すべてのプロダクト
Search

このプロダクト

    ApsaraDB RDS:標準アカウント、特権アカウント、およびグローバル読み取り専用アカウントの作成

    ドキュメントセンター

    ApsaraDB RDS:標準アカウント、特権アカウント、およびグローバル読み取り専用アカウントの作成

    最終更新日:Nov 20, 2025

    ApsaraDB RDS コンソールで、または API 操作を呼び出すことによって、ApsaraDB RDS for SQL Server インスタンスの標準アカウント、特権アカウント、およびグローバル読み取り専用アカウントを作成できます。

    範囲

    • インスタンスの最初のアカウントは、特権アカウントまたは スーパーユーザーアカウント (SA 権限) である必要があります。

    • 特権アカウントと標準アカウントは、すべての仕様のインスタンスで作成できます。 グローバル読み取り専用アカウントは、次の要件を満たすインスタンスで作成できます。

      • データベースバージョン: SQL Server 2016 以降。

      • インスタンスファミリー: 汎用または専用。

    • アカウントの制限:

      • 標準アカウント: 制限なし。

      • 特権アカウント: インスタンスごとに最大 1 つの特権アカウント。

      • グローバル読み取り専用アカウント: インスタンスごとに最大 2 つのグローバル読み取り専用アカウント。

    アカウント権限ルール

    特権アカウント管理ルール

    シナリオ

    権限の動作

    特権アカウントの作成

    作成されると、アカウントには既存のすべてのデータベースに対する db_owner ロールが自動的に付与されます。 手動での権限付与は必要ありません。

    データベースの追加

    • アカウントには、アカウント作成後に作成されたデータベースに対するアクセス権限がありません。

    • ApsaraDB RDS コンソールにログインし、特権アカウントの権限範囲を変更して、新しいデータベースに対する db_owner 権限を付与します。

    特権アカウントの削除

    • この操作により、アカウントとそのすべてのデータベースに対する権限が完全に削除されます。

    • アカウントは、インスタンスへのログインやデータベース操作の実行には使用できなくなります。

    特権アカウントの再作成

    • 元のアカウント名を使用するかどうかに関係なく、特権アカウントを再度作成すると、システムは新しいアカウントに現在のインスタンスの既存のすべてのデータベースに対する db_owner 権限を自動的に付与します。

    • この後に作成されたデータベースについては、アカウントに db_owner 権限を付与するために、手動で権限を変更する必要があります。

    標準アカウント管理ルール

    シナリオ

    権限の動作

    標準アカウントの作成

    • アカウントを作成するときは、権限を付与するデータベースと対応する権限 (読み取り/書き込み、読み取り専用、またはオーナー) を手動で指定する必要があります。

    • データベースを選択しない場合、アカウントは作成されますが、どのデータベースに対してもアクセス権限はありません。

    • アカウントにはどのデータベースに対する権限もありません。 手動で権限を付与する必要があります。

    データベースの追加

    標準アカウントの削除

    • アカウントが削除されると、そのすべてのデータベースアクセス権限は完全に削除されます。

    • アカウントは、インスタンスへのログインやデータベース操作の実行には使用できなくなります。

    • 関連付けられたアプリケーションからの接続は失敗します。 アカウントとパスワードの情報を速やかに更新してください。

    同じ名前で標準アカウントを再作成する

    • 同じ名前のアカウントを再作成しても、元の権限は自動的に復元されません。

    • 新しいアカウントは「空白の状態」であり、どのデータベースに対しても権限がありません。

    • アクセスを復元するには、手動でデータベースを再承認し、権限を設定する必要があります。

    グローバル読み取り専用アカウント管理ルール

    シナリオ

    権限の動作

    グローバル読み取り専用アカウントの作成

    • アカウントが作成されると、インスタンス内の既存のすべてのデータベースに対する読み取り専用権限が自動的に付与されます。 各データベースに権限を付与する必要はありません。

    • アカウントには、master および rdscore (存在する場合) システムデータベースに対するアクセス権限がありません。

    データベースの追加

    新しいデータベース (アカウント作成後に作成されたデータベース) の場合、アカウントには読み取り専用アクセスが自動的に付与されます。 手動で権限を付与したり、範囲を変更したりする必要はありません。

    グローバル読み取り専用アカウントの削除

    • この操作により、アカウントとその読み取り専用権限が完全に削除されます。

    • アカウントは、インスタンスへのログインやデータベース操作の実行には使用できなくなります。

    グローバル読み取り専用アカウントの再作成

    • 元のアカウント名を使用するかどうかに関係なく、グローバル読み取り専用アカウントを再度作成すると、システムは現在のインスタンスの既存のすべてのデータベースに対する読み取り専用権限を自動的に付与します。

    • この後に作成されたデータベースについても、アカウントには引き続き読み取り専用権限が自動的に付与されます。 手動での権限付与は必要ありません。

    • 強力なパスワードの設定: データベースのセキュリティを確保するために、データベースアカウントに強力なパスワードを設定し、定期的に変更してください。 また、アカウントのパスワードポリシーを設定して、パスワードの有効期間を制御し、アカウントのセキュリティを強化することもできます。

    • 最小権限の原則: データベースアカウントに権限を割り当てる際は、最小権限の原則に従ってください。 ビジネスロールに基づいてアカウントを作成し、必要に応じて読み取り専用および読み取り/書き込み権限を割り当てます。 必要に応じて、より細かい粒度でデータベースアカウントとデータベースを作成できます。 これにより、各データベースアカウントは、そのビジネスに必要なデータにのみアクセスできるようになります。 書き込み操作が不要な場合は、読み取り専用権限を割り当ててください。

    アカウントの作成

    1. [インスタンス] ページに移動します。 上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。 次に、RDS インスタンスを見つけて、インスタンスの ID をクリックします。

    2. 左側のナビゲーションウィンドウで、アカウント管理 をクリックします。

    3. アカウントの作成 をクリックし、次のパラメーターを設定します。

      説明

      ApsaraDB RDS for SQL Server インスタンスの最初のアカウントは、特権アカウントまたは スーパーユーザーアカウントである必要があります。 標準アカウントまたはグローバル読み取り専用アカウントは、特権アカウントまたはスーパーユーザーアカウントを作成した後にのみ作成できます。

      特権アカウント

      パラメーター

      説明

      データベースアカウント

      データベースアカウント名を入力します。 名前は文字で始まり、文字または数字で終わる必要があります。 小文字、数字、アンダースコア (_) を含めることができます。 アカウント名を キーワードにすることはできません。

      アカウントタイプ

      特権アカウント を選択します。 各インスタンスは 1 つの特権アカウントのみをサポートします。

      新しいパスワード

      アカウントのパスワードを入力します。 パスワードは次の要件を満たす必要があります:

      • 長さが 8~32 文字であること。

      • 大文字、小文字、数字、特殊文字のうち、3 種類以上を含むこと。

      • 特殊文字は !@#$%^&*()_+-= です。

      パスワードの確認

      確認のため、同じパスワードを再度入力します。

      パスワードポリシーの適用

      パスワードポリシーを適用すると、パスワードの有効期間を制御し、アカウントのセキュリティを強化できます。 ポリシーを適用する前に、まず アカウントのパスワードポリシーを設定する必要があります。

      備考

      説明を入力します。 説明は最大 256 文字です。

      標準アカウント

      パラメーター

      説明

      データベースアカウント

      データベースアカウント名を入力します。 名前は文字で始まり、文字または数字で終わる必要があります。 小文字、数字、アンダースコア (_) を含めることができます。 アカウント名を キーワードにすることはできません。

      アカウントタイプ

      標準アカウント を選択します。 インスタンスは複数の標準アカウントを持つことができます。

      権限付与データベース:

      標準アカウント に 1 つ以上のデータベースに対する権限を付与し、それぞれに異なる権限を設定できます。 データベースが作成されていない場合は、このフィールドを空のままにして、後でアカウントに権限を付与できます。 権限を付与するには:

      1. 未許可のデータベース リストで、権限を付与するデータベースを選択します。

      2. image.png をクリックして、データベースを 許可済みデータベース リストに追加します。

      3. アカウントのデータベースに対する権限を設定します。 権限には、読み書き (DML)読み取り専用、または 所有者 があります。 詳細については、「アカウント権限」をご参照ください。

      新しいパスワード

      アカウントのパスワードを入力します。 パスワードは次の要件を満たす必要があります:

      • 長さが 8~32 文字であること。

      • 大文字、小文字、数字、特殊文字のうち、3 種類以上を含むこと。

      • 特殊文字は !@#$%^&*()_+-= です。

      パスワードの確認

      確認のため、同じパスワードを再度入力します。

      パスワードポリシーの適用

      パスワードポリシーを適用すると、パスワードの有効期間を制御し、アカウントのセキュリティを強化できます。 ポリシーを適用する前に、まず アカウントのパスワードポリシーを設定する必要があります。

      備考

      説明を入力します。 説明は最大 256 文字です。

      グローバル読み取り専用アカウント

      パラメーター

      説明

      データベースアカウント

      データベースアカウント名を入力します。 名前は文字で始まり、文字または数字で終わる必要があります。 小文字、数字、アンダースコア (_) を含めることができます。 アカウント名を キーワードにすることはできません。

      アカウントタイプ

      [グローバル読み取り専用アカウント] を選択します。 このアカウントが作成されると、インスタンス内の既存のすべてのデータベースに対する読み取り専用権限が自動的に付与されます。 これらの権限は、新しいデータベースにも適用されます。

      新しいパスワード

      アカウントのパスワードを入力します。 パスワードは次の要件を満たす必要があります:

      • 長さが 8~32 文字であること。

      • 大文字、小文字、数字、特殊文字のうち、3 種類以上を含むこと。

      • 特殊文字は !@#$%^&*()_+-= です。

      パスワードの確認

      確認のため、同じパスワードを再度入力します。

      パスワードポリシーの適用

      パスワードポリシーを適用すると、パスワードの有効期間を制御し、アカウントのセキュリティを強化できます。 ポリシーを適用する前に、まず アカウントのパスワードポリシーを設定する必要があります。

      備考

      説明を入力します。 説明は最大 256 文字です。

    4. OK をクリックします。 ページが更新されると、作成されたアカウントを表示できます。

    参考

    よくある質問

    プライマリインスタンスで作成されたアカウントは、読み取り専用インスタンスで使用できますか?

    プライマリインスタンスで作成されたアカウントは、その読み取り専用インスタンスに同期されます。 読み取り専用インスタンスではアカウントを管理できません。 読み取り専用インスタンスのアカウントは読み取り専用権限のみを持ち、書き込み操作には使用できません。

    ApsaraDB RDS for SQL Server インスタンスのパスワードの複雑さの要件をバイパスするにはどうすればよいですか?

    データベースのセキュリティを確保するために、ApsaraDB RDS for SQL Server では、パスワードに大文字、小文字、数字、特殊文字のうち 3 種類以上を含み、長さが 8~32 文字であることが要求されます。

    ただし、ビジネス上のニーズでパスワードの複雑さの要件をバイパスする必要がある場合は、次の手順を実行します。

    重要

    単純なパスワードは、システムへの攻撃のリスクを高めます。 データベースアカウントには強力なパスワードを設定し、定期的に変更してください。

    1. RDS インスタンスにユーザーアカウント A を作成し、アカウント A と SQL Server Management Studio (SSMS) を使用して SQL Server インスタンスに接続します

    2. アカウント A を使用して宛先アカウントを作成します。 宛先アカウントを作成するときは、パスワードの複雑さのチェックを無効にします。 SQL 文は次のとおりです。

      説明

      DMS を使用して SQL Server データベースに接続する場合、マスターデータベースに切り替えることはできません。 SQL 文を実行するには、SSMS を使用してインスタンスに接続する必要があります。

      -- マスターデータベースに切り替えます
USE master
GO
-- 宛先アカウントを作成します
CREATE LOGIN [宛先アカウント名] WITH PASSWORD=N'宛先アカウントのパスワード', CHECK_EXPIRATION=OFF, CHECK_POLICY=OFF
GO
-- 宛先アカウントを有効にします
ALTER LOGIN [宛先アカウント名] ENABLE
GO

      CHECK_EXPIRATION = OFF はパスワードの有効期限機能を無効にします。 CHECK_POLICY = OFF は、パスワードの長さと複雑さの要件を含む、パスワードの複雑さのポリシーチェックを無効にします。

      説明

      RDS コンソールを使用して、RDS SQL Server インスタンス上の個々のユーザーアカウントの パスワードポリシーをカスタマイズし、詳細なパスワード管理を実装してアカウントのセキュリティを強化できます。

    ApsaraDB RDS for SQL Server アカウントが非アクティブと表示され、ログイン時に アカウントが無効です。 というエラーが報告されるのはなぜですか?

    症状

    ApsaraDB RDS for SQL Server インスタンスの アカウント管理 ページで、アカウントのステータスが [非アクティブ] と表示されます。 非アクティブなアカウントを使用してデータベースにログインしようとすると、アカウントが無効です。 というエラーメッセージが返されます。

    image

    image

    原因

    ApsaraDB RDS for SQL Server インスタンスの アカウント管理 ページで作成するか、API 操作を呼び出して作成するユーザーアカウントは、デフォルトでアクティブです。 手動でアクティブ化する必要はありません。 アカウントが非アクティブになるのは、通常、次のいずれかの理由によります。

    • SQL 文を使用してアカウントを作成したときに、アカウントのステータスを無効として指定した。

    • RDS コンソールでアカウントを作成した後、または API 操作を呼び出した後、手動でアカウントのステータスを無効に変更した。

    解決策

    1. 別のアクティブなアカウントを使用して、SSMS を使用して SQL Server インスタンスに接続します

    2. ターゲットアカウントが無効になっているかどうかを確認します。 無効になっている場合は、アカウントを有効にします。

      • 方法 1: SQL Server Management Studio (SSMS) のグラフィカルユーザーインターフェイス (GUI) でアカウントのステータスを表示および変更する。

        image

      • 方法 2: SQL 文を使用してアカウントのステータスを表示および変更する。

        1. 次の SQL クエリを実行して、ターゲットアカウントの現在のステータスを確認します。

          -- ターゲットのログイン名のステータスをクエリします。
SELECT 
    name AS LoginName,          -- ログイン名
    is_disabled AS IsDisabled   -- ステータス: 1 は無効、0 は有効を示します。
FROM 
    sys.server_principals
WHERE 
    name = 'ターゲットのログイン名に置き換えてください';

          image

        2. ターゲットアカウントが無効になっている場合 (is_disabled = 1)、次の SQL コマンドを実行してアカウントを有効にします。

          ALTER LOGIN [ターゲットのログイン名に置き換えてください] ENABLE;

          image

    CreateAccount 操作を呼び出してユーザーを作成するときに AccountLimitExceeded エラーが報告されるのはなぜですか?

    問題

    CreateAccount API 操作を呼び出してデータベースアカウントを作成するときに、不正なパラメーターを指定すると、次のエラーが表示されることがあります。

    "Code": "AccountLimitExceeded",
"Message": "AccountQuotaExceeded: Exceeding the allowed amount of account"

    このエラーは、インスタンス内のアカウント数が上限に達したことを示します。

    原因

    • アカウントの制限: インスタンスごとに許可される特権アカウントと Sysadmin アカウントは最大 1 つです。 特権アカウントは削除できません。

    • 不正なパラメーター設定: SQL Server インスタンスの場合、AccountType パラメーターを Sysadmin または Super に設定したが、そのタイプのアカウントが既に存在する場合、AccountLimitExceeded エラーがトリガーされます。

    解決策

    • 標準アカウントを作成するには、AccountType パラメーターを Normal に設定します。 RDS は通常、標準アカウントの数を制限しません。 実際の上限はインスタンスのカーネルによって異なります。

    • 特権アカウントを作成するには、AccountType パラメーターを Super に設定します。 RDS コンソールの アカウント管理 ページで、特権アカウントが既に存在するかどうかを確認します。 存在する場合は、別のものを作成しないでください。

    • Sysadmin アカウントを作成するには、AccountType パラメーターを Sysadmin に設定します。 RDS コンソールの アカウント管理 ページで、Sysadmin アカウントが既に存在するかどうかを確認します。 存在する場合は、別のものを作成しないでください。