Rotasi kredensial otomatis untuk pengguna yang telah ditentukan Pedoman untuk merotasi kredensial pengguna Kredensial pengguna yang dirotasi secara manual

Memutar RDS Kustom untuk kredensil Oracle untuk program kepatuhan

Beberapa program kepatuhan mewajibkan kredensial pengguna basis data diubah secara berkala, misalnya, setiap 90 hari. RDSKustom untuk Oracle secara otomatis memutar kredensil untuk beberapa pengguna database yang telah ditentukan.

Topik

Rotasi kredensial otomatis untuk pengguna yang telah ditentukan
Pedoman untuk merotasi kredensial pengguna
Kredensial pengguna yang dirotasi secara manual

Rotasi kredensial otomatis untuk pengguna yang telah ditentukan

Jika instans RDS Custom for Oracle DB Anda di-host di AmazonRDS, kredensi untuk pengguna Oracle yang telah ditentukan berikut akan diputar setiap 30 hari secara otomatis. Kredensil untuk pengguna sebelumnya berada di. AWS Secrets Manager

Pengguna basis data	Dibuat oleh	Versi mesin yang didukung	Catatan
`SYS`	Oracle	custom-oracle-ee custom-oracle-ee-cdb custom-oracle-se2 custom-oracle-se2-cdb
`SYSTEM`	Oracle	custom-oracle-ee custom-oracle-ee-cdb custom-oracle-se2 custom-oracle-se2-cdb
`RDSADMIN`	RDS	custom-oracle-ee custom-oracle-se2
`C##RDSADMIN`	RDS	custom-oracle-ee-cdb custom-oracle-se2-cdb	Nama pengguna dengan `C##` awalan hanya ada diCDBs. Untuk informasi selengkapnyaCDBs, lihat Ikhtisar arsitektur RDS Kustom Amazon untuk Oracle.
`RDS_DATAGUARD`	RDS	custom-oracle-ee	Pengguna ini hanya ada di replika baca, database sumber untuk replika baca, dan database yang telah Anda migrasi secara fisik ke RDS Custom menggunakan Oracle Data Guard.
`C##RDS_DATAGUARD`	RDS	custom-oracle-ee-cdb	Pengguna ini hanya ada di replika baca, database sumber untuk replika baca, dan database yang telah Anda migrasi secara fisik ke RDS Custom menggunakan Oracle Data Guard. Nama pengguna dengan `C##` awalan hanya ada diCDBs. Untuk informasi selengkapnyaCDBs, lihat Ikhtisar arsitektur RDS Kustom Amazon untuk Oracle.

Pengecualian untuk rotasi kredenal otomatis adalah instans RDS Custom for Oracle DB yang telah Anda konfigurasi secara manual sebagai database siaga. RDShanya memutar kredensil untuk replika baca yang telah Anda buat menggunakan perintah atau. create-db-instance-read-replica CLI CreateDBInstanceReadReplica API

Pedoman untuk merotasi kredensial pengguna

Untuk memastikan bahwa kredensial Anda dirotasi sesuai dengan program kepatuhan Anda, perhatikan pedoman berikut:

Jika instans DB Anda merotasi kredensial secara otomatis, jangan mengubah atau menghapus rahasia, file kata sandi, atau kata sandi secara manual untuk pengguna yang tercantum di Pengguna Oracle yang telah ditentukan sebelumnya. Jika tidak, RDS Custom dapat menempatkan instans DB Anda di luar perimeter dukungan, yang menangguhkan rotasi otomatis.
Pengguna RDS master tidak ditentukan sebelumnya, jadi Anda bertanggung jawab untuk mengubah kata sandi secara manual atau mengatur rotasi otomatis di Secrets Manager. Untuk informasi selengkapnya, lihat Memutar AWS Secrets Manager rahasia.

Kredensial pengguna yang dirotasi secara manual

Untuk kategori database berikut, RDS tidak secara otomatis memutar kredensil untuk pengguna yang terdaftar di pengguna Oracle yang telah ditentukan sebelumnya:

Basis data yang Anda konfigurasi secara manual untuk berfungsi sebagai basis data siaga.
Basis data on-premise.
Instans DB yang berada di luar perimeter dukungan atau dalam keadaan di mana otomatisasi RDS Kustom tidak dapat berjalan. Dalam hal ini, RDS Custom juga tidak memutar tombol.

Jika basis data Anda berada di salah satu kategori di atas, Anda harus merotasi kredensial pengguna Anda secara manual.

Untuk merotasi kredensial pengguna secara manual untuk instans DB

Masuk ke AWS Management Console dan buka RDS konsol Amazon di https://console.aws.amazon.com/rds/.
Di Database, pastikan saat ini RDS tidak mencadangkan instans DB Anda atau melakukan operasi seperti mengonfigurasi ketersediaan tinggi.
Di halaman detail basis data, pilih Konfigurasi dan catat ID Sumber Daya untuk instans DB. Atau Anda dapat menggunakan AWS CLI perintahdescribe-db-instances.
Buka konsol Secrets Manager di https://console.aws.amazon.com/secretsmanager/.
Di kotak pencarian, masukkan ID Sumber Daya DB Anda dan temukan rahasianya dalam form berikut:
```
do-not-delete-rds-custom-db-resource-id-numeric-string
```
Rahasia ini menyimpan kata sandi untuk RDSADMIN, SYS, dan SYSTEM. Contoh kunci berikut ditujukan untuk instans DB dengan ID sumber daya DB db-ABCDEFG12HIJKLNMNOPQRS3TUVWX:
```
do-not-delete-rds-custom-db-ABCDEFG12HIJKLNMNOPQRS3TUVWX-123456
```
penting
Jika instans DB Anda adalah replika baca dan menggunakan mesin custom-oracle-ee-cdb, ada dua rahasia dengan akhiran db-resource-id-numeric-string, satu untuk pengguna master dan yang lainnya untuk RDSADMIN, SYS, dan SYSTEM. Untuk menemukan rahasia yang benar, jalankan perintah berikut pada host:
```
cat /opt/aws/rdscustomagent/config/database_metadata.json | python3 -c "import sys,json; print(json.load(sys.stdin)['dbMonitoringUserPassword'])"
```
Atribut dbMonitoringUserPassword menunjukkan rahasia untuk RDSADMIN, SYS, dan SYSTEM.
Jika instans DB Anda ada dalam konfigurasi Oracle Data Guard, temukan rahasianya dalam form berikut:
```
do-not-delete-rds-custom-db-resource-id-numeric-string-dg
```
Rahasia ini menyimpan kata sandi untuk RDS_DATAGUARD. Contoh kunci berikut ditujukan untuk instans DB dengan ID sumber daya DB db-ABCDEFG12HIJKLNMNOPQRS3TUVWX:
```
do-not-delete-rds-custom-db-ABCDEFG12HIJKLNMNOPQRS3TUVWX-789012-dg
```
Untuk semua pengguna database yang tercantum dalam pengguna Oracle yang telah ditentukan sebelumnya, perbarui kata sandi dengan mengikuti petunjuk di Ubah rahasia. AWS Secrets Manager
Jika basis data Anda adalah basis data mandiri atau basis data sumber dalam konfigurasi Oracle Data Guard:
1. Mulai SQL klien Oracle Anda dan masuk sebagaiSYS.
2. Jalankan SQL pernyataan dalam bentuk berikut untuk setiap pengguna database yang terdaftar di pengguna Oracle yang telah ditentukan sebelumnya:
```
ALTER USER user-name IDENTIFIED BY pwd-from-secrets-manager ACCOUNT UNLOCK;
```
  Misalnya, jika kata sandi baru untuk RDSADMIN yang disimpan di Secrets Manager adalah pwd-123, jalankan pernyataan berikut:
```
ALTER USER RDSADMIN IDENTIFIED BY pwd-123 ACCOUNT UNLOCK;
```
Jika instans DB Anda menjalankan Oracle Database 12c Release 1 (12.1) dan dikelola oleh Oracle Data Guard, salin file kata sandi (orapw) secara manual dari instans DB primer ke setiap instans DB siaga.

Jika instans DB Anda di-host di AmazonRDS, lokasi file kata sandi adalah/rdsdbdata/config/orapw. Untuk database yang tidak di-host di AmazonRDS, lokasi defaultnya ada $ORACLE_HOME/dbs/orapw$ORACLE_SID di Linux dan UNIX dan %ORACLE_HOME%\database\PWD%ORACLE_SID%.ora di Windows.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Amankan bucket Amazon S3 Anda dari masalah wakil yang membingungkan

Bekerja dengan RDS Custom untuk Oracle