Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Rotation RDS des informations d'identification Custom for Oracle pour les programmes de conformité
Certains programmes de conformité exigent que les informations d'identification des utilisateurs de la base de données soient modifiées régulièrement, par exemple tous les 90 jours. RDSCustom for Oracle fait automatiquement pivoter les informations d'identification de certains utilisateurs de base de données prédéfinis.
Rubriques
Rotation automatique des informations d'identification pour les utilisateurs prédéfinis
Si votre instance de base de données RDS personnalisée pour Oracle est hébergée sur AmazonRDS, les informations d'identification des utilisateurs Oracle prédéfinis suivants changent automatiquement tous les 30 jours. Les informations d'identification des utilisateurs précédents se trouvent dans AWS Secrets Manager.
| Utilisateur de la base de donnée | Créé par | Versions de moteur prises en charge | Remarques |
|---|---|---|---|
|
|
Oracle |
custom-oracle-ee custom-oracle-ee-cdb custom-oracle-se2 custom-oracle-se2 cdb | |
|
|
Oracle |
custom-oracle-ee custom-oracle-ee-cdb custom-oracle-se2 custom-oracle-se2 cdb | |
|
|
RDS |
custom-oracle-ee custom-oracle-se2 | |
|
|
RDS |
custom-oracle-ee-cdb custom-oracle-se2 cdb | Les noms d'utilisateur dotés d'un C## préfixe n'existent que dansCDBs. Pour plus d'informationsCDBs, consultez la section Présentation de l'architecture Amazon RDS Custom for Oracle. |
|
|
RDS |
custom-oracle-ee | Cet utilisateur n'existe que dans les répliques en lecture, les bases de données sources pour les répliques en lecture et les bases de données que vous avez physiquement migrées vers RDS Custom à l'aide d'Oracle Data Guard. |
|
|
RDS |
custom-oracle-ee-cdb | Cet utilisateur n'existe que dans les répliques en lecture, les bases de données sources pour les répliques en lecture et les bases de données que vous avez physiquement migrées vers RDS Custom à l'aide d'Oracle Data Guard. Les noms d'utilisateur dotés d'un C## préfixe n'existent que dansCDBs. Pour plus d'informationsCDBs, consultez la section Présentation de l'architecture Amazon RDS Custom for Oracle. |
Une exception à la rotation automatique des informations d'identification est une instance de base de données RDS personnalisée pour Oracle que vous avez configurée manuellement en tant que base de données de secours. RDSfait uniquement pivoter les informations d'identification pour les répliques de lecture que vous avez créées à l'aide de la create-db-instance-read-replica CLI commande ou. CreateDBInstanceReadReplica API
Instructions pour la rotation des informations d'identification des utilisateurs
Pour vous assurer que vos informations d'identification changent en fonction de votre programme de conformité, tenez compte des instructions suivantes :
Si votre instance de base de données alterne automatiquement les informations d'identification, ne modifiez ni ne supprimez manuellement un secret, un fichier de mots de passe ou un mot de passe pour les utilisateurs répertoriés dans Utilisateurs Oracle prédéfinis. Sinon, RDS Custom peut placer votre instance de base de données en dehors du périmètre de support, ce qui interrompt la rotation automatique.
L'utilisateur RDS principal n'étant pas prédéfini, vous êtes responsable de modifier le mot de passe manuellement ou de configurer la rotation automatique dans Secrets Manager. Pour plus d'informations, consultez Rotation AWS Secrets Manager des secrets.
Rotation manuelle des informations d'identification des utilisateurs
Pour les catégories de bases de données suivantes, les informations d'identification des utilisateurs répertoriées dans la section Utilisateurs Oracle prédéfinis RDS ne sont pas automatiquement modifiées :
-
Base de données que vous avez configurée manuellement pour fonctionner en tant que base de données de secours.
-
Bases de données sur site.
-
Une instance de base de données située en dehors du périmètre de support ou dans un état dans lequel l'automatisation RDS personnalisée ne peut pas s'exécuter. Dans ce cas, RDS Custom ne fait pas non plus pivoter les touches.
Si votre base de données appartient à l'une des catégories précédentes, vous devez effectuer une rotation manuelle de vos informations d'identification utilisateur.
Pour effectuer une rotation manuelle des informations d'identification utilisateur pour une instance de base de données
Connectez-vous à la RDS console Amazon AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/rds/
. -
Dans Bases de données, assurez-vous qu'il ne sauvegarde RDS pas actuellement votre instance de base de données ou n'effectue pas d'opérations telles que la configuration de la haute disponibilité.
-
Sur la page de détails de la base de données, choisissez Configuration et notez l'ID de ressource de l'instance de base de données. Vous pouvez également utiliser la AWS CLI commande
describe-db-instances. -
Ouvrez la console Secrets Manager à l'adresse https://console.aws.amazon.com/secretsmanager/
. -
Dans la zone de recherche, saisissez votre ID de ressource de base de données et recherchez le secret sous la forme suivante :
do-not-delete-rds-custom-db-resource-id-numeric-stringCe secret enregistre le mot de passe pour
RDSADMIN,SYSetSYSTEM. L'exemple de clé suivant concerne l'instance de base de données avec l'ID de ressource de base de donnéesdb-ABCDEFG12HIJKLNMNOPQRS3TUVWX:do-not-delete-rds-custom-db-ABCDEFG12HIJKLNMNOPQRS3TUVWX-123456Important
Si votre instance de base de données est un réplica en lecture et utilise le moteur
custom-oracle-ee-cdb, deux secrets existent avec le suffixedb-resource-id-numeric-stringRDSADMIN,SYSetSYSTEM. Pour trouver le secret correct, exécutez la commande suivante sur l'hôte :cat /opt/aws/rdscustomagent/config/database_metadata.json | python3 -c "import sys,json; print(json.load(sys.stdin)['dbMonitoringUserPassword'])"L'attribut
dbMonitoringUserPasswordindique le secret pourRDSADMIN,SYSetSYSTEM. -
Si votre instance de base de données existe dans une configuration Oracle Data Guard, recherchez le secret sous la forme suivante :
do-not-delete-rds-custom-db-resource-id-numeric-string-dgCe secret enregistre le mot de passe pour
RDS_DATAGUARD. L'exemple de clé suivant concerne l'instance de base de données avec l'ID de ressource de base de donnéesdb-ABCDEFG12HIJKLNMNOPQRS3TUVWX:do-not-delete-rds-custom-db-ABCDEFG12HIJKLNMNOPQRS3TUVWX-789012-dg -
Pour tous les utilisateurs de base de données répertoriés dans Utilisateurs Oracle prédéfinis, mettez à jour les mots de passe en suivant les instructions de la section Modifier un AWS Secrets Manager secret.
-
Si votre base de données est une base de données autonome ou une base de données source dans une configuration Oracle Data Guard :
-
Démarrez votre SQL client Oracle et connectez-vous en tant que
SYS. -
Exécutez une SQL instruction sous la forme suivante pour chaque utilisateur de base de données répertorié dans Utilisateurs Oracle prédéfinis :
ALTER USERuser-nameIDENTIFIED BYpwd-from-secrets-managerACCOUNT UNLOCK;Par exemple, si le nouveau mot de passe pour
RDSADMINenregistré dans Secrets Manager estpwd-123, exécutez l'instruction suivante :ALTER USER RDSADMIN IDENTIFIED BY pwd-123 ACCOUNT UNLOCK;
-
-
Si votre instance de base de données exécute Oracle Database 12c version 1 (12.1) et qu'elle est gérée par Oracle Data Guard, copiez manuellement le fichier de mots de passe (
orapw) de l'instance de base de données principale vers chaque instance de base de données de secours.Si votre instance de base de données est hébergée sur AmazonRDS, l'emplacement du fichier de mots de passe est
/rdsdbdata/config/orapw. Pour les bases de données qui ne sont pas hébergées$ORACLE_HOME/dbs/orapw$ORACLE_SIDsur AmazonRDS, l'emplacement par défaut est Linux UNIX et%ORACLE_HOME%\database\PWD%ORACLE_SID%.oraWindows.
