輪換合規計畫的 RDS Custom for Oracle 憑證

手動輪換資料庫執行個體的使用者憑證

1. 登入 AWS Management Console 並在 開啟 Amazon RDS主控台https://console.aws.amazon.com/rds/。

2. 在資料庫 中，請確定 RDS 目前未備份資料庫執行個體或執行設定高可用性等操作。

3. 在資料庫詳細資訊頁面中，選擇組態並記下資料庫執行個體的資源 ID。或者，您可以使用 AWS CLI 命令 describe-db-instances。

4. 在 開啟 Secrets Manager 主控台https://console.aws.amazon.com/secretsmanager/。

5. 在搜尋方塊中，輸入您的資料庫資源 ID，並以下列格式搜尋秘密：

   do-not-delete-rds-custom-db-resource-id-numeric-string

   此秘密會儲存 RDSADMIN、SYS 和 SYSTEM 的密碼。下列範例金鑰適用於具有資料庫資源 ID db-ABCDEFG12HIJKLNMNOPQRS3TUVWX 的資料庫執行個體：

   do-not-delete-rds-custom-db-ABCDEFG12HIJKLNMNOPQRS3TUVWX-123456

   重要

   若您的資料庫執行個體是僅供讀取複本並使用 custom-oracle-ee-cdb 引擎，則會有兩個具字尾 db-resource-id-numeric-string 的秘密，一個用於主要使用者，另一個用於 RDSADMIN、SYS 和 SYSTEM。若要尋找正確的秘密，請在主機執行下列命令：

   cat /opt/aws/rdscustomagent/config/database_metadata.json | python3 -c "import sys,json; print(json.load(sys.stdin)['dbMonitoringUserPassword'])"

   dbMonitoringUserPassword 屬性顯示 RDSADMIN、SYS 和 SYSTEM 的秘密。

6. 如果您的資料庫執行個體存在於 Oracle Data Guard 組態中，請使用下列格式搜尋秘密：

   do-not-delete-rds-custom-db-resource-id-numeric-string-dg

   此秘密會儲存 RDS_DATAGUARD 的密碼。下列範例金鑰適用於具有資料庫資源 ID db-ABCDEFG12HIJKLNMNOPQRS3TUVWX 的資料庫執行個體：

   do-not-delete-rds-custom-db-ABCDEFG12HIJKLNMNOPQRS3TUVWX-789012-dg

7. 對於預先定義 Oracle 使用者 中列出的所有資料庫使用者，請依照修改 AWS Secrets Manager 秘密 中的指示更新密碼。

8. 如果您的資料庫是獨立資料庫或 Oracle Data Guard 組態中的來源資料庫：

   1. 啟動 Oracle SQL用戶端並以 身分登入SYS。

   2. 針對預先定義 Oracle 使用者 中列出的每個資料庫使用者，以下列格式執行SQL陳述式：

      ALTER USER user-name IDENTIFIED BY pwd-from-secrets-manager ACCOUNT UNLOCK;

      例如，如果 RDSADMIN 儲存在 Secrets Manager 的密碼是 pwd-123，請執行下列陳述式：

      ALTER USER RDSADMIN IDENTIFIED BY pwd-123 ACCOUNT UNLOCK;

9. 若您的資料庫執行個體執行 Oracle 資料庫 12c 版本 1 (12.1)，且由 Oracle Data Guard 管理，請手動將密碼檔案 (orapw) 從主要資料庫執行個體複製到每個待命資料庫執行個體。

   如果您的資料庫執行個體託管在 Amazon 中RDS，則密碼檔案位置為 /rdsdbdata/config/orapw。對於不在 Amazon 中託管的資料庫RDS，預設位置位於 $ORACLE_HOME/dbs/orapw$ORACLE_SID Linux UNIX和 Windows %ORACLE_HOME%\database\PWD%ORACLE_SID%.ora 上。