Automatische Rotation der Anmeldeinformationen für vordefinierte Benutzer Richtlinien für das Rotieren von Benutzeranmeldeinformationen Manuelles Rotieren der Benutzeranmeldeinformationen

Rotierende RDS Custom for Oracle-Anmeldeinformationen für Compliance-Programme

Bei einigen Compliance-Programmen müssen die Anmeldeinformationen der Datenbankbenutzer regelmäßig geändert werden, z. B. alle 90 Tage. RDSBei Custom for Oracle werden die Anmeldeinformationen einiger vordefinierter Datenbankbenutzer automatisch rotiert.

Themen

Automatische Rotation der Anmeldeinformationen für vordefinierte Benutzer
Richtlinien für das Rotieren von Benutzeranmeldeinformationen
Manuelles Rotieren der Benutzeranmeldeinformationen

Automatische Rotation der Anmeldeinformationen für vordefinierte Benutzer

Wenn Ihre RDS Custom for Oracle DB-Instance in Amazon gehostet wirdRDS, wechseln die Anmeldeinformationen für die folgenden vordefinierten Oracle-Benutzer automatisch alle 30 Tage. Die Anmeldeinformationen für die vorherigen Benutzer befinden sich in AWS Secrets Manager.

Datenbankbenutzer	Erstellt von	Unterstützte Engine-Versionen	Hinweise
`SYS`	Oracle	custom-oracle-ee custom-oracle-ee-cdb custom-oracle-se2 custom-oracle-se2 CDB
`SYSTEM`	Oracle	custom-oracle-ee custom-oracle-ee-cdb custom-oracle-se2 custom-oracle-se2 CDB
`RDSADMIN`	RDS	custom-oracle-ee custom-oracle-se2
`C##RDSADMIN`	RDS	custom-oracle-ee-cdb custom-oracle-se2 CDB	Benutzernamen mit einem `C##` Präfix existieren nur in. CDBs Weitere Informationen finden Sie unter Überblick über die Architektur von Amazon RDS Custom for Oracle. CDBs
`RDS_DATAGUARD`	RDS	custom-oracle-ee	Dieser Benutzer existiert nur in Read Replicas, Quelldatenbanken für Read Replicas und Datenbanken, die Sie physisch mit Oracle Data Guard nach RDS Custom migriert haben.
`C##RDS_DATAGUARD`	RDS	custom-oracle-ee-cdb	Dieser Benutzer existiert nur in Read Replicas, Quelldatenbanken für Read Replicas und Datenbanken, die Sie physisch mit Oracle Data Guard nach Custom migriert RDS haben. Benutzernamen mit einem `C##` Präfix existieren nur in. CDBs Weitere Informationen finden Sie unter Überblick über die Architektur von Amazon RDS Custom for Oracle. CDBs

Eine Ausnahme von der automatischen Rotation der Anmeldeinformationen ist eine RDS Custom for Oracle-DB-Instance, die Sie manuell als Standby-Datenbank konfiguriert haben. RDSrotiert nur die Anmeldeinformationen für Read Replicas, die Sie mit dem create-db-instance-read-replica CLI Befehl oder erstellt haben. CreateDBInstanceReadReplica API

Richtlinien für das Rotieren von Benutzeranmeldeinformationen

Beachten Sie die folgenden Richtlinien, um sicherzustellen, dass Ihre Anmeldeinformationen entsprechend Ihrem Compliance-Programm rotieren:

Wenn Ihre DB-Instance die Anmeldeinformationen automatisch rotiert, ändern oder löschen Sie keine Secrets, Passwortdateien oder Passwörter für Benutzer, die unter Vordefinierte Oracle-Benutzer aufgeführt sind. Andernfalls platziert RDS Custom Ihre DB-Instance möglicherweise außerhalb des Support-Perimeters, wodurch die automatische Rotation unterbrochen wird.
Der RDS Master-Benutzer ist nicht vordefiniert, daher sind Sie dafür verantwortlich, das Passwort entweder manuell zu ändern oder die automatische Rotation in Secrets Manager einzurichten. Weitere Informationen finden Sie unter AWS Secrets Manager Secrets rotieren.

Manuelles Rotieren der Benutzeranmeldeinformationen

Für die folgenden Datenbankkategorien werden die Anmeldeinformationen für die Benutzer, die unter Vordefinierte Oracle-Benutzer aufgeführt sind, RDS nicht automatisch rotiert:

Eine Datenbank, die Sie manuell so konfiguriert haben, dass sie als Standby-Datenbank funktioniert.
Eine On-Premises-Datenbank.
Eine DB-Instance, die sich außerhalb des Support-Perimeters befindet oder sich in einem Zustand befindet, in dem die RDS benutzerdefinierte Automatisierung nicht ausgeführt werden kann. In diesem Fall dreht RDS Custom die Schlüssel auch nicht.

Wenn Ihre Datenbank in eine der vorherigen Kategorien fällt, müssen Sie Ihre Benutzeranmeldeinformationen manuell rotieren.

So rotieren Sie die Benutzeranmeldeinformationen für eine DB-Instance manuell

Melden Sie sich bei der an AWS Management Console und öffnen Sie die RDS Amazon-Konsole unter https://console.aws.amazon.com/rds/.
Stellen Sie unter Datenbanken sicher, dass Ihre DB-Instance derzeit RDS nicht gesichert wird oder keine Vorgänge wie die Konfiguration von Hochverfügbarkeit ausgeführt werden.
Wählen Sie auf der Seite mit den Datenbankdetails die Option Konfiguration und notieren Sie sich die Ressourcen-ID für die DB-Instance. Oder Sie können den AWS CLI Befehl verwendendescribe-db-instances.
Öffnen Sie die Secrets Manager Manager-Konsole unter https://console.aws.amazon.com/secretsmanager/.
Geben Sie im Suchfeld die ID der DB-Ressource ein und suchen Sie das Secret in der folgenden Form:
```
do-not-delete-rds-custom-db-resource-id-numeric-string
```
Dieses Secret speichert das Passwort für RDSADMIN, SYS und SYSTEM. Der folgende Beispielschlüssel gilt für die DB-Instance mit der DB-Ressourcen-ID db-ABCDEFG12HIJKLNMNOPQRS3TUVWX:
```
do-not-delete-rds-custom-db-ABCDEFG12HIJKLNMNOPQRS3TUVWX-123456
```
Wichtig
Wenn Ihre DB-Instance ein Lesereplikat ist und die Engine custom-oracle-ee-cdb verwendet, existieren zwei Secrets mit dem Suffix db-resource-id-numeric-string, eines für den Hauptbenutzer und das andere für RDSADMIN ,SYS und SYSTEM. Führen Sie den folgenden Befehl auf dem Host aus, um das richtige Secret zu finden:
```
cat /opt/aws/rdscustomagent/config/database_metadata.json | python3 -c "import sys,json; print(json.load(sys.stdin)['dbMonitoringUserPassword'])"
```
Das dbMonitoringUserPassword-Attribut gibt das Secret für RDSADMIN, SYS und SYSTEM an.
Wenn Ihre DB-Instance in einer Konfiguration von Oracle Data Guard vorhanden ist, suchen Sie das Secret in der folgenden Form:
```
do-not-delete-rds-custom-db-resource-id-numeric-string-dg
```
Dieses Secret speichert das Passwort für RDS_DATAGUARD. Der folgende Beispielschlüssel gilt für die DB-Instance mit der DB-Ressourcen-ID db-ABCDEFG12HIJKLNMNOPQRS3TUVWX:
```
do-not-delete-rds-custom-db-ABCDEFG12HIJKLNMNOPQRS3TUVWX-789012-dg
```
Aktualisieren Sie für alle Datenbankbenutzer, die unter Vordefinierte Oracle-Benutzer aufgeführt sind, die Kennwörter, indem Sie den Anweisungen unter Ändern eines AWS Secrets Manager Geheimnisses folgen.
Wenn Ihre Datenbank eine eigenständige Datenbank oder eine Quelldatenbank in einer Konfiguration von Oracle Data Guard ist:
1. Starten Sie Ihren SQL Oracle-Client und melden Sie sich an alsSYS.
2. Führen Sie für jeden Datenbankbenutzer, der unter Vordefinierte Oracle-Benutzer aufgeführt ist, eine SQL Anweisung in der folgenden Form aus:
```
ALTER USER user-name IDENTIFIED BY pwd-from-secrets-manager ACCOUNT UNLOCK;
```
  Wenn das neue Passwort für RDSADMIN, das in Secrets Manager gespeichert ist, beispielsweise pwd-123 lautet, führen Sie die folgende Anweisung aus:
```
ALTER USER RDSADMIN IDENTIFIED BY pwd-123 ACCOUNT UNLOCK;
```
Wenn Ihre DB-Instance Oracle Database 12c Release 1 (12.1) ausführt und von Oracle Data Guard verwaltet wird, kopieren Sie die Passwortdatei (orapw) manuell von der primären DB-Instance auf jede Standby-DB-Instance.

Wenn Ihre DB-Instance bei Amazon gehostet wirdRDS, lautet der Speicherort der Passwortdatei/rdsdbdata/config/orapw. Für Datenbanken, die nicht bei Amazon gehostet werdenRDS, ist der Standardspeicherort $ORACLE_HOME/dbs/orapw$ORACLE_SID unter Linux UNIX und %ORACLE_HOME%\database\PWD%ORACLE_SID%.ora Windows.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Schützen Sie Ihren Amazon S3 S3-Bucket vor dem Problem des verwirrten Stellvertreters

Mit RDS Custom for Oracle arbeiten