AWS RDS 파라미터 중 암호 정책(password 정책)

1. 개요

RDS의 경우 패스워드 정책을 파라미터로 설정할 수 있다. 그 중 패스워드만 정리해보았다.

 

 

2. 정책 

1 캐싱(caching_sha2_password) 관련

• caching_sha2_password_auto_generate_rsa_keys
  • 기본값: 1
  • 유형: Static, Boolean
  • 수정: 수정 불가
  • 역할: caching_sha2_password 플러그인이 RSA 키를 자동 생성할지 여부를 결정합니다. 1이면 자동 생성이 활성화됩니다.
• caching_sha2_password_private_key_path
  • 기본값: private_key.pem
  • 유형: Static, String
  • 수정: 수정 불가
  • 역할: RSA 암호화에 사용되는 개인 키 파일의 경로를 지정합니다.
• caching_sha2_password_public_key_path
  • 기본값: public_key.pem
  • 유형: Static, String
  • 수정: 수정 불가
  • 역할: RSA 암호화에 사용되는 공개 키 파일의 경로를 지정합니다.

---

2 기본 인증 플러그인 및 관련 설정

• default_authentication_plugin
  • 기본값: mysql_native_password
  • 유형: Static, String
  • 수정: 수정 불가
  • 역할: 새 계정을 생성할 때 기본으로 사용할 인증 플러그인을 지정합니다.

---

3 암호 만료 및 재사용 관련

• default_password_lifetime
  • 기본값: 0
  • 유형: Dynamic, Integer
  • 수정: 수정 가능
  • 역할: 암호의 유효 기간(일)을 설정합니다. 0이면 암호 만료 기능이 비활성화됩니다.
• disconnect_on_expired_password
  • 기본값: (표기 없음 – 기본 엔진 설정 적용)
  • 유형: Static, Boolean
  • 수정: 수정 가능
  • 역할: 암호가 만료된 계정에 대해 연결을 자동으로 종료할지 여부를 결정합니다.
• mysql_native_password_proxy_users
  • 기본값: (표기 없음 – 기본 엔진 설정 적용)
  • 유형: Dynamic, Boolean
  • 수정: 수정 가능
  • 역할: mysql_native_password 플러그인이 프록시 사용자(proxy users)를 지원할지 여부를 결정합니다.
• password_history
  • 기본값: 0
  • 유형: Dynamic, Integer
  • 수정: 수정 가능
  • 역할: 이전에 사용한 암호의 개수를 기록하여 재사용을 방지합니다. 0이면 암호 재사용 제한이 없습니다.
• password_reuse_interval
  • 기본값: 0
  • 유형: Dynamic, Integer
  • 수정: 수정 가능
  • 역할: 암호 변경 후 재사용까지의 최소 일수(기간)를 지정합니다. 0이면 제한이 없습니다.
• report_password
  • 기본값: (표기 없음 – Engine default)
  • 유형: Static, String
  • 수정: 수정 불가
  • 역할: 암호 관련 보고 메시지 형식이나 기능을 제어하는 데 사용되며, 기본 엔진 설정이 적용됩니다.

---

4 SHA-256 관련 (sha256_password)

• sha256_password_auto_generate_rsa_keys
  • 기본값: (표기 없음 – Engine default)
  • 유형: Static, Boolean
  • 수정: 수정 불가
  • 역할: sha256_password 플러그인이 RSA 키를 자동 생성할지 결정합니다.
• sha256_password_private_key_path
  • 기본값: private_key.pem
  • 유형: Static, String
  • 수정: 수정 불가
  • 역할: sha256_password 플러그인에서 사용할 RSA 개인 키 파일의 경로입니다.
• sha256_password_proxy_users
  • 기본값: (표기 없음 – Engine default)
  • 유형: Dynamic, Boolean
  • 수정: 수정 가능
  • 역할: sha256_password 플러그인이 프록시 사용자 기능을 지원할지 여부를 결정합니다.
• sha256_password_public_key_path
  • 기본값: public_key.pem
  • 유형: Static, String
  • 수정: 수정 불가
  • 역할: sha256_password 플러그인에서 사용할 RSA 공개 키 파일의 경로입니다.

---

5 validate_password 플러그인 관련

• validate_password_dictionary_file
  • 기본값: (빈 값 – 표기 없음)
  • 유형: Static, String
  • 수정: 수정 불가
  • 역할: 암호 검증 시 사용할 사전 파일의 경로를 지정합니다. 기본값이 빈 문자열이면 사전 검증은 수행되지 않습니다.
• validate_password_length
  • 기본값: (보통 8로 설정됨 – Engine default)
  • 유형: Dynamic, Integer
  • 수정: 수정 가능
  • 역할: 암호의 최소 길이를 지정합니다.
• validate_password_mixed_case_count
  • 기본값: (보통 1)
  • 유형: Dynamic, Integer
  • 수정: 수정 가능
  • 역할: 암호에 요구되는 대문자와 소문자의 최소 개수를 지정합니다.
• validate_password_number_count
  • 기본값: (보통 1)
  • 유형: Dynamic, Integer
  • 수정: 수정 가능
  • 역할: 암호에 포함되어야 할 최소 숫자 개수를 지정합니다.
• validate_password_policy
  • 기본값: (보통 MEDIUM – Engine default; 내부적으로 숫자 1로 표현됨)
  • 유형: Dynamic, String
  • 수정: 수정 가능
  • 역할: 암호 검증 강도를 결정합니다. LOW는 길이만 체크, MEDIUM은 길이와 숫자/대소문자/특수문자 조건을, STRONG은 추가적으로 사전 파일 검사를 수행합니다.
• validate_password_special_char_count
  • 기본값: (보통 1)
  • 유형: Dynamic, Integer
  • 수정: 수정 가능
  • 역할: 암호에 요구되는 특수문자(비알파벳/숫자)의 최소 개수를 지정합니다.