Rotazione automatica delle credenziali per gli utenti predefiniti Linee guida per la rotazione delle credenziali utente Rotazione manuale delle credenziali utente

Rotazione delle credenziali RDS Custom per Oracle per i programmi di conformità

Alcuni programmi di conformità richiedono la modifica periodica delle credenziali dell'utente del database, ad esempio ogni 90 giorni. RDS Custom per Oracle esegue automaticamente la rotazione delle credenziali per alcuni utenti del database predefiniti.

Argomenti

Rotazione automatica delle credenziali per gli utenti predefiniti
Linee guida per la rotazione delle credenziali utente
Rotazione manuale delle credenziali utente

Rotazione automatica delle credenziali per gli utenti predefiniti

Se l'istanza DB RDS Custom per Oracle è ospitata in Amazon RDS, per i seguenti utenti Oracle predefiniti viene eseguita la rotazione automatica delle credenziali ogni 30 giorni. Le credenziali per gli utenti precedenti risiedono in. AWS Secrets Manager

Utente del database	Creato da	Versioni del motore supportate	Note
`SYS`	Oracle	custom-oracle-ee custom-oracle-ee-cdb custom-oracle-se2 custom-oracle-se2 cdb
`SYSTEM`	Oracle	custom-oracle-ee custom-oracle-ee-cdb custom-oracle-se2 custom-oracle-se2 cdb
`RDSADMIN`	RDS	custom-oracle-ee custom-oracle-se2
`C##RDSADMIN`	RDS	custom-oracle-ee-cdb custom-oracle-se2 cdb	I nomi utente con `C##` prefisso esistono solo in. CDBs Per ulteriori informazioni CDBs, consulta Panoramica dell'architettura Amazon RDS Custom for Oracle.
`RDS_DATAGUARD`	RDS	custom-oracle-ee	Questo utente esiste solo nelle repliche di lettura, nei database di origine per le repliche di lettura e nei database sottoposti a migrazione fisica in RDS Custom tramite Oracle Data Guard.
`C##RDS_DATAGUARD`	RDS	custom-oracle-ee-cdb	Questo utente esiste solo nelle repliche di lettura, nei database di origine per le repliche di lettura e nei database sottoposti a migrazione fisica in RDS Custom tramite Oracle Data Guard. I nomi utente con `C##` prefisso esistono solo in. CDBs Per ulteriori informazioni CDBs, consulta Panoramica dell'architettura Amazon RDS Custom for Oracle.

Un'eccezione alla rotazione automatica delle credenziali è un'istanza DB RDS Custom per Oracle configurata manualmente come database in standby. RDS esegue la rotazione solo delle credenziali per le repliche di lettura create utilizzando il comando CLI create-db-instance-read-replica o l'API CreateDBInstanceReadReplica.

Linee guida per la rotazione delle credenziali utente

Per essere sicuro che le credenziali vengano ruotate in base al programma di conformità definito, tieni presente le seguenti linee guida:

Se per l'istanza DB viene eseguita la rotazione automatica delle credenziali, non modificare o eliminare manualmente un segreto, un file di password o la password per gli utenti elencati nella tabella Utenti Oracle predefiniti. In caso contrario, RDS Custom potrebbe collocare l'istanza DB al di fuori del perimetro di supporto; in questo caso, viene sospesa la rotazione automatica.
L'utente master RDS non è predefinito e pertanto sei tu il responsabile della modifica manuale della password o dell'impostazione della rotazione automatica in Secrets Manager. Per ulteriori informazioni, consulta Rotate secrets. AWS Secrets Manager

Rotazione manuale delle credenziali utente

Per le seguenti categorie di database, RDS non esegue la rotazione automatica delle credenziali per gli utenti elencati nella tabella Utenti Oracle predefiniti:

Un database configurato manualmente per funzionare come database in standby.
Database on-premise
Un'istanza DB esterna al perimetro di supporto o in uno stato in cui l'automazione RDS Custom non può essere eseguita. In questo caso RDS Custom inoltre non esegue la rotazione delle chiavi.

Se il database rientra in una delle categorie precedenti, è necessario eseguire manualmente la rotazione delle credenziali utente.

Per ruotare manualmente le credenziali utente per un'istanza DB

Accedi a AWS Management Console e apri la console Amazon RDS all'indirizzo https://console.aws.amazon.com/rds/.
In Database, assicurati che al momento RDS non stia eseguendo il backup dell'istanza DB o operazioni come la configurazione della disponibilità elevata.
Nella pagina dei dettagli del database, scegli Configurazione e annota l'ID risorsa dell'istanza DB. Oppure puoi usare il AWS CLI comandodescribe-db-instances.
Apri la console Secrets Manager all'indirizzo https://console.aws.amazon.com/secretsmanager/.
Nella casella di ricerca, inserisci l'ID della risorsa del tuo database e cerca un segreto utilizzando una delle seguenti convenzioni di denominazione:
```
do-not-delete-rds-custom-resource_id-uuid
rds-custom!oracle-do-not-delete-resource_id-uuid
```
In questo segreto è archiviata la password per RDSADMIN, SYS e SYSTEM. Le seguenti chiavi di esempio si riferiscono all'istanza DB con ID di risorsa db-ABCDEFG12HIJKLNMNOPQRS3TUVWX e UUID: 123456
```
do-not-delete-rds-custom-db-ABCDEFG12HIJKLNMNOPQRS3TUVWX-123456
rds-custom!oracle-do-not-delete-db-ABCDEFG12HIJKLNMNOPQRS3TUVWX-123456
```
Importante
Se l'istanza DB è una replica di lettura e utilizza il motore custom-oracle-ee-cdb, esistono due segreti con il suffisso db-resource_id-uuid, uno per l'utente master e l'altro per RDSADMIN, SYS e SYSTEM. Per trovare il segreto corretto, esegui il seguente comando sull'host:
```
cat /opt/aws/rdscustomagent/config/database_metadata.json | python3 -c "import sys,json; print(json.load(sys.stdin)['dbMonitoringUserPassword'])"
```
L'attributo dbMonitoringUserPassword indica il segreto per RDSADMIN, SYS eSYSTEM.
Se l'istanza DB esiste in una configurazione Oracle Data Guard, cerca un segreto utilizzando una delle seguenti convenzioni di denominazione:
```
do-not-delete-rds-custom-resource_id-uuid-dg
rds-custom!oracle-do-not-delete-resource_id-uuid-dg
```
In questo segreto è archiviata la password per RDS_DATAGUARD. Le seguenti chiavi di esempio riguardano l'istanza DB con l'ID di risorsa DB db-ABCDEFG12HIJKLNMNOPQRS3TUVWX e l'UUID 789012:
```
do-not-delete-rds-custom-db-ABCDEFG12HIJKLNMNOPQRS3TUVWX-789012-dg
rds-custom!oracle-do-not-delete-db-ABCDEFG12HIJKLNMNOPQRS3TUVWX-789012-dg
```
Per tutti gli utenti del database elencati in Utenti Oracle predefiniti, aggiorna le password seguendo le istruzioni riportate in Modificare un segreto. AWS Secrets Manager
Se il database è un database autonomo o un database di origine in una configurazione di Oracle Data Guard:
1. Avvia il client Oracle SQL e accedi come SYS.
2. Esegui un'istruzione SQL nel seguente modo per ogni utente del database elencato nella tabella Utenti Oracle predefiniti:
```
ALTER USER user-name IDENTIFIED BY pwd-from-secrets-manager ACCOUNT UNLOCK;
```
  Ad esempio, se la nuova password per RDSADMIN archiviata in Secrets Manager èpwd-123, esegui la seguente istruzione:
```
ALTER USER RDSADMIN IDENTIFIED BY pwd-123 ACCOUNT UNLOCK;
```
Se l'istanza DB è eseguita in Oracle Database 12c Release 1 (12.1) ed è gestita da Oracle Data Guard, copia manualmente il file di password (orapw) dall'istanza DB primaria in ciascuna istanza DB in standby.

Se l'istanza DB è ospitata in Amazon RDS, la posizione del file di password è /rdsdbdata/config/orapw. Per i database non ospitati in Amazon RDS, la posizione predefinita è $ORACLE_HOME/dbs/orapw$ORACLE_SID su Linux e UNIX e %ORACLE_HOME%\database\PWD%ORACLE_SID%.ora su Windows.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Proteggi il tuo bucket Amazon S3 dal problema del confuso assistente

Utilizzo di CEV per RDS Custom for Oracle