Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Rotieren der Anmeldeinformationen von RDS Custom für Oracle für Compliance-Programme
<a name="custom-security.cred-rotation"></a>

Bei einigen Compliance-Programmen müssen die Anmeldeinformationen der Datenbankbenutzer regelmäßig geändert werden, z. B. alle 90 Tage. RDS Custom für Oracle rotiert die Anmeldeinformationen für einige vordefinierte Datenbankbenutzer automatisch.

**Topics**
+ [Automatische Rotation der Anmeldeinformationen für vordefinierte Benutzer](#custom-security.cred-rotation.auto)
+ [Richtlinien für das Rotieren von Benutzeranmeldeinformationen](#custom-security.cred-rotation.guidelines)
+ [Manuelles Rotieren der Benutzeranmeldeinformationen](#custom-security.cred-rotation.manual)

## Automatische Rotation der Anmeldeinformationen für vordefinierte Benutzer
<a name="custom-security.cred-rotation.auto"></a>

Wenn Ihre DB-Instance von RDS Custom für Oracle in Amazon RDS gehostet wird, wechseln die Anmeldeinformationen für die folgenden vordefinierten Oracle-Benutzer automatisch alle 30 Tage. Die Anmeldeinformationen für die vorherigen Benutzer befinden sich in AWS Secrets Manager.


| Datenbankbenutzer | Erstellt von | Unterstützte Engine-Versionen | Hinweise | 
| --- | --- | --- | --- | 
|  `SYS`  |  Oracle  |  custom-oracle-ee custom-oracle-ee-cdb custom-oracle-se2 custom-oracle-se2-cdb  |  | 
|  `SYSTEM`  |  Oracle  |  custom-oracle-ee custom-oracle-ee-cdb custom-oracle-se2 custom-oracle-se2-CDB  |  | 
|  `RDSADMIN`  |  RDS  |  custom-oracle-ee custom-oracle-se2  |  | 
|  `C##RDSADMIN`  |  RDS  |  custom-oracle-ee-cdb custom-oracle-se2-CDB  | Benutzernamen mit einem C\$1\$1 Präfix existieren nur in. CDBs Weitere Informationen finden Sie unter [Überblick über CDBs die Architektur von Amazon RDS Custom for Oracle](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/custom-creating.html#custom-creating.overview). | 
|  `RDS_DATAGUARD`  |  RDS  |  custom-oracle-ee  | Dieser Benutzer ist nur in Lesereplikaten, Quelldatenbanken für Lesereplikate und Datenbanken vorhanden, die Sie mithilfe von Oracle Data Guard physisch zu RDS Custom migriert haben. | 
|  `C##RDS_DATAGUARD`  |  RDS  |  custom-oracle-ee-cdb  | Dieser Benutzer ist nur in Lesereplikaten, Quelldatenbanken für Lesereplikate und Datenbanken vorhanden, die Sie mithilfe von Oracle Data Guard physisch zu RDS Custom migriert haben. Benutzernamen mit einem C\$1\$1 Präfix existieren nur in CDBs. Weitere Informationen finden Sie unter [Überblick über CDBs die Architektur von Amazon RDS Custom for Oracle](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/custom-creating.html#custom-creating.overview). | 

Eine Ausnahme von der automatischen Rotation der Anmeldeinformationen ist eine DB-Instance von RDS Custom für Oracle, die Sie manuell als Standby-Datenbank konfiguriert haben. RDS rotiert nur die Anmeldeinformationen für Lesereplikate, die Sie mit dem CLI-Befehl `create-db-instance-read-replica` oder der API `CreateDBInstanceReadReplica` erstellt haben.

## Richtlinien für das Rotieren von Benutzeranmeldeinformationen
<a name="custom-security.cred-rotation.guidelines"></a>

Beachten Sie die folgenden Richtlinien, um sicherzustellen, dass Ihre Anmeldeinformationen entsprechend Ihrem Compliance-Programm rotieren:
+ Wenn Ihre DB-Instance die Anmeldeinformationen automatisch rotiert, ändern oder löschen Sie keine Secrets, Passwortdateien oder Passwörter für Benutzer, die unter [Vordefinierte Oracle-Benutzer](#auto-rotation) aufgeführt sind. Andernfalls platziert RDS Custom Ihre DB-Instance möglicherweise außerhalb des Support-Perimeters, wodurch die automatische Rotation ausgesetzt wird.
+ Der RDS-Hauptbenutzer ist nicht vordefiniert, sodass Sie entweder dafür verantwortlich sind, das Passwort manuell zu ändern oder die automatische Rotation in Secrets Manager einzurichten. Weitere Informationen finden Sie unter [Rotate AWS Secrets Manager Secrets](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html).

## Manuelles Rotieren der Benutzeranmeldeinformationen
<a name="custom-security.cred-rotation.manual"></a>

Für die folgenden Datenbankkategorien rotiert RDS die Anmeldeinformationen für die Benutzer, die unter [Vordefinierte Oracle-Benutzer](#auto-rotation) aufgeführt sind, nicht automatisch:
+ Eine Datenbank, die Sie manuell so konfiguriert haben, dass sie als Standby-Datenbank funktioniert.
+ Eine On-Premises-Datenbank.
+ Eine DB-Instance, die sich außerhalb des Support-Perimeters oder in einem Zustand befindet, in dem die RDS-Custom-Automatisierung nicht ausgeführt werden kann. In diesem Fall rotiert RDS Custom auch keine Schlüssel.

Wenn Ihre Datenbank in eine der vorherigen Kategorien fällt, müssen Sie Ihre Benutzeranmeldeinformationen manuell rotieren.

**So rotieren Sie die Benutzeranmeldeinformationen für eine DB-Instance manuell**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon RDS-Konsole unter [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/).

1. Stellen Sie unter **Datenbanken** sicher, dass RDS derzeit keine Backups Ihrer DB-Instance erstellt oder Vorgänge wie das Konfigurieren von Hochverfügbarkeit ausführt.

1. Wählen Sie auf der Seite mit den Datenbankdetails die Option **Konfiguration** und notieren Sie sich die Ressourcen-ID für die DB-Instance. Oder Sie können den AWS CLI Befehl verwenden`describe-db-instances`.

1. Öffnen Sie die Secrets Manager Manager-Konsole unter [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).

1. Geben Sie in das Suchfeld die Ressourcen-ID Ihrer Datenbank ein und suchen Sie mit einer der folgenden Benennungskonventionen nach einem Secret:

   ```
   do-not-delete-rds-custom-resource_id-uuid
   rds-custom!oracle-do-not-delete-resource_id-uuid
   ```

   Dieses Secret speichert das Passwort für `RDSADMIN`, `SYS` und `SYSTEM`. Der folgende Beispielschlüssel gilt für die DB-Instance mit der Ressourcen-ID `db-ABCDEFG12HIJKLNMNOPQRS3TUVWX` und UUID `123456`:

   ```
   do-not-delete-rds-custom-db-ABCDEFG12HIJKLNMNOPQRS3TUVWX-123456
   rds-custom!oracle-do-not-delete-db-ABCDEFG12HIJKLNMNOPQRS3TUVWX-123456
   ```
**Wichtig**  
Wenn Ihre DB-Instance ein Lesereplikat ist und die Engine `custom-oracle-ee-cdb` verwendet, existieren zwei Secrets mit dem Suffix `db-resource_id-uuid`, eines für den Hauptbenutzer und das andere für `RDSADMIN` ,`SYS` und `SYSTEM`. Führen Sie den folgenden Befehl auf dem Host aus, um das richtige Secret zu finden:  

   ```
   cat /opt/aws/rdscustomagent/config/database_metadata.json | python3 -c "import sys,json; print(json.load(sys.stdin)['dbMonitoringUserPassword'])"
   ```
Das `dbMonitoringUserPassword`-Attribut gibt das Secret für `RDSADMIN`, `SYS` und `SYSTEM` an.

1. Wenn Ihre DB-Instance in einer Konfiguration von Oracle Data Guard vorhanden ist, suchen Sie eine der folgenden Benennungskonventionen:

   ```
   do-not-delete-rds-custom-resource_id-uuid-dg
   rds-custom!oracle-do-not-delete-resource_id-uuid-dg
   ```

   Dieses Secret speichert das Passwort für `RDS_DATAGUARD`. Der folgende Beispielschlüssel gilt für die DB-Instance mit der DB-Ressourcen-ID `db-ABCDEFG12HIJKLNMNOPQRS3TUVWX` und UUID **789012**:

   ```
   do-not-delete-rds-custom-db-ABCDEFG12HIJKLNMNOPQRS3TUVWX-789012-dg
   rds-custom!oracle-do-not-delete-db-ABCDEFG12HIJKLNMNOPQRS3TUVWX-789012-dg
   ```

1. Aktualisieren Sie für alle Datenbankbenutzer, die unter [Vordefinierte Oracle-Benutzer](#auto-rotation) aufgeführt sind, die Kennwörter, indem Sie den Anweisungen unter [Ändern eines AWS Secrets Manager Geheimnisses](https://docs.aws.amazon.com/secretsmanager/latest/userguide/manage_update-secret.html) folgen.

1. Wenn Ihre Datenbank eine eigenständige Datenbank oder eine Quelldatenbank in einer Konfiguration von Oracle Data Guard ist:

   1. Starten Sie Ihren Oracle-SQL-Client und melden Sie sich als `SYS` an.

   1. Führen Sie für jeden Datenbankbenutzer, der unter [Vordefinierte Oracle-Benutzer](#auto-rotation) aufgeführt ist, eine SQL-Anweisung in der folgenden Form aus:

      ```
      ALTER USER user-name IDENTIFIED BY pwd-from-secrets-manager ACCOUNT UNLOCK;
      ```

      Wenn das neue Passwort für `RDSADMIN`, das in Secrets Manager gespeichert ist, beispielsweise `pwd-123` lautet, führen Sie die folgende Anweisung aus:

      ```
      ALTER USER RDSADMIN IDENTIFIED BY pwd-123 ACCOUNT UNLOCK;
      ```

1. Wenn Ihre DB-Instance Oracle Database 12c Release 1 (12.1) ausführt und von Oracle Data Guard verwaltet wird, kopieren Sie die Passwortdatei (`orapw`) manuell von der primären DB-Instance auf jede Standby-DB-Instance. 

   Wenn Ihre DB-Instance in Amazon RDS gehostet wird, lautet der Speicherort der Passwortdatei `/rdsdbdata/config/orapw`. Für Datenbanken, die nicht in Amazon RDS gehostet werden, ist der Standardspeicherort unter Linux und UNIX `$ORACLE_HOME/dbs/orapw$ORACLE_SID` und unter Windows `%ORACLE_HOME%\database\PWD%ORACLE_SID%.ora`.