全部产品
Search

搜索本产品

    ApsaraDB RDS:Buat akun standar, istimewa, dan read-only global

    文档中心

    ApsaraDB RDS:Buat akun standar, istimewa, dan read-only global

    更新时间:Nov 20, 2025

    Anda dapat membuat akun standar, istimewa, dan read-only global untuk instans ApsaraDB RDS for SQL Server melalui Konsol ApsaraDB RDS atau dengan memanggil operasi API.

    Cakupan

    • Akun pertama untuk suatu instans harus berupa akun istimewa atau akun superuser (izin SA).

    • Akun istimewa dan standar dapat dibuat untuk instans dengan semua spesifikasi. Akun read-only global dapat dibuat untuk instans yang memenuhi persyaratan berikut:

      • Versi database: SQL Server 2016 atau lebih baru.

      • Famili instans: tujuan umum atau dedicated.

    • Batas akun:

      • Akun standar: Tidak terbatas.

      • Akun istimewa: Maksimal satu akun istimewa per instans.

      • Akun read-only global: Maksimal dua akun read-only global per instans.

    Aturan izin akun

    Aturan manajemen akun istimewa

    Skenario

    Perilaku izin

    Buat akun istimewa

    Saat dibuat, akun tersebut secara otomatis diberikan peran db_owner untuk semua database yang ada. Tidak diperlukan otorisasi manual.

    Tambahkan database

    • Akun tidak memiliki izin akses pada database yang dibuat setelah akun tersebut dibuat.

    • Masuk ke Konsol ApsaraDB RDS dan ubah cakupan izin akun istimewa untuk memberikan izin db_owner pada database baru tersebut.

    Hapus akun istimewa

    • Operasi ini menghapus akun dan semua izinnya pada semua database secara permanen.

    • Akun tidak dapat lagi digunakan untuk masuk ke instans atau melakukan operasi database apa pun.

    Buat ulang akun istimewa

    • Jika Anda membuat kembali akun istimewa, terlepas dari apakah Anda menggunakan nama akun asli atau tidak, sistem secara otomatis memberikan izin db_owner pada akun baru tersebut untuk semua database yang ada di instans saat ini.

    • Untuk database yang dibuat setelah ini, Anda tetap harus memodifikasi izin secara manual untuk memberikan izin db_owner pada akun tersebut.

    Aturan manajemen akun standar

    Skenario

    Perilaku izin

    Buat akun standar

    • Saat membuat akun, Anda harus menentukan secara manual database yang akan diotorisasi dan izin yang sesuai (baca/tulis, read-only, atau owner).

    • Jika Anda tidak memilih database apa pun, akun akan dibuat tetapi tidak memiliki izin akses ke database mana pun.

    • Akun tidak memiliki izin pada database apa pun. Anda harus memberikan izin secara manual.

    Tambahkan database

    Hapus akun standar

    • Setelah akun dihapus, semua izin akses database-nya dihapus secara permanen.

    • Akun tidak dapat lagi digunakan untuk masuk ke instans atau melakukan operasi database apa pun.

    • Koneksi dari aplikasi terkait akan gagal. Perbarui informasi akun dan kata sandi segera.

    Buat ulang akun standar dengan nama yang sama

    Aturan manajemen akun read-only global

    Skenario

    Perilaku izin

    Buat akun read-only global

    • Setelah akun dibuat, akun tersebut secara otomatis diberikan izin read-only pada semua database yang ada di instans. Anda tidak perlu memberikan izin untuk setiap database.

    • Akun tidak memiliki izin akses pada database sistem master dan rdscore (jika ada).

    Tambahkan database

    Untuk database baru (database yang dibuat setelah akun dibuat), akun tersebut secara otomatis diberikan akses read-only. Anda tidak perlu memberikan izin secara manual atau mengubah cakupannya.

    Hapus akun read-only global

    • Operasi ini menghapus akun dan izin read-only-nya secara permanen.

    • Akun tidak dapat lagi digunakan untuk masuk ke instans atau melakukan operasi database apa pun.

    Buat ulang akun read-only global

    • Jika Anda membuat kembali akun read-only global, terlepas dari apakah Anda menggunakan nama akun asli atau tidak, sistem secara otomatis memberikan izin read-only pada semua database yang ada di instans saat ini.

    • Untuk database yang dibuat setelah ini, akun tersebut tetap diberikan izin read-only secara otomatis. Tidak diperlukan otorisasi manual.

    Catatan

    • Tetapkan kata sandi yang kuat: Untuk memastikan keamanan database, tetapkan kata sandi yang kuat untuk akun database dan ubah secara berkala. Anda juga dapat menetapkan kebijakan kata sandi untuk akun guna mengontrol periode validitas kata sandi dan meningkatkan keamanan akun.

    • Prinsip hak istimewa minimal: Saat memberikan izin kepada akun database, ikuti prinsip hak istimewa minimal. Buat akun berdasarkan peran bisnis dan berikan izin read-only serta baca/tulis sesuai kebutuhan. Jika perlu, Anda dapat membuat akun database dan database dengan granularitas lebih detail. Hal ini memastikan bahwa setiap akun database hanya dapat mengakses data yang diperlukan untuk bisnisnya. Jika operasi tulis tidak diperlukan, berikan izin read-only.

    Buat akun

    1. Buka halaman Instances. Di bilah navigasi atas, pilih wilayah tempat instans RDS berada. Lalu, temukan instans RDS dan klik ID instans tersebut.

    2. Di panel navigasi sebelah kiri, klik Accounts.

    3. Klik Create Account dan atur parameter berikut.

      Catatan

      Akun pertama untuk instans ApsaraDB RDS for SQL Server harus berupa akun istimewa atau akun superuser. Anda hanya dapat membuat akun standar atau read-only global setelah membuat akun istimewa atau superuser.

      Akun istimewa

      Parameter

      Deskripsi

      Database Account

      Masukkan nama akun database. Nama harus dimulai dengan huruf dan diakhiri dengan huruf atau angka. Nama dapat berisi huruf kecil, angka, dan garis bawah (_). Nama akun tidak boleh berupa kata kunci.

      Account Type

      Pilih Privileged Account. Setiap instans hanya mendukung satu akun istimewa.

      New Password

      Masukkan kata sandi untuk akun. Kata sandi harus memenuhi persyaratan berikut:

      • Panjang 8 hingga 32 karakter.

      • Berisi minimal tiga dari jenis karakter berikut: huruf kapital, huruf kecil, angka, dan karakter khusus.

      • Karakter khusus adalah !@#$%^&*()_+-=.

      Confirm Password

      Masukkan kembali kata sandi yang sama untuk mengonfirmasinya.

      Apply Password Policy

      Menerapkan kebijakan kata sandi memungkinkan Anda mengontrol periode validitas kata sandi dan meningkatkan keamanan akun. Sebelum menerapkan kebijakan, Anda harus terlebih dahulu menetapkan kebijakan kata sandi untuk akun.

      Description

      Masukkan deskripsi. Panjang deskripsi maksimal 256 karakter.

      Akun standar

      Parameter

      Deskripsi

      Database Account

      Masukkan nama akun database. Nama harus dimulai dengan huruf dan diakhiri dengan huruf atau angka. Nama dapat berisi huruf kecil, angka, dan garis bawah (_). Nama akun tidak boleh berupa kata kunci.

      Account Type

      Pilih Standard Account. Satu instans dapat memiliki beberapa akun standar.

      Authorize Database:

      Anda dapat memberikan izin Standard Account pada satu atau beberapa database dan menetapkan izin berbeda untuk masing-masing. Jika belum ada database yang dibuat, Anda dapat mengosongkan bidang ini dan memberikan izin ke akun nanti. Untuk memberikan izin:

      1. Di daftar Unauthorized Databases, pilih database yang ingin Anda otorisasi.

      2. Klik image.png untuk menambahkan database ke daftar Authorized Databases.

      3. Tetapkan izin pada database untuk akun tersebut. Izin dapat berupa Read/Write (DML), Read-Only, atau Owner. Untuk informasi selengkapnya tentang izin, lihat Account permissions.

      New Password

      Masukkan kata sandi untuk akun. Kata sandi harus memenuhi persyaratan berikut:

      • Panjang 8 hingga 32 karakter.

      • Berisi minimal tiga dari jenis karakter berikut: huruf kapital, huruf kecil, angka, dan karakter khusus.

      • Karakter khusus adalah !@#$%^&*()_+-=.

      Confirm Password

      Masukkan kembali kata sandi yang sama untuk mengonfirmasinya.

      Apply Password Policy

      Menerapkan kebijakan kata sandi memungkinkan Anda mengontrol periode validitas kata sandi dan meningkatkan keamanan akun. Sebelum menerapkan kebijakan, Anda harus terlebih dahulu menetapkan kebijakan kata sandi untuk akun.

      Description

      Masukkan deskripsi. Panjang deskripsi maksimal 256 karakter.

      Akun read-only global

      Parameter

      Deskripsi

      Database Account

      Masukkan nama akun database. Nama harus dimulai dengan huruf dan diakhiri dengan huruf atau angka. Nama dapat berisi huruf kecil, angka, dan garis bawah (_). Nama akun tidak boleh berupa kata kunci.

      Account Type

      Pilih Global Read-only Account. Setelah akun ini dibuat, akun tersebut secara otomatis diberikan izin read-only pada semua database yang ada di instans. Izin ini juga berlaku untuk database baru apa pun.

      New Password

      Masukkan kata sandi untuk akun. Kata sandi harus memenuhi persyaratan berikut:

      • Panjang 8 hingga 32 karakter.

      • Berisi minimal tiga dari jenis karakter berikut: huruf kapital, huruf kecil, angka, dan karakter khusus.

      • Karakter khusus adalah !@#$%^&*()_+-=.

      Confirm Password

      Masukkan kembali kata sandi yang sama untuk mengonfirmasinya.

      Apply Password Policy

      Menerapkan kebijakan kata sandi memungkinkan Anda mengontrol periode validitas kata sandi dan meningkatkan keamanan akun. Sebelum menerapkan kebijakan, Anda harus terlebih dahulu menetapkan kebijakan kata sandi untuk akun.

      Description

      Masukkan deskripsi. Panjang deskripsi maksimal 256 karakter.

    4. Klik OK. Setelah halaman dimuat ulang, Anda dapat melihat akun yang telah dibuat.

    Referensi

    FAQ

    Apakah akun yang dibuat pada instans utama dapat digunakan pada instans read-only?

    Akun yang dibuat pada instans utama disinkronkan ke instans read-only-nya. Anda tidak dapat mengelola akun pada instans read-only. Akun pada instans read-only hanya memiliki izin read-only dan tidak dapat digunakan untuk melakukan operasi tulis.

    Bagaimana cara melewati persyaratan kompleksitas kata sandi untuk instans ApsaraDB RDS for SQL Server?

    Untuk memastikan keamanan database, ApsaraDB RDS for SQL Server mensyaratkan bahwa kata sandi berisi minimal tiga dari jenis karakter berikut: huruf kapital, huruf kecil, angka, dan karakter khusus. Kata sandi harus terdiri dari 8 hingga 32 karakter.

    Namun, jika Anda harus melewati persyaratan kompleksitas kata sandi karena kebutuhan bisnis, lakukan langkah-langkah berikut:

    Penting

    Kata sandi sederhana meningkatkan risiko serangan terhadap sistem Anda. Tetapkan kata sandi yang kuat untuk akun database Anda dan ubah secara berkala.

    1. Buat akun pengguna A di instans RDS, lalu gunakan akun A dengan SQL Server Management Studio (SSMS) untuk menghubungkan ke instans SQL Server.

    2. Gunakan akun A untuk membuat akun tujuan. Saat membuat akun tujuan, nonaktifkan pemeriksaan kompleksitas kata sandi. Pernyataan SQL-nya adalah sebagai berikut:

      Catatan

      Anda tidak dapat beralih ke database master saat menghubungkan ke database SQL Server menggunakan DMS. Anda harus menghubungkan ke instans menggunakan SSMS untuk menjalankan pernyataan SQL.

      -- Beralih ke database master
USE master
GO
-- Buat akun tujuan
CREATE LOGIN [Destination Account Name] WITH PASSWORD=N'Destination Account Password', CHECK_EXPIRATION=OFF, CHECK_POLICY=OFF
GO
-- Aktifkan akun tujuan
ALTER LOGIN [Destination Account Name] ENABLE
GO

      CHECK_EXPIRATION = OFF menonaktifkan fitur kedaluwarsa kata sandi. CHECK_POLICY = OFF menonaktifkan pemeriksaan kebijakan kompleksitas kata sandi, yang mencakup persyaratan panjang dan kompleksitas kata sandi.

      Catatan

      Anda dapat menggunakan Konsol RDS untuk menyesuaikan kebijakan kata sandi untuk akun pengguna individual pada instans RDS SQL Server guna menerapkan manajemen kata sandi detail halus dan meningkatkan keamanan akun.

    Mengapa akun ApsaraDB RDS for SQL Server ditampilkan sebagai Inactive dan muncul pesan kesalahan The account is disabled. saat masuk?

    Gejala

    Di halaman Accounts instans ApsaraDB RDS for SQL Server, status akun ditampilkan sebagai Inactive. Saat Anda mencoba masuk ke database menggunakan akun yang tidak aktif, pesan kesalahan The account is disabled. dikembalikan.

    image

    image

    Penyebab

    Akun pengguna yang Anda buat di halaman Accounts instans ApsaraDB RDS for SQL Server atau dengan memanggil operasi API aktif secara default. Anda tidak perlu mengaktifkannya secara manual. Jika akun menjadi tidak aktif, biasanya disebabkan oleh salah satu alasan berikut:

    • Anda menentukan status akun sebagai dinonaktifkan saat membuat akun menggunakan pernyataan SQL.

    • Anda mengubah status akun menjadi dinonaktifkan secara manual setelah membuat akun di Konsol RDS atau dengan memanggil operasi API.

    Solusi

    1. Gunakan akun aktif lain untuk menghubungkan ke instans SQL Server menggunakan SSMS.

    2. Periksa apakah akun target dinonaktifkan. Jika ya, aktifkan akun tersebut.

      • Metode 1: Lihat dan ubah status akun di antarmuka pengguna grafis (GUI) SQL Server Management Studio (SSMS).

        image

      • Metode 2: Lihat dan ubah status akun menggunakan pernyataan SQL.

        1. Jalankan kueri SQL berikut untuk memeriksa status akun target saat ini:

          -- Kueri status nama logon target.
SELECT 
    name AS LoginName,          -- Nama logon
    is_disabled AS IsDisabled   -- Status: 1 menunjukkan dinonaktifkan, 0 menunjukkan diaktifkan.
FROM 
    sys.server_principals
WHERE 
    name = 'Ganti dengan nama logon target';

          image

        2. Jika akun target dinonaktifkan (is_disabled = 1), jalankan perintah SQL berikut untuk mengaktifkan akun:

          ALTER LOGIN [Ganti dengan nama logon target] ENABLE;

          image

    Mengapa muncul kesalahan AccountLimitExceeded saat saya memanggil operasi CreateAccount untuk membuat pengguna?

    Masalah

    Saat Anda memanggil operasi API CreateAccount untuk membuat akun database, Anda mungkin menerima kesalahan berikut jika menentukan parameter yang salah:

    "Code": "AccountLimitExceeded",
"Message": "AccountQuotaExceeded: Exceeding the allowed amount of account"

    Kesalahan ini menunjukkan bahwa jumlah akun di instans telah mencapai batas maksimum.

    Penyebab

    • Batas akun: Maksimal satu akun istimewa dan satu akun Sysadmin diperbolehkan per instans. Akun istimewa tidak dapat dihapus.

    • Pengaturan parameter yang salah: Untuk instans SQL Server, kesalahan AccountLimitExceeded dipicu jika Anda mengatur parameter AccountType ke Sysadmin atau Super, tetapi akun jenis tersebut sudah ada.

    Solusi

    • Untuk membuat akun standar, atur parameter AccountType ke Normal. RDS biasanya tidak membatasi jumlah akun standar. Batas aktual tergantung pada kernel instans.

    • Untuk membuat akun istimewa, atur parameter AccountType ke Super. Di halaman Accounts Konsol RDS, periksa apakah akun istimewa sudah ada. Jika sudah ada, jangan buat yang lain.

    • Untuk membuat akun Sysadmin, atur parameter AccountType ke Sysadmin. Di halaman Accounts Konsol RDS, periksa apakah akun Sysadmin sudah ada. Jika sudah ada, jangan buat yang lain.