Cloud SQL 内置数据库身份验证

本页面介绍了内置身份验证在 Cloud SQL 实例上的工作原理,以及数据库管理员如何为本地数据库用户设置密码政策。

简介

身份验证是验证尝试访问实例的用户身份的过程。Cloud SQL 将以下类型的身份验证用于数据库用户:

  • 数据库的内置身份验证:使用用户名和密码对本地数据库用户进行身份验证。当前页面介绍了此类身份验证。
  • IAM 数据库身份验证:使用 IAM 对用户进行身份验证。如需了解详情,请参阅 Cloud SQL IAM 数据库身份验证概览

虽然 IAM 数据库身份验证更安全可靠,但您可能想要使用内置身份验证或使用同时包含这两种身份验证类型的混合身份验证模型。

您可以在数据库中以本地方式创建和管理本地数据库用户,以允许特定人员或应用访问数据库。此类数据库用户拥有其在数据库中创建的对象。Cloud SQL 提供强大的内置密码强制执行功能。您可以通过密码政策定义并启用此类强制执行。

实例密码政策

您可以在创建实例时在实例级层设置密码政策。

实例的密码政策可能包括以下选项:

  • 最短长度:指定密码必须包含的字符数下限。
  • 密码复杂度:检查密码是否为小写字母、大写字母、数字和非字母数字字符的组合。
  • 限制密码重用:指定不能重复使用的先前密码数量。

    仅受 Cloud SQL for MySQL 8.0 支持。

  • 禁止使用用户名:禁止在密码中使用用户名。

您需要在实例级层明确启用密码政策。您稍后可以通过修改实例来对其进行修改。

用户密码政策

创建用户时,您可以设置以下密码使用限制:

  • 设置将来会到期的密码:指定密码将在多少天后到期并且您需要创建新密码。
  • 失败的尝试达到规定次数后锁定用户:指定用户输入错误密码的最大次数,在此之后账号将被锁定。
  • 更改密码时需要输入当前密码:在尝试更改密码时要求您输入现有密码。

您还可以修改用户密码政策。

当您列出实例的用户时,可以查看用户的状态(指示用户密码是否到期或用户是否被锁定)。您可以在“用户”页面中解锁用户并更改密码。

用于读取副本的 Cloud SQL 内置身份验证

您可以在主实例上管理副本的密码政策。您无法单独修改读取副本的密码政策。

升级实例时,您需要重新启用实例密码政策以及相应的政策选项。

后续步骤