Seguridad de la cuenta de la base de datos
Requisitos de seguridad de la contraseña
- Para obtener información acerca de los requisitos de seguridad de la contraseña de la base de datos en la consola RDS, consulte la tabla de configuración de la base de datos en Compra de una instancia de base de datos.
- RDS tiene una política de seguridad de contraseñas para las cuentas de base de datos creadas por el usuario. Las contraseñas deben:
- Constar de al menos ocho caracteres.
- Debe contener letras, dígitos y caracteres especiales.
- No contiene el nombre de usuario.
Encriptación SSL
SSL está habilitado de forma predeterminada para instancias de base de datos de RDS for PostgreSQL y no se puede deshabilitar.
Sugerencias para crear usuarios
Cuando ejecuta CREATE USER o CREATE ROLE, se recomienda especificar un tiempo de caducidad de contraseña con el parámetro VALID UNTIL 'timestamp' (timestamp indica el tiempo de caducidad).
Sugerencias para acceder a bases de datos
Al acceder a un objeto de base de datos, se recomienda especificar el nombre del esquema del objeto de base de datos para evitar ataques de troyanos.
Descripción de la cuenta
Para proporcionar servicios O&M, el sistema crea automáticamente cuentas de sistema al crear instancias de base de datos de RDS for PostgreSQL. Estas cuentas del sistema no están disponibles para usted.
Si intenta eliminar, cambiar el nombre y las contraseñas o permisos de estas cuentas, se producirá un error.
- rdsAdmin: cuenta de gestión, que tiene los permisos de superusuario y se utiliza para consultar y modificar información de instancia de base de datos, rectificar errores, migrar datos y restaurar datos.
- pg_execute_server_program: cuenta que permite a los usuarios que ejecutan la base de datos ejecutar programas en el servidor de base de datos para cooperar con COPY y otras funciones que permiten la ejecución de programas del servidor.
- pg_read_all_settings: cuenta que lee todas las variables de configuración, incluso aquellas que normalmente solo son visibles para el superusuario.
- pg_read_all_stats: cuenta que lee todas las vistas de pg_stat_* y utiliza varias estadísticas relacionadas con la extensión, incluso aquellas que generalmente son visibles solo para el superusuario.
- pg_stat_scan_tables: cuenta que ejecuta una función de monitorización que puede obtener un ACCESS SHARE lock en la tabla (y puede mantener el bloqueo durante mucho tiempo).
- pg_signal_backend: cuenta que envía una señal (por ejemplo, una señal para cancelar una operación de consulta o una señal de aborto) a otro backend.
- pg_read_server_files: cuenta que permite a un usuario de base de datos usar COPY y otras funciones de acceso a archivos para leer archivos desde cualquier directorio accesible en un servidor.
- pg_write_server_files: cuenta que permite a un usuario de base de datos usar COPY y otras funciones de acceso a archivos para escribir archivos en cualquier directorio accesible en un servidor.
- pg_monitor: cuenta que lee y ejecuta varias vistas y funciones de monitorización. Es miembro de pg_read_all_settings, pg_read_all_stats y pg_stat_scan_tables.
- rdsRepl: cuenta de replicación, que se utiliza para sincronizar datos de instancias de base de datos primarias a instancias de base de datos en espera o réplicas de lectura.
- rdsBackup: cuenta de copia de respaldo, que se utiliza para la copia de respaldo de backend.
- rdsMetric: cuenta de monitoreo de métricas, que es utilizada por el organismo de control para recopilar datos de estado de la base de datos.
- __rds_pg_profile_user_: cuenta de monitoreo de métricas, que es utilizada por el plugin de Pro pg_profile_ para recopilar datos de estado de la base de datos. Esta cuenta solo está disponible para la última versión de RDS for PostgreSQL 12 y se crea automáticamente después de crear pg_profile_pro.
pg_profile_pro no es compatible temporalmente debido a sus defectos. Por lo tanto, esta cuenta no se creará automáticamente para nuevas instancias.