Rotieren der Anmeldeinformationen von RDS Custom für Oracle für Compliance-Programme

So rotieren Sie die Benutzeranmeldeinformationen für eine DB-Instance manuell

1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die Amazon RDS-Konsole unter https://console.aws.amazon.com/rds/.

2. Stellen Sie unter Datenbanken sicher, dass RDS derzeit keine Backups Ihrer DB-Instance erstellt oder Vorgänge wie das Konfigurieren von Hochverfügbarkeit ausführt.

3. Wählen Sie auf der Seite mit den Datenbankdetails die Option Konfiguration und notieren Sie sich die Ressourcen-ID für die DB-Instance. Oder Sie können den AWS CLI Befehl verwendendescribe-db-instances.

4. Öffnen Sie die Secrets Manager Manager-Konsole unter https://console.aws.amazon.com/secretsmanager/.

5. Geben Sie im Suchfeld die Ressourcen-ID Ihrer Datenbank ein und suchen Sie mithilfe einer der folgenden Namenskonventionen nach einem Geheimnis:

   do-not-delete-rds-custom-resource_id-uuid
   rds-custom!oracle-do-not-delete-resource_id-uuid

   Dieses Secret speichert das Passwort für RDSADMIN, SYS und SYSTEM. Die folgenden Beispielschlüssel gelten für die DB-Instance mit der Ressourcen-ID db-ABCDEFG12HIJKLNMNOPQRS3TUVWX und der 123456 UUID:

   do-not-delete-rds-custom-db-ABCDEFG12HIJKLNMNOPQRS3TUVWX-123456
   rds-custom!oracle-do-not-delete-db-ABCDEFG12HIJKLNMNOPQRS3TUVWX-123456

   Wichtig

   Wenn Ihre DB-Instance ein Lesereplikat ist und die Engine custom-oracle-ee-cdb verwendet, existieren zwei Secrets mit dem Suffix db-resource_id-uuid, eines für den Hauptbenutzer und das andere für RDSADMIN ,SYS und SYSTEM. Führen Sie den folgenden Befehl auf dem Host aus, um das richtige Secret zu finden:

   cat /opt/aws/rdscustomagent/config/database_metadata.json | python3 -c "import sys,json; print(json.load(sys.stdin)['dbMonitoringUserPassword'])"

   Das dbMonitoringUserPassword-Attribut gibt das Secret für RDSADMIN, SYS und SYSTEM an.

6. Wenn Ihre DB-Instance in einer Oracle Data Guard-Konfiguration vorhanden ist, suchen Sie mit einer der folgenden Namenskonventionen nach einem Geheimnis:

   do-not-delete-rds-custom-resource_id-uuid-dg
   rds-custom!oracle-do-not-delete-resource_id-uuid-dg

   Dieses Secret speichert das Passwort für RDS_DATAGUARD. Die folgenden Beispielschlüssel gelten für die DB-Instance mit der DB-Ressourcen-ID db-ABCDEFG12HIJKLNMNOPQRS3TUVWX und der UUID 789012:

   do-not-delete-rds-custom-db-ABCDEFG12HIJKLNMNOPQRS3TUVWX-789012-dg
   rds-custom!oracle-do-not-delete-db-ABCDEFG12HIJKLNMNOPQRS3TUVWX-789012-dg

7. Aktualisieren Sie für alle Datenbankbenutzer, die unter Vordefinierte Oracle-Benutzer aufgeführt sind, die Passwörter, indem Sie den Anweisungen unter Ändern eines Geheimnisses folgen. AWS Secrets Manager

8. Wenn Ihre Datenbank eine eigenständige Datenbank oder eine Quelldatenbank in einer Konfiguration von Oracle Data Guard ist:

   1. Starten Sie Ihren Oracle-SQL-Client und melden Sie sich als SYS an.

   2. Führen Sie für jeden Datenbankbenutzer, der unter Vordefinierte Oracle-Benutzer aufgeführt ist, eine SQL-Anweisung in der folgenden Form aus:

      ALTER USER user-name IDENTIFIED BY pwd-from-secrets-manager ACCOUNT UNLOCK;

      Wenn das neue Passwort für RDSADMIN, das in Secrets Manager gespeichert ist, beispielsweise pwd-123 lautet, führen Sie die folgende Anweisung aus:

      ALTER USER RDSADMIN IDENTIFIED BY pwd-123 ACCOUNT UNLOCK;

9. Wenn Ihre DB-Instance Oracle Database 12c Release 1 (12.1) ausführt und von Oracle Data Guard verwaltet wird, kopieren Sie die Passwortdatei (orapw) manuell von der primären DB-Instance auf jede Standby-DB-Instance.

   Wenn Ihre DB-Instance in Amazon RDS gehostet wird, lautet der Speicherort der Passwortdatei /rdsdbdata/config/orapw. Für Datenbanken, die nicht in Amazon RDS gehostet werden, ist der Standardspeicherort unter Linux und UNIX $ORACLE_HOME/dbs/orapw$ORACLE_SID und unter Windows %ORACLE_HOME%\database\PWD%ORACLE_SID%.ora.