轮换 RDS Custom for Oracle 凭证以遵循合规性计划

手动轮换数据库实例的用户凭证

1. 登录 AWS Management Console 并通过以下网址打开 Amazon RDS 控制台：https://console.aws.amazon.com/rds/。

2. 在数据库中，确保 RDS 当前未备份您的数据库实例或执行配置高可用性等操作。

3. 在数据库详细信息页面中，选择配置并记下数据库实例的资源 ID。或者，您可以使用 AWS CLI 命令 describe-db-instances。

4. 打开 Secrets Manager 控制台，网址为 https://console.aws.amazon.com/secretsmanager/。

5. 在搜索框中，输入您的数据库资源 ID，然后按以下形式查找密钥：

   do-not-delete-rds-custom-db-resource-id-numeric-string

   此密钥存储 RDSADMIN、SYS 和 SYSTEM 的密码。以下示例密钥适用于具有数据库资源 ID db-ABCDEFG12HIJKLNMNOPQRS3TUVWX 的数据库实例：

   do-not-delete-rds-custom-db-ABCDEFG12HIJKLNMNOPQRS3TUVWX-123456

   重要

   如果您的数据库实例是只读副本并使用 custom-oracle-ee-cdb 引擎，则存在两个带有后缀 db-resource-id-numeric-string 的密钥，一个用于主用户，另一个用于 RDSADMIN、SYS 和 SYSTEM。要找到正确的密钥，请在主机上运行以下命令：

   cat /opt/aws/rdscustomagent/config/database_metadata.json | python3 -c "import sys,json; print(json.load(sys.stdin)['dbMonitoringUserPassword'])"

   dbMonitoringUserPassword 属性表示 RDSADMIN、SYS 和 SYSTEM 的密钥。

6. 如果您的数据库实例存在于 Oracle Data Guard 配置中，请按以下形式查找密钥：

   do-not-delete-rds-custom-db-resource-id-numeric-string-dg

   此密钥存储了 RDS_DATAGUARD 的密码。以下示例密钥适用于具有数据库资源 ID db-ABCDEFG12HIJKLNMNOPQRS3TUVWX 的数据库实例：

   do-not-delete-rds-custom-db-ABCDEFG12HIJKLNMNOPQRS3TUVWX-789012-dg

7. 对于预定义 Oracle 用户中列出的所有数据库用户，按照修改 AWS Secrets Manager 密钥中的说明更新密码。

8. 如果您的数据库是独立数据库或 Oracle Data Guard 配置中的源数据库：

   1. 启动 Oracle SQL 客户端并以 SYS 身份登录。

   2. 为预定义 Oracle 用户中列出的每个数据库用户运行以下形式的 SQL 语句：

      ALTER USER user-name IDENTIFIED BY pwd-from-secrets-manager ACCOUNT UNLOCK;

      例如，如果存储在 Secrets Manager 中的 RDSADMIN 的新密码为 pwd-123，请运行以下语句：

      ALTER USER RDSADMIN IDENTIFIED BY pwd-123 ACCOUNT UNLOCK;

9. 如果您的数据库实例运行 Oracle Database 12c 版本 1（12.1）并由 Oracle Data Guard 管理，请手动将密码文件（orapw）从主数据库实例复制到每个备用数据库实例。

   如果您的数据库实例托管在 Amazon RDS 中，则密码文件位置为 /rdsdbdata/config/orapw。对于不在 Amazon RDS 中托管的数据库，在 Linux 和 UNIX 上的原定设置位置为 $ORACLE_HOME/dbs/orapw$ORACLE_SID，在 Windows 上的原定设置位置为 %ORACLE_HOME%\database\PWD%ORACLE_SID%.ora。