Rotazione automatica delle credenziali per gli utenti predefiniti Linee guida per la rotazione delle credenziali utente Rotazione manuale delle credenziali utente

Credenziali Rotating RDS Custom for Oracle per i programmi di conformità

Alcuni programmi di conformità richiedono la modifica periodica delle credenziali dell'utente del database, ad esempio ogni 90 giorni. RDSCustom for Oracle ruota automaticamente le credenziali per alcuni utenti del database predefiniti.

Argomenti

Rotazione automatica delle credenziali per gli utenti predefiniti
Linee guida per la rotazione delle credenziali utente
Rotazione manuale delle credenziali utente

Rotazione automatica delle credenziali per gli utenti predefiniti

Se l'istanza DB RDS Custom for Oracle è ospitata su AmazonRDS, le credenziali per i seguenti utenti Oracle predefiniti ruotano automaticamente ogni 30 giorni. Le credenziali per gli utenti precedenti risiedono in. AWS Secrets Manager

Utente del database	Creato da	Versioni del motore supportate	Note
`SYS`	Oracle	custom-oracle-ee custom-oracle-ee-cdb custom-oracle-se2. custom-oracle-se2 cdb
`SYSTEM`	Oracle	custom-oracle-ee custom-oracle-ee-cdb custom-oracle-se2 custom-oracle-se2 cdb
`RDSADMIN`	RDS	custom-oracle-ee custom-oracle-se2
`C##RDSADMIN`	RDS	custom-oracle-ee-cdb custom-oracle-se2 cdb	I nomi utente con `C##` prefisso esistono solo in. CDBs Per ulteriori informazioniCDBs, consulta Panoramica dell'architettura Amazon RDS Custom for Oracle.
`RDS_DATAGUARD`	RDS	custom-oracle-ee	Questo utente esiste solo nelle repliche di lettura, nei database di origine per le repliche di lettura e nei database che hai migrato fisicamente in RDS Custom utilizzando Oracle Data Guard.
`C##RDS_DATAGUARD`	RDS	custom-oracle-ee-cdb	Questo utente esiste solo nelle repliche di lettura, nei database di origine per le repliche di lettura e nei database che sono stati migrati fisicamente in RDS Custom utilizzando Oracle Data Guard. I nomi utente con `C##` prefisso esistono solo in. CDBs Per ulteriori informazioniCDBs, consulta Panoramica dell'architettura Amazon RDS Custom for Oracle.

Un'eccezione alla rotazione automatica delle credenziali è un'istanza DB RDS Custom for Oracle che hai configurato manualmente come database di standby. RDSruota solo le credenziali per le repliche di lettura create utilizzando il comando o. create-db-instance-read-replica CLI CreateDBInstanceReadReplica API

Linee guida per la rotazione delle credenziali utente

Per essere sicuro che le credenziali vengano ruotate in base al programma di conformità definito, tieni presente le seguenti linee guida:

Se per l'istanza DB viene eseguita la rotazione automatica delle credenziali, non modificare o eliminare manualmente un segreto, un file di password o la password per gli utenti elencati nella tabella Utenti Oracle predefiniti. In caso contrario, RDS Custom potrebbe posizionare l'istanza DB al di fuori del perimetro di supporto, il che sospende la rotazione automatica.
L'utente RDS principale non è predefinito, quindi è responsabile della modifica manuale della password o dell'impostazione della rotazione automatica in Secrets Manager. Per ulteriori informazioni, consulta Ruotare i segreti. AWS Secrets Manager

Rotazione manuale delle credenziali utente

Per le seguenti categorie di database, RDS non ruota automaticamente le credenziali per gli utenti elencati in Utenti Oracle predefiniti:

Un database configurato manualmente per funzionare come database in standby.
Database on-premise
Un'istanza DB che si trova al di fuori del perimetro di supporto o in uno stato in cui l'automazione RDS personalizzata non può essere eseguita. In questo caso, RDS Custom inoltre non ruota i tasti.

Se il database rientra in una delle categorie precedenti, è necessario eseguire manualmente la rotazione delle credenziali utente.

Per ruotare manualmente le credenziali utente per un'istanza DB

Accedi a AWS Management Console e apri la RDS console Amazon all'indirizzo https://console.aws.amazon.com/rds/.
In Databases, assicurati che RDS non stia attualmente eseguendo il backup della tua istanza DB o eseguendo operazioni come la configurazione dell'alta disponibilità.
Nella pagina dei dettagli del database, scegli Configurazione e annota l'ID risorsa dell'istanza DB. Oppure puoi usare il comando. AWS CLI describe-db-instances
Apri la console Secrets Manager all'indirizzo https://console.aws.amazon.com/secretsmanager/.
Nella casella di ricerca inserisci l'ID risorsa dell'istanza DB e cerca il segreto nel modo seguente:
```
do-not-delete-rds-custom-db-resource-id-numeric-string
```
In questo segreto è archiviata la password per RDSADMIN, SYS e SYSTEM. La seguente chiave di esempio fa riferimento all'istanza DB con l'ID risorsa DB db-ABCDEFG12HIJKLNMNOPQRS3TUVWX:
```
do-not-delete-rds-custom-db-ABCDEFG12HIJKLNMNOPQRS3TUVWX-123456
```
Importante
Se l'istanza DB è una replica di lettura e utilizza il motore custom-oracle-ee-cdb, esistono due segreti con il suffisso db-resource-id-numeric-string, uno per l'utente master e l'altro per RDSADMIN, SYS e SYSTEM. Per trovare il segreto corretto, esegui il seguente comando sull'host:
```
cat /opt/aws/rdscustomagent/config/database_metadata.json | python3 -c "import sys,json; print(json.load(sys.stdin)['dbMonitoringUserPassword'])"
```
L'attributo dbMonitoringUserPassword indica il segreto per RDSADMIN, SYS eSYSTEM.
Se l'istanza DB esiste in una configurazione di Oracle Data Guard, cerca il segreto nel modo seguente:
```
do-not-delete-rds-custom-db-resource-id-numeric-string-dg
```
In questo segreto è archiviata la password per RDS_DATAGUARD. La seguente chiave di esempio fa riferimento all'istanza DB con l'ID risorsa DB db-ABCDEFG12HIJKLNMNOPQRS3TUVWX:
```
do-not-delete-rds-custom-db-ABCDEFG12HIJKLNMNOPQRS3TUVWX-789012-dg
```
Per tutti gli utenti del database elencati in Utenti Oracle predefiniti, aggiorna le password seguendo le istruzioni riportate in Modificare un AWS Secrets Manager segreto.
Se il database è un database autonomo o un database di origine in una configurazione di Oracle Data Guard:
1. Avvia il tuo SQL client Oracle e accedi come. SYS
2. Esegui un'SQListruzione nel seguente modulo per ogni utente del database elencato in Utenti Oracle predefiniti:
```
ALTER USER user-name IDENTIFIED BY pwd-from-secrets-manager ACCOUNT UNLOCK;
```
  Ad esempio, se la nuova password per RDSADMIN archiviata in Secrets Manager èpwd-123, esegui la seguente istruzione:
```
ALTER USER RDSADMIN IDENTIFIED BY pwd-123 ACCOUNT UNLOCK;
```
Se l'istanza DB è eseguita in Oracle Database 12c Release 1 (12.1) ed è gestita da Oracle Data Guard, copia manualmente il file di password (orapw) dall'istanza DB primaria in ciascuna istanza DB in standby.

Se la tua istanza DB è ospitata su AmazonRDS, la posizione del file delle password è/rdsdbdata/config/orapw. Per i database che non sono ospitati in AmazonRDS, la posizione predefinita è $ORACLE_HOME/dbs/orapw$ORACLE_SID %ORACLE_HOME%\database\PWD%ORACLE_SID%.ora su Linux UNIX e Windows.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Proteggi il tuo bucket Amazon S3 dal problema del confuso assistente

Utilizzo di RDS Custom for Oracle