Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Rotazione delle credenziali RDS Custom per Oracle per i programmi di conformità
<a name="custom-security.cred-rotation"></a>

Alcuni programmi di conformità richiedono la modifica periodica delle credenziali dell'utente del database, ad esempio ogni 90 giorni. RDS Custom per Oracle esegue automaticamente la rotazione delle credenziali per alcuni utenti del database predefiniti.

**Topics**
+ [Rotazione automatica delle credenziali per gli utenti predefiniti](#custom-security.cred-rotation.auto)
+ [Linee guida per la rotazione delle credenziali utente](#custom-security.cred-rotation.guidelines)
+ [Rotazione manuale delle credenziali utente](#custom-security.cred-rotation.manual)

## Rotazione automatica delle credenziali per gli utenti predefiniti
<a name="custom-security.cred-rotation.auto"></a>

Se l'istanza DB RDS Custom per Oracle è ospitata in Amazon RDS, per i seguenti utenti Oracle predefiniti viene eseguita la rotazione automatica delle credenziali ogni 30 giorni. Le credenziali per gli utenti precedenti risiedono in. Gestione dei segreti AWS


| Utente del database | Creato da | Versioni del motore supportate | Note | 
| --- | --- | --- | --- | 
|  `SYS`  |  Oracle  |  custom-oracle-ee custom-oracle-ee-cdb custom-oracle-se2 custom-oracle-se2 cdb  |  | 
|  `SYSTEM`  |  Oracle  |  custom-oracle-ee custom-oracle-ee-cdb custom-oracle-se2 custom-oracle-se2 cdb  |  | 
|  `RDSADMIN`  |  RDS  |  custom-oracle-ee custom-oracle-se2  |  | 
|  `C##RDSADMIN`  |  RDS  |  custom-oracle-ee-cdb custom-oracle-se2 cdb  | I nomi utente con C\$1\$1 prefisso esistono solo in. CDBs Per ulteriori informazioni CDBs, consulta [Panoramica dell'architettura Amazon RDS Custom for Oracle](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/custom-creating.html#custom-creating.overview). | 
|  `RDS_DATAGUARD`  |  RDS  |  custom-oracle-ee  | Questo utente esiste solo nelle repliche di lettura, nei database di origine per le repliche di lettura e nei database sottoposti a migrazione fisica in RDS Custom tramite Oracle Data Guard. | 
|  `C##RDS_DATAGUARD`  |  RDS  |  custom-oracle-ee-cdb  | Questo utente esiste solo nelle repliche di lettura, nei database di origine per le repliche di lettura e nei database sottoposti a migrazione fisica in RDS Custom tramite Oracle Data Guard. I nomi utente con C\$1\$1 prefisso esistono solo in. CDBs Per ulteriori informazioni CDBs, consulta [Panoramica dell'architettura Amazon RDS Custom for Oracle](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/custom-creating.html#custom-creating.overview). | 

Un'eccezione alla rotazione automatica delle credenziali è un'istanza DB RDS Custom per Oracle configurata manualmente come database in standby. RDS esegue la rotazione solo delle credenziali per le repliche di lettura create utilizzando il comando CLI `create-db-instance-read-replica` o l'API `CreateDBInstanceReadReplica`.

## Linee guida per la rotazione delle credenziali utente
<a name="custom-security.cred-rotation.guidelines"></a>

Per essere sicuro che le credenziali vengano ruotate in base al programma di conformità definito, tieni presente le seguenti linee guida:
+ Se per l'istanza DB viene eseguita la rotazione automatica delle credenziali, non modificare o eliminare manualmente un segreto, un file di password o la password per gli utenti elencati nella tabella [Utenti Oracle predefiniti](#auto-rotation). In caso contrario, RDS Custom potrebbe collocare l'istanza DB al di fuori del perimetro di supporto; in questo caso, viene sospesa la rotazione automatica.
+ L'utente master RDS non è predefinito e pertanto sei tu il responsabile della modifica manuale della password o dell'impostazione della rotazione automatica in Secrets Manager. Per ulteriori informazioni, consulta [Rotate secrets. Gestione dei segreti AWS](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html)

## Rotazione manuale delle credenziali utente
<a name="custom-security.cred-rotation.manual"></a>

Per le seguenti categorie di database, RDS non esegue la rotazione automatica delle credenziali per gli utenti elencati nella tabella [Utenti Oracle predefiniti](#auto-rotation):
+ Un database configurato manualmente per funzionare come database in standby.
+ Database on-premise
+ Un'istanza DB esterna al perimetro di supporto o in uno stato in cui l'automazione RDS Custom non può essere eseguita. In questo caso RDS Custom inoltre non esegue la rotazione delle chiavi.

Se il database rientra in una delle categorie precedenti, è necessario eseguire manualmente la rotazione delle credenziali utente.

**Per ruotare manualmente le credenziali utente per un'istanza DB**

1. Accedi a Console di gestione AWS e apri la console Amazon RDS all'indirizzo [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/).

1. In **Database**, assicurati che al momento RDS non stia eseguendo il backup dell'istanza DB o operazioni come la configurazione della disponibilità elevata.

1. Nella pagina dei dettagli del database, scegli **Configurazione** e annota l'ID risorsa dell'istanza DB. Oppure puoi usare il AWS CLI comando`describe-db-instances`.

1. Apri la console Secrets Manager all'indirizzo [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).

1. Nella casella di ricerca, inserisci l’ID risorsa del tuo database e cerca un segreto utilizzando una delle seguenti convenzioni di denominazione:

   ```
   do-not-delete-rds-custom-resource_id-uuid
   rds-custom!oracle-do-not-delete-resource_id-uuid
   ```

   In questo segreto è archiviata la password per `RDSADMIN`, `SYS` e `SYSTEM`. Le seguenti chiavi di esempio fanno riferimento all’istanza database con l’ID risorsa `db-ABCDEFG12HIJKLNMNOPQRS3TUVWX` e l’UUID `123456`:

   ```
   do-not-delete-rds-custom-db-ABCDEFG12HIJKLNMNOPQRS3TUVWX-123456
   rds-custom!oracle-do-not-delete-db-ABCDEFG12HIJKLNMNOPQRS3TUVWX-123456
   ```
**Importante**  
Se l'istanza DB è una replica di lettura e utilizza il motore `custom-oracle-ee-cdb`, esistono due segreti con il suffisso `db-resource_id-uuid`, uno per l'utente master e l'altro per `RDSADMIN`, `SYS` e `SYSTEM`. Per trovare il segreto corretto, esegui il seguente comando sull'host:  

   ```
   cat /opt/aws/rdscustomagent/config/database_metadata.json | python3 -c "import sys,json; print(json.load(sys.stdin)['dbMonitoringUserPassword'])"
   ```
L'attributo `dbMonitoringUserPassword` indica il segreto per `RDSADMIN`, `SYS` e`SYSTEM`.

1. Se l’istanza database esiste in una configurazione di Oracle Data Guard, cerca un segreto utilizzando una delle seguenti convenzioni di denominazione:

   ```
   do-not-delete-rds-custom-resource_id-uuid-dg
   rds-custom!oracle-do-not-delete-resource_id-uuid-dg
   ```

   In questo segreto è archiviata la password per `RDS_DATAGUARD`. Le seguenti chiavi di esempio fanno riferimento all’istanza database con l’ID risorsa `db-ABCDEFG12HIJKLNMNOPQRS3TUVWX` e l’UUID **789012**:

   ```
   do-not-delete-rds-custom-db-ABCDEFG12HIJKLNMNOPQRS3TUVWX-789012-dg
   rds-custom!oracle-do-not-delete-db-ABCDEFG12HIJKLNMNOPQRS3TUVWX-789012-dg
   ```

1. Per tutti gli utenti del database elencati in [Utenti Oracle predefiniti](#auto-rotation), aggiorna le password seguendo le istruzioni riportate in [Modificare un Gestione dei segreti AWS segreto](https://docs.aws.amazon.com/secretsmanager/latest/userguide/manage_update-secret.html).

1. Se il database è un database autonomo o un database di origine in una configurazione di Oracle Data Guard:

   1. Avvia il client Oracle SQL e accedi come `SYS`.

   1. Esegui un'istruzione SQL nel seguente modo per ogni utente del database elencato nella tabella [Utenti Oracle predefiniti](#auto-rotation):

      ```
      ALTER USER user-name IDENTIFIED BY pwd-from-secrets-manager ACCOUNT UNLOCK;
      ```

      Ad esempio, se la nuova password per `RDSADMIN` archiviata in Secrets Manager è`pwd-123`, esegui la seguente istruzione:

      ```
      ALTER USER RDSADMIN IDENTIFIED BY pwd-123 ACCOUNT UNLOCK;
      ```

1. Se l'istanza DB è eseguita in Oracle Database 12c Release 1 (12.1) ed è gestita da Oracle Data Guard, copia manualmente il file di password (`orapw`) dall'istanza DB primaria in ciascuna istanza DB in standby. 

   Se l'istanza DB è ospitata in Amazon RDS, la posizione del file di password è `/rdsdbdata/config/orapw`. Per i database non ospitati in Amazon RDS, la posizione predefinita è `$ORACLE_HOME/dbs/orapw$ORACLE_SID` su Linux e UNIX e `%ORACLE_HOME%\database\PWD%ORACLE_SID%.ora` su Windows.