Rotation automatique des informations d'identification pour les utilisateurs prédéfinis Instructions pour la rotation des informations d'identification des utilisateurs Rotation manuelle des informations d'identification des utilisateurs

Rotation des informations d'identification RDS Custom for Oracle pour les programmes de conformité

Certains programmes de conformité exigent que les informations d'identification des utilisateurs de la base de données soient modifiées régulièrement, par exemple tous les 90 jours. RDS Custom for Oracle alterne automatiquement les informations d'identification de certains utilisateurs de la base de données prédéfinis.

Rubriques

Rotation automatique des informations d'identification pour les utilisateurs prédéfinis
Instructions pour la rotation des informations d'identification des utilisateurs
Rotation manuelle des informations d'identification des utilisateurs

Rotation automatique des informations d'identification pour les utilisateurs prédéfinis

Si votre instance de base de données RDS Custom for Oracle est hébergée sur Amazon RDS, les informations d'identification des utilisateurs Oracle prédéfinis suivants changent automatiquement tous les 30 jours. Les informations d'identification des utilisateurs précédents se trouvent dans AWS Secrets Manager.

Utilisateur de la base de donnée	Créé par	Versions de moteur prises en charge	Remarques
`SYS`	Oracle	custom-oracle-ee custom-oracle-ee-cdb custom-oracle-se2 custom-oracle-se2 cdb
`SYSTEM`	Oracle	custom-oracle-ee custom-oracle-ee-cdb custom-oracle-se2 custom-oracle-se2 cdb
`RDSADMIN`	RDS	custom-oracle-ee custom-oracle-se2
`C##RDSADMIN`	RDS	custom-oracle-ee-cdb custom-oracle-se2 cdb	Les noms d'utilisateur dotés d'un `C##` préfixe n'existent que dans CDBs. Pour plus d'informations CDBs, consultez Présentation de l'architecture Amazon RDS Custom for Oracle.
`RDS_DATAGUARD`	RDS	custom-oracle-ee	Cet utilisateur existe uniquement dans les réplicas en lecture, les bases de données sources pour les réplicas en lecture et les bases de données que vous avez migrées physiquement vers RDS Custom à l'aide d'Oracle Data Guard.
`C##RDS_DATAGUARD`	RDS	custom-oracle-ee-cdb	Cet utilisateur existe uniquement dans les réplicas en lecture, les bases de données sources pour les réplicas en lecture et les bases de données que vous avez migrées physiquement vers RDS Custom à l'aide d'Oracle Data Guard. Les noms d'utilisateur dotés d'un `C##` préfixe n'existent que dans CDBs. Pour plus d'informations CDBs, consultez Présentation de l'architecture Amazon RDS Custom for Oracle.

Une instance de base de données RDS Custom for Oracle que vous avez configurée manuellement en tant que base de données de secours fera exception à la rotation automatique des informations d'identification. RDS n'alterne les informations d'identification que pour les réplicas en lecture que vous avez créés à l'aide de la commande d'interface de ligne de commande create-db-instance-read-replica ou de l'API CreateDBInstanceReadReplica.

Instructions pour la rotation des informations d'identification des utilisateurs

Pour vous assurer que vos informations d'identification changent en fonction de votre programme de conformité, tenez compte des instructions suivantes :

Si votre instance de base de données alterne automatiquement les informations d'identification, ne modifiez ni ne supprimez manuellement un secret, un fichier de mots de passe ou un mot de passe pour les utilisateurs répertoriés dans Utilisateurs Oracle prédéfinis. Sinon, RDS Custom risque de placer votre instance de base de données en dehors du périmètre de support, ce qui suspend la rotation automatique.
L'utilisateur principal RDS n'est pas prédéfini. Vous êtes donc responsable de modifier le mot de passe manuellement ou de configurer la rotation automatique dans Secrets Manager. Pour plus d'informations, consultez Rotation AWS Secrets Manager des secrets.

Rotation manuelle des informations d'identification des utilisateurs

Pour les catégories de bases de données suivantes, RDS ne modifie pas automatiquement les informations d'identification des utilisateurs répertoriés dans Utilisateurs Oracle prédéfinis :

Base de données que vous avez configurée manuellement pour fonctionner en tant que base de données de secours.
Bases de données sur site.
Instance de base de données située en dehors du périmètre de support ou dans un état dans lequel l'automatisation personnalisée RDS ne peut pas s'exécuter. Dans ce cas, RDS Custom n'effectue pas non plus une rotation des clés.

Si votre base de données appartient à l'une des catégories précédentes, vous devez effectuer une rotation manuelle de vos informations d'identification utilisateur.

Pour effectuer une rotation manuelle des informations d'identification utilisateur pour une instance de base de données

Connectez-vous à la console Amazon RDS AWS Management Console et ouvrez-la à https://console.aws.amazon.com/rds/l'adresse.
Dans Dases de données, assurez-vous que RDS ne sauvegarde pas actuellement votre instance de base de données ou n'effectue aucune opération telle que la configuration de la haute disponibilité.
Sur la page de détails de la base de données, choisissez Configuration et notez l'ID de ressource de l'instance de base de données. Vous pouvez également utiliser la AWS CLI commandedescribe-db-instances.
Ouvrez la console Secrets Manager à l'adresse https://console.aws.amazon.com/secretsmanager/.
Dans le champ de recherche, entrez l'ID de ressource de votre base de données et recherchez un secret en utilisant l'une des conventions de dénomination suivantes :
```
do-not-delete-rds-custom-resource_id-uuid
rds-custom!oracle-do-not-delete-resource_id-uuid
```
Ce secret enregistre le mot de passe pour RDSADMIN, SYS et SYSTEM. Les exemples de clés suivants concernent l'instance de base de données avec l'ID de ressource db-ABCDEFG12HIJKLNMNOPQRS3TUVWX et l'123456UUID :
```
do-not-delete-rds-custom-db-ABCDEFG12HIJKLNMNOPQRS3TUVWX-123456
rds-custom!oracle-do-not-delete-db-ABCDEFG12HIJKLNMNOPQRS3TUVWX-123456
```
Important
Si votre instance de base de données est un réplica en lecture et utilise le moteur custom-oracle-ee-cdb, deux secrets existent avec le suffixe db-resource_id-uuid, l'un pour l'utilisateur principal et l'autre pour RDSADMIN, SYS et SYSTEM. Pour trouver le secret correct, exécutez la commande suivante sur l'hôte :
```
cat /opt/aws/rdscustomagent/config/database_metadata.json | python3 -c "import sys,json; print(json.load(sys.stdin)['dbMonitoringUserPassword'])"
```
L'attribut dbMonitoringUserPassword indique le secret pour RDSADMIN, SYS et SYSTEM.
Si votre instance de base de données existe dans une configuration Oracle Data Guard, recherchez un secret en utilisant l'une des conventions de dénomination suivantes :
```
do-not-delete-rds-custom-resource_id-uuid-dg
rds-custom!oracle-do-not-delete-resource_id-uuid-dg
```
Ce secret enregistre le mot de passe pour RDS_DATAGUARD. Les exemples de clés suivants concernent l'instance de base de données avec l'ID de ressource de base de données db-ABCDEFG12HIJKLNMNOPQRS3TUVWX et l'UUID 789012 :
```
do-not-delete-rds-custom-db-ABCDEFG12HIJKLNMNOPQRS3TUVWX-789012-dg
rds-custom!oracle-do-not-delete-db-ABCDEFG12HIJKLNMNOPQRS3TUVWX-789012-dg
```
Pour tous les utilisateurs de base de données répertoriés dans Utilisateurs Oracle prédéfinis, mettez à jour les mots de passe en suivant les instructions de la section Modifier un AWS Secrets Manager secret.
Si votre base de données est une base de données autonome ou une base de données source dans une configuration Oracle Data Guard :
1. Démarrez votre client Oracle SQL et connectez-vous en tant que SYS.
2. Exécutez une instruction SQL sous la forme suivante pour chaque utilisateur de base de données répertorié dans Utilisateurs Oracle prédéfinis :
```
ALTER USER user-name IDENTIFIED BY pwd-from-secrets-manager ACCOUNT UNLOCK;
```
  Par exemple, si le nouveau mot de passe pour RDSADMIN enregistré dans Secrets Manager est pwd-123, exécutez l'instruction suivante :
```
ALTER USER RDSADMIN IDENTIFIED BY pwd-123 ACCOUNT UNLOCK;
```
Si votre instance de base de données exécute Oracle Database 12c version 1 (12.1) et qu'elle est gérée par Oracle Data Guard, copiez manuellement le fichier de mots de passe (orapw) de l'instance de base de données principale vers chaque instance de base de données de secours.

Si votre instance de base de données est hébergée sur Amazon RDS, l'emplacement du fichier de mots de passe est /rdsdbdata/config/orapw. Pour les bases de données qui ne sont pas hébergées dans Amazon RDS, l'emplacement par défaut est $ORACLE_HOME/dbs/orapw$ORACLE_SID sous Linux et UNIX, et %ORACLE_HOME%\database\PWD%ORACLE_SID%.ora sous Windows.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Protégez votre compartiment Amazon S3 contre le problème de confusion lié aux adjoints

Utilisation de RDS Custom pour Oracle