규정 준수 프로그램을 위한 RDS Custom for Oracle 자격 증명
일부 규정 준수 프로그램에서는 데이터베이스 사용자 자격 증명을 주기적으로(예: 90일마다) 변경해야 합니다. RDS Custom for Oracle은 미리 정의된 일부 데이터베이스 사용자의 자격 증명을 자동으로 교체합니다.
미리 정의된 사용자의 자격 증명 자동 교체
RDS Custom for Oracle DB 인스턴스가 Amazon RDS에서 호스팅되는 경우, 다음과 같은 미리 정의된 Oracle 사용자의 자격 증명이 30일마다 자동으로 교체됩니다. 이전 사용자의 자격 증명은 AWS Secrets Manager에 있습니다.
| 데이터베이스 사용자 | 생성한 사람 | 지원되는 엔진 버전 | 참고 |
|---|---|---|---|
|
|
Oracle |
custom-oracle-ee custom-oracle-ee-cdb custom-oracle-se2 custom-oracle-se2-cdb | |
|
|
Oracle |
custom-oracle-ee custom-oracle-ee-cdb custom-oracle-se2 custom-oracle-se2-cdb | |
|
|
RDS |
custom-oracle-ee custom-oracle-se2 | |
|
|
RDS |
custom-oracle-ee-cdb custom-oracle-se2-cdb | C## 접두사가 있는 사용자 이름은 CDB에만 존재합니다. CDB에 대한 자세한 내용은 Amazon RDS Custom for Oracle 아키텍처 개요를 참조하세요. |
|
|
RDS |
custom-oracle-ee | 이 사용자는 읽기 전용 복제본, 읽기 전용 복제본의 소스 데이터베이스, Oracle Data Guard를 사용하여 RDS Custom에 물리적으로 마이그레이션된 데이터베이스에만 존재합니다. |
|
|
RDS |
custom-oracle-ee-cdb | 이 사용자는 읽기 전용 복제본, 읽기 전용 복제본의 소스 데이터베이스, Oracle Data Guard를 사용하여 RDS Custom에 물리적으로 마이그레이션된 데이터베이스에만 존재합니다. C## 접두사가 있는 사용자 이름은 CDB에만 존재합니다. CDB에 대한 자세한 내용은 Amazon RDS Custom for Oracle 아키텍처 개요를 참조하세요. |
수동 방식을 통해 대기 데이터베이스로 구성된 RDS Custom for Oracle DB 인스턴스는 자동 자격 증명 교체의 예외입니다. RDS는 create-db-instance-read-replica CLI 명령 또는CreateDBInstanceReadReplica API를 사용하여 생성한 읽기 전용 복제본의 자격 증명만 교체합니다.
사용자 자격 증명 교체에 대한 지침
규정 준수 프로그램에 따라 자격 증명을 교체하려면 다음 지침을 참고하세요.
DB 인스턴스에서 자격 증명을 자동으로 교체할 경우, 미리 정의된 Oracle 사용자에 나열된 사용자의 암호, 암호 파일 또는 암호를 수동으로 변경하거나 삭제하지 마세요. 그렇지 않으면 RDS Custom이 DB 인스턴스를 지원 경계 밖에 배치하여 자동 교체가 일시 중단될 수 있습니다.
RDS 마스터 사용자는 미리 정의되어 있지 않으므로 암호를 수동으로 변경하거나, Secrets Manager에서 자동 교체를 설정해야 합니다. 자세한 내용을 알아보려면 AWS Secrets Manager 보안 암호 교체를 참조하세요.
사용자 자격 증명을 수동으로 교체
다음과 같은 데이터베이스 범주의 경우 RDS는 미리 정의된 Oracle 사용자에 나열된 사용자의 자격 증명을 자동으로 교체하지 않습니다.
-
대기 데이터베이스로 작동하도록 수동으로 구성한 데이터베이스.
-
온프레미스 데이터베이스.
-
지원 경계 밖에 있거나 RDS Custom 자동화를 실행할 수 없는 상태의 DB 인스턴스. 이 경우 RDS Custom은 키 교체도 수행하지 않습니다.
데이터베이스가 위의 범주 중 하나에 속할 경우 사용자 자격 증명을 수동으로 교체해야 합니다.
DB 인스턴스의 사용자 자격 증명을 수동으로 교체하려면
https://console.aws.amazon.com/rds/
에서 AWS Management Console에 로그인한 후 Amazon RDS 콘솔을 엽니다. -
데이터베이스에서 RDS가 현재 DB 인스턴스 백업 또는 고가용성 구성 같은 작업을 수행하고 있지 않은지 확인합니다.
-
데이터베이스 세부 정보 페이지에서 구성을 선택하고 DB 인스턴스의 리소스 ID를 기록해 둡니다. AWS CLI 명령인
describe-db-instances를 사용할 수 있습니다. -
https://console.aws.amazon.com/secretsmanager/
에서 Secrets Manager 콘솔을 엽니다. -
검색 상자에 DB 리소스 ID를 입력하고 다음과 같은 형식으로 된 암호를 찾습니다.
do-not-delete-rds-custom-db-resource-id-numeric-string이 암호는
RDSADMIN,SYS,SYSTEM의 암호를 저장합니다. 아래의 샘플 키는 DB 리소스 ID가db-ABCDEFG12HIJKLNMNOPQRS3TUVWX인 DB 인스턴스에 사용되는 키입니다.do-not-delete-rds-custom-db-ABCDEFG12HIJKLNMNOPQRS3TUVWX-123456중요
DB 인스턴스가 읽기 전용 복제본이고
custom-oracle-ee-cdb엔진을 사용할 경우 접미사db-resource-id-numeric-stringRDSADMIN,SYS,SYSTEM용입니다. 올바른 암호를 찾으려면 호스트에서 다음 명령을 실행합니다.cat /opt/aws/rdscustomagent/config/database_metadata.json | python3 -c "import sys,json; print(json.load(sys.stdin)['dbMonitoringUserPassword'])"dbMonitoringUserPassword속성은RDSADMIN,SYS,SYSTEM의 암호를 나타냅니다. -
DB 인스턴스가 Oracle Data Guard 구성에 있을 경우, 다음 형식으로 된 암호를 찾으세요.
do-not-delete-rds-custom-db-resource-id-numeric-string-dg이 암호는
RDS_DATAGUARD의 암호를 저장합니다. 아래의 샘플 키는 DB 리소스 ID가db-ABCDEFG12HIJKLNMNOPQRS3TUVWX인 DB 인스턴스에 사용되는 키입니다.do-not-delete-rds-custom-db-ABCDEFG12HIJKLNMNOPQRS3TUVWX-789012-dg -
미리 정의된 Oracle 사용자에 나열된 모든 데이터베이스 사용자의 경우 AWS Secrets Manager 암호 수정의 지침에 따라 암호를 업데이트하세요.
-
데이터베이스가 독립 실행형 데이터베이스이거나 Oracle Data Guard 구성의 소스 데이터베이스인 경우:
-
Oracle SQL 클라이언트를 시작하고
SYS로 로그인합니다. -
미리 정의된 Oracle 사용자에 나열된 각 데이터베이스 사용자에 대해 다음 형식으로 된 SQL 문을 실행합니다.
ALTER USERuser-nameIDENTIFIED BYpwd-from-secrets-managerACCOUNT UNLOCK;예를 들어 Secrets Manager에 저장된
RDSADMIN의 새 암호가pwd-123인 경우 다음 문을 실행합니다.ALTER USER RDSADMIN IDENTIFIED BY pwd-123 ACCOUNT UNLOCK;
-
-
Oracle Database 12c 릴리스 1(12.1)을 실행하고 Oracle Data Guard에서 관리하는 DB 인스턴스의 경우, 기본 DB 인스턴스의 암호 파일(
orapw)을 각 대기 DB 인스턴스에 수동으로 복사하세요.Amazon RDS에서 DB 인스턴스를 호스팅하는 경우 암호 파일 위치는
/rdsdbdata/config/orapw입니다. Amazon RDS에서 호스팅되지 않는 데이터베이스의 경우 기본 위치는 Linux 및 UNIX는$ORACLE_HOME/dbs/orapw$ORACLE_SID이고, Windows는%ORACLE_HOME%\database\PWD%ORACLE_SID%.ora입니다.
