All Products
Search

This Product

    ApsaraDB RDS:Buat akun standar, istimewa, dan global read-only

    Document Center

    ApsaraDB RDS:Buat akun standar, istimewa, dan global read-only

    Last Updated:Jun 22, 2026

    Anda dapat membuat akun standar, istimewa, dan global read-only untuk instans ApsaraDB RDS for SQL Server melalui Konsol ApsaraDB RDS atau dengan memanggil operasi API.

    Prasyarat

    • Akun pertama yang Anda buat untuk suatu instans harus berupa akun istimewa atau akun superuser (izin SA).

    • Anda dapat membuat akun istimewa dan akun standar untuk instans dari semua family instans. Akun global read-only dapat dibuat untuk instans yang memenuhi persyaratan berikut:

      • Versi mesin database: SQL Server 2016 atau yang lebih baru.

      • Family instans: general-purpose atau dedicated.

    • Batas akun:

      • Akun standar: Tidak terbatas.

      • Akun istimewa: Maksimal satu akun istimewa per instans.

      • Akun global read-only: Maksimal dua akun global read-only per instans.

    Aturan izin akun

    Akun istimewa

    Skenario

    Perilaku izin

    Buat akun istimewa

    Saat Anda membuat akun istimewa, sistem secara otomatis memberikan role db_owner untuk semua database yang sudah ada. Otorisasi manual tidak diperlukan.

    Tambahkan database

    • Akun tersebut tidak memiliki akses ke database yang dibuat setelahnya.

    • Anda harus login ke Konsol ApsaraDB RDS dan mengubah cakupan izin akun istimewa untuk memberikan role db_owner pada database baru tersebut.

    Hapus akun istimewa

    • Operasi ini menghapus permanen akun beserta semua izinnya di semua database.

    • Akun tersebut tidak dapat lagi digunakan untuk login atau melakukan operasi database apa pun.

    Buat ulang akun istimewa

    • Jika Anda membuat kembali akun istimewa, baik menggunakan nama akun asli maupun tidak, sistem secara otomatis memberikan role db_owner untuk semua database yang ada di instans saat ini.

    • Untuk database yang dibuat kemudian, Anda tetap perlu mengubah izin secara manual untuk memberikan role db_owner.

    Akun standar

    Skenario

    Perilaku izin

    Buat akun standar

    • Saat membuat akun, Anda harus menentukan secara manual database yang diizinkan dan izin yang sesuai (baca/tulis, read-only, atau Owner).

    • Jika Anda tidak memilih database apa pun, akun akan dibuat tetapi tidak memiliki izin untuk mengakses database mana pun.

    • Izin untuk akun ini harus diberikan secara manual.

    Tambahkan database

    Hapus akun standar

    • Menghapus akun akan menghapus permanen semua izin akses database-nya.

    • Akun tersebut tidak dapat lagi digunakan untuk login atau melakukan operasi database apa pun.

    • Koneksi dari aplikasi terkait akan gagal. Anda harus segera memperbarui informasi akun dan password.

    Buat ulang akun standar dengan nama yang sama

    Akun global read-only

    Skenario

    Perilaku izin

    Buat akun global read-only

    • Setelah akun dibuat, akun tersebut secara otomatis diberikan izin read-only pada semua database yang ada di instans. Anda tidak perlu memberikan izin untuk masing-masing database.

    • Akun tersebut tidak memiliki izin akses pada database sistem master dan rdscore (jika ada).

    Tambahkan database

    Akun tersebut secara otomatis mendapatkan akses read-only ke database baru.

    Hapus akun global read-only

    • Operasi ini menghapus permanen akun beserta izin read-only-nya.

    • Akun tersebut tidak dapat lagi digunakan untuk login atau melakukan operasi database apa pun.

    Buat ulang akun global read-only

    • Jika Anda membuat kembali akun global read-only, baik menggunakan nama akun asli maupun tidak, sistem secara otomatis memberikan izin read-only pada semua database yang ada di instans saat ini.

    • Akun tersebut secara otomatis mendapatkan izin read-only pada database yang dibuat kemudian. Otorisasi manual tidak diperlukan.

    Catatan penting

    • Gunakan password yang kuat: Untuk memastikan keamanan database, atur password yang kuat untuk akun database Anda dan ganti secara berkala. Anda juga dapat mengatur kebijakan kata sandi untuk akun guna mengontrol periode validitas password dan meningkatkan keamanan akun.

    • Ikuti prinsip least privilege: Tetapkan izin sesuai dengan prinsip least privilege. Buat akun berdasarkan peran bisnis dan berikan izin read-only atau baca/tulis sesuai kebutuhan. Jika diperlukan, buat akun database dan database dengan granularitas lebih detail. Hal ini memastikan bahwa setiap akun database hanya dapat mengakses data yang diperlukan untuk bisnisnya. Jika operasi tulis tidak diperlukan, berikan izin read-only.

    Buat akun

    1. Buka halaman Instances. Di bilah navigasi atas, pilih wilayah tempat instans RDS berada. Lalu, temukan instans RDS dan klik ID instans tersebut.

    2. Di panel navigasi kiri, klik Accounts.

    3. Klik Create Account dan konfigurasikan parameter berikut.

      Catatan

      Akun pertama untuk suatu instans harus berupa akun istimewa atau akun superuser. Anda hanya dapat membuat jenis akun lain setelah salah satu dari akun tersebut ada.

      Akun istimewa

      Parameter

      Description

      Database Account

      Masukkan nama untuk akun database. Nama harus diawali dengan huruf kecil dan diakhiri dengan huruf kecil atau angka. Nama dapat berisi huruf kecil, angka, dan garis bawah (_). Nama akun tidak boleh sama dengan keyword.

      Account Type

      Pilih Privileged Account. Setiap instans hanya mendukung satu akun istimewa.

      New Password

      Masukkan password untuk akun tersebut. Password harus memenuhi persyaratan berikut:

      • Password harus terdiri dari 8 hingga 32 karakter.

      • Password harus mengandung minimal tiga jenis karakter berikut: huruf kapital, huruf kecil, angka, dan karakter khusus.

      • Karakter khusus yang didukung adalah: !@#$%^&*()_+-=.

      Confirm Password

      Masukkan kembali password untuk konfirmasi.

      Apply password policy

      Dengan menerapkan kebijakan kata sandi, Anda dapat mengontrol periode validitas password dan meningkatkan keamanan akun. Sebelum menerapkan kebijakan, Anda harus menetapkan kebijakan kata sandi untuk akun tersebut.

      Description

      Masukkan deskripsi. Panjang deskripsi maksimal 256 karakter.

      Akun standar

      Parameter

      Description

      Database Account

      Masukkan nama untuk akun database. Nama harus dimulai dengan huruf kecil dan diakhiri dengan huruf kecil atau angka. Nama dapat berisi huruf kecil, angka, dan garis bawah (_). Nama akun tidak boleh sama dengan keyword.

      Account Type

      Pilih Standard Account. Satu instans dapat memiliki beberapa akun standar.

      Authorize Database:

      Anda dapat memberikan izin kepada Standard Account pada satu atau beberapa database dan menetapkan izin berbeda untuk setiap database. Jika belum ada database, Anda dapat mengosongkan bidang ini dan memberikan izin kepada akun tersebut nanti. Untuk memberikan izin, lakukan langkah-langkah berikut:

      1. Pada daftar Unauthorized Databases, pilih database yang ingin Anda otorisasi.

      2. Klik image.png untuk menambahkan database ke daftar Authorized Databases.

      3. Tetapkan izin pada database untuk akun tersebut. Anda dapat mengatur izin menjadi Read/Write (DML), Read-Only, atau Owner. Untuk informasi lebih lanjut mengenai izin, lihat Account permissions.

      New Password

      Masukkan password untuk akun tersebut. Password harus memenuhi persyaratan berikut:

      • Password harus terdiri dari 8 hingga 32 karakter.

      • Password harus mengandung minimal tiga jenis karakter berikut: huruf kapital, huruf kecil, angka, dan karakter khusus.

      • Karakter khusus yang didukung: !@#$%^&*()_+-=.

      Confirm Password

      Masukkan kembali password untuk konfirmasi.

      Apply password policy

      Dengan menerapkan kebijakan kata sandi, Anda dapat mengontrol periode validitas password dan meningkatkan keamanan akun. Sebelum menerapkan kebijakan, Anda harus menetapkan kebijakan kata sandi untuk akun tersebut.

      Description

      Masukkan deskripsi. Panjang deskripsi maksimal 256 karakter.

      Akun global read-only

      Parameter

      Description

      Database Account

      Masukkan nama untuk akun database. Nama harus diawali dengan huruf kecil dan diakhiri dengan huruf kecil atau angka. Nama dapat berisi huruf kecil, angka, dan garis bawah (_). Nama akun tidak boleh sama dengan keyword.

      Account Type

      Pilih global read-only account. Setelah akun ini dibuat, izin read-only secara otomatis diberikan pada semua database yang ada di instans tersebut. Izin ini juga berlaku untuk database baru.

      New Password

      Masukkan password untuk akun tersebut. Password harus memenuhi persyaratan berikut:

      • Password harus terdiri dari 8 hingga 32 karakter.

      • Password harus mengandung minimal tiga dari jenis karakter berikut: huruf kapital, huruf kecil, angka, dan karakter khusus.

      • Karakter khusus yang didukung adalah: !@#$%^&*()_+-=.

      Confirm Password

      Masukkan kembali password untuk konfirmasi.

      Apply password policy

      Dengan menerapkan kebijakan kata sandi, Anda dapat mengatur periode validitas password dan meningkatkan keamanan akun. Sebelum menerapkan kebijakan, Anda harus menetapkan kebijakan kata sandi untuk akun tersebut.

      Description

      Masukkan deskripsi. Panjang deskripsi maksimal 256 karakter.

    4. Klik OK. Setelah halaman dimuat ulang, Anda dapat melihat akun yang telah Anda buat.

    Referensi

    FAQ

    Akun pada instans read-only

    Akun yang dibuat pada instans primary disinkronkan ke instans read-only-nya. Anda tidak dapat mengelola akun pada instans read-only. Pada instans read-only, akun hanya memiliki izin read-only dan tidak dapat digunakan untuk melakukan operasi tulis.

    Lewati pemeriksaan kompleksitas password

    Untuk memastikan keamanan database, ApsaraDB RDS for SQL Server mewajibkan password memiliki panjang 8 hingga 32 karakter dan mengandung minimal tiga dari jenis karakter berikut: huruf kapital, huruf kecil, angka, dan karakter khusus.

    Jika Anda harus melewati pemeriksaan kompleksitas password karena kebutuhan bisnis, ikuti langkah-langkah berikut:

    Penting

    Password sederhana meningkatkan risiko serangan sistem. Kami menyarankan agar Anda mengatur password yang kuat untuk akun database Anda dan menggantinya secara berkala.

    1. Buat akun pengguna pada instans RDS (Akun A). Gunakan SQL Server Management Studio (SSMS) dan akun ini untuk menghubungkan ke instans SQL Server.

    2. Gunakan akun A untuk membuat akun target. Saat membuat akun target, nonaktifkan pemeriksaan kompleksitas password dengan menjalankan pernyataan SQL berikut:

      Catatan

      Anda tidak dapat beralih ke database master untuk koneksi SQL Server menggunakan DMS. Harap hubungkan menggunakan SSMS dan eksekusi pernyataan SQL.

      -- Beralih ke database master.
USE master
GO
-- Buat akun target.
CREATE LOGIN [Target Account Name] WITH PASSWORD=N'Target Account Password', CHECK_EXPIRATION=OFF, CHECK_POLICY=OFF
GO
-- Aktifkan akun target.
ALTER LOGIN [Target Account Name] ENABLE
GO

      CHECK_EXPIRATION = OFF menonaktifkan fitur kedaluwarsa password. CHECK_POLICY = OFF menonaktifkan pemeriksaan kebijakan kompleksitas password, termasuk persyaratan panjang dan kompleksitas password.

      Catatan

      Anda dapat menggunakan Konsol ApsaraDB RDS untuk menyesuaikan kebijakan kata sandi untuk akun pengguna individual pada instans ApsaraDB RDS for SQL Server guna menerapkan manajemen password detail halus dan meningkatkan keamanan akun.

    Akun ApsaraDB RDS for SQL Server tidak aktif dan login gagalAkun dinonaktifkan.?

    Gejala

    Di halaman Accounts instans ApsaraDB RDS for SQL Server, status akun pengguna ditampilkan sebagai inactive. Saat Anda menggunakan akun yang tidak aktif untuk login ke database, dikembalikan error The account is disabled..

    Pesan error lengkapnya adalah Login failed for user 'zht01'. Reason: The account is disabled., yang sesuai dengan error Microsoft SQL Server 18470.

    Penyebab

    Akun pengguna yang dibuat di halaman Accounts instans ApsaraDB RDS for SQL Server atau dengan memanggil operasi API aktif secara default dan tidak perlu diaktifkan secara manual. Jika status akun berubah menjadi tidak aktif, penyebabnya mungkin salah satu dari berikut:

    • Status akun ditentukan sebagai dinonaktifkan saat Anda membuat akun menggunakan pernyataan SQL.

    • Status akun diubah secara manual menjadi dinonaktifkan setelah Anda membuat akun di Konsol ApsaraDB RDS atau dengan memanggil operasi API.

    Solusi

    1. Gunakan SSMS dan akun aktif lain untuk menghubungkan ke instans SQL Server.

    2. Periksa apakah akun pengguna target dinonaktifkan. Jika iya, aktifkan kembali.

      • Metode 1: Gunakan antarmuka GUI SSMS untuk memeriksa dan mengubah status akun.

        Di Object Explorer SSMS, perluas Security > Logins. Klik dua kali login target (misalnya, zht01) untuk membuka kotak dialog Login Properties. Di sebelah kiri, klik Status. Di bagian Login di sebelah kanan, pilih Enabled lalu klik OK.

      • Metode 2: Gunakan SQL untuk memeriksa dan mengubah status akun.

        1. Jalankan kueri SQL berikut untuk memastikan status saat ini dari akun target:

          -- Kueri status login target.
SELECT 
    name AS LoginName,          -- Nama login
    is_disabled AS IsDisabled   -- Status: 1 berarti dinonaktifkan, dan 0 berarti diaktifkan.
FROM 
    sys.server_principals
WHERE 
    name = 'Ganti dengan nama login target';
          LoginName    IsDisabled
---------    ----------
zht01        1

        2. Jika akun target dinonaktifkan (is_disabled = 1), jalankan perintah SQL berikut untuk mengaktifkan akun:

          ALTER LOGIN [Ganti dengan nama login target] ENABLE;
          ALTER LOGIN zht01 ENABLE;
Commands completed successfully.
Completion time: 2025-06-26T13:58:17.5090371+08:00

    Error saat membuat pengguna dengan memanggil operasi CreateAccountAccountLimitExceeded?

    Gejala

    Saat Anda memanggil operasi API CreateAccount untuk membuat akun database, Anda mungkin menerima error berikut jika menentukan parameter yang salah:

    "Code": "AccountLimitExceeded",
"Message": "AccountQuotaExceeded: Exceeding the allowed amount of account"

    Error ini menunjukkan bahwa jumlah akun pada instans telah mencapai batas maksimum.

    Penyebab

    • Batas akun: Maksimal satu akun istimewa dan satu akun superuser per instans. Akun istimewa tidak dapat dihapus.

    • Pengaturan parameter salah: Untuk instans SQL Server, error AccountLimitExceeded terjadi jika Anda mengatur parameter AccountType ke Sysadmin (akun superuser) atau Super (akun istimewa), tetapi akun jenis tersebut sudah ada.

    Solusi

    • Buat akun standar: Atur parameter AccountType ke Normal. ApsaraDB RDS biasanya tidak membatasi jumlah akun standar. Batas aktual tergantung pada kernel instans.

    • Buat akun istimewa: Atur parameter AccountType ke Super. Di halaman Accounts Konsol ApsaraDB RDS, periksa apakah akun istimewa sudah ada. Jika sudah ada, jangan buat yang baru.

    • Buat akun superuser: Atur parameter AccountType ke Sysadmin. Di halaman Accounts Konsol ApsaraDB RDS, periksa apakah akun superuser sudah ada. Jika sudah ada, jangan buat yang baru.