本頁面由 Cloud Translation API 翻譯而成。

使用密碼政策管理內建驗證

選取說明文件版本：

本頁面說明如何為 AlloyDB Omni 設定及管理密碼政策。

密碼政策簡介

如果應用程式的資料庫使用者是透過內建的密碼驗證方法，使用 AlloyDB Omni 進行驗證，您可以強制使用高強度密碼，進一步確保驗證安全。您可以設定 AlloyDB Omni 密碼政策，定義並啟用密碼強制執行功能。

AlloyDB Omni 密碼政策有以下限制：

如要設定密碼政策，請更新 postgresql.conf 設定檔中的 Grand Unified Configuration (GUC) 密碼參數。如要瞭解如何設定 GUC 參數，請參閱「設定 AlloyDB Omni 資料庫旗標」。

AlloyDB Omni 的密碼政策可包含下列選項：

如需 AlloyDB Omni 支援的密碼政策旗標清單，請參閱「密碼政策旗標」。

如要在 AlloyDB Omni 中套用密碼政策，必須載入 alloydb_password_validation 程式庫。如要載入這個程式庫，請執行下列操作：

找出 AlloyDB Omni 安裝的 postgresql.conf 設定檔，並在文字編輯器中開啟。
找出 shared_preload_libraries 行，並檢查是否包含 alloydb_password_validation。如果沒有，請新增。完成後，shared_preload_libraries 行會類似如下：
```
shared_preload_libraries='google_columnar_engine,google_job_scheduler,google_storage,alloydb_password_validation'
```

如要強制執行密碼複雜度政策，請按照下列步驟操作：

舉例來說，如要強制執行密碼政策，規定密碼必須包含至少一個大寫字母、一個數字，且長度至少為 10 個字元，請在 postgresql.conf 檔案中設定下列項目：

設定這些標記後，如果嘗試設定的資料庫使用者密碼不符合這項密碼政策，就會失敗。舉例來說，如果設定這項政策，下列 psql 用戶端指令就會失敗，因為密碼 foo 少於 10 個字元，且不含數字或大寫字元。

CREATE USER USERNAME WITH PASSWORD foo;

如要強制執行密碼到期政策，請按照下列步驟操作：

舉例來說，如要強制執行密碼政策，規定密碼會在 30 天後到期，且系統會在密碼到期前 15 天通知使用者，您必須在 postgresql.conf 檔案中設定下列項目：

如果使用者密碼過期，就無法連線至 AlloyDB Omni。如要重設使用者的密碼，請按照下列步驟操作：

使用 psql 連線至 AlloyDB Omni。舉例來說，如果您使用 Docker 安裝 AlloyDB Omni，請執行下列指令：
```
docker exec -it CONTAINER-NAME psql -h localhost -U postgres
```
在 postgres=# 提示字元中執行下列指令：
```
ALTER USER USERNAME WITH 'NEW-PASSWORD';
```

如要進一步瞭解如何變更使用者密碼，請參閱 PostgreSQL 說明文件中的ALTER ROLE。

如要強制執行政策，禁止密碼包含使用者名稱，請按照下列步驟操作：

舉例來說，如要確保密碼不含使用者名稱做為子字串，請在 postgresql.conf 檔案中設定以下內容：

如果設定這個標記，下列作業就會失敗，因為密碼 alex-secret 包含使用者名稱 alex：

CREATE USER alex WITH PASSWORD 'alex-secret';