad de la contraseña.
  • La columna policy_checked y is_expiration_checked son ambas 1: el inicio de sesión de SQL Server aplica la complejidad, el bloqueo y la caducidad de la contraseña.

Si tanto policy_checked como is_expiration_checked son 0, la política es para el usuario maestro de la instancia de base de datos de RDS para SQL Server. Esto indica que la complejidad de la contraseña, la configuración del bloqueo y la caducidad de la contraseña no están configuradas para el usuario maestro. Así, el usuario maestro no caduca en RDS para SQL Server. Si el usuario principal pierde el acceso, puede restablecer la contraseña. Para obtener más información consulte ¿Por qué el usuario maestro de mi instancia de RDS para SQL Server ya no tiene acceso y cómo puedo recuperarlo?


¿Le resultó útil este artículo?


¿Necesita asistencia técnica o con la facturación?