全部產品
Search
文件中心

ApsaraDB RDS:建立資料庫和帳號

更新時間:Jun 19, 2024

若要使用雲資料庫RDS,您需要在執行個體中建立帳號和資料庫。本文介紹如何為RDS SQL Server執行個體建立帳號和資料庫。

說明

RDS SQL Server各類帳號和權限類別型所對應的具體角色和許可權詳情,請參見帳號許可權列表

前提條件

普通帳號和高許可權帳號

建立RDS SQL Server執行個體

SA許可權的資料庫帳號

  • RDS執行個體需滿足如下條件:

    • 執行個體所在地區:除華北3(張家口)外的其他地區均支援使用該功能。

    • 執行個體系列:基礎系列、高可用系列(2012及以上版本)、叢集系列

    • 執行個體規格:通用型、獨享型(不支援共用型)

    • 計費方式:訂用帳戶或隨用隨付(不支援Serverless執行個體)

    • 網路類型:專用網路。如需變更網路類型,請參見更改網路類型

    • 執行個體建立時間:

      • 高可用系列和叢集系列執行個體的建立時間需在2021年01月01日或之後。

      • 基礎系列執行個體的建立時間需在2022年09月02日或之後。

      說明

      建立時間可在基本資料頁內的運行狀態中查看。

  • 登入帳號必須為阿里雲主帳號

  • 已在RDS控制台開通了SA帳號使用許可權。若此前已開通過,請忽略該操作。

    SA許可權帳號預設不開放,首次使用該功能時,您需要在目標RDS執行個體帳號管理頁面右上方單擊開通System Admin許可權按鈕,閱讀相關注意事項,自主開通SA帳號使用許可權。

    警告
    • 一個執行個體開通System Admin許可權後,該執行個體所屬阿里雲帳號(UID)下所有RDS執行個體均可直接建立SA許可權帳號。該許可權開通後不支援關閉或回退。

    • 由於超級許可權帳號(System Admin)所擁有的操作許可權已超出了RDS控制的範圍,因此對於建立了該帳號的RDS執行個體,我們不再保障SLA。未建立SA許可權帳號的RDS執行個體不受影響。

主機帳號

  • RDS執行個體需滿足如下條件:

    • 執行個體所在地區:除華北3(張家口)外的其他地區均支援使用該功能。

    • 執行個體系列:基礎系列、高可用系列(2012及以上版本)、叢集系列

    • 執行個體規格:通用型、獨享型(不支援共用型)

    • 計費方式:訂用帳戶或隨用隨付(不支援Serverless執行個體)

    • 網路類型:專用網路。如需變更網路類型,請參見更改網路類型

    • 執行個體建立時間:

      • 高可用系列和叢集系列執行個體的建立時間需在2021年01月01日或之後。

      • 基礎系列執行個體的建立時間需在2022年09月02日或之後。

      說明

      建立時間可在基本資料頁內的運行狀態中查看。

  • 登入帳號必須為阿里雲主帳號

  • 如果您需要建立超級帳號許可權(System Admin)類型的主機帳號,需要先自行開通System Admin帳號許可權。開通該許可權後,後續建立主機帳號頁面才會顯示該類型帳號的選項。

    SA許可權帳號預設不開放,首次使用該功能時,您需要在目標RDS執行個體帳號管理頁面右上方單擊開通System Admin許可權按鈕,閱讀相關注意事項,自主開通SA帳號使用許可權。

    警告
    • 一個執行個體開通System Admin許可權後,該執行個體所屬阿里雲帳號(UID)下所有RDS執行個體均可直接建立SA許可權帳號。該許可權開通後不支援關閉或回退。

    • 由於超級許可權帳號(System Admin)所擁有的操作許可權已超出了RDS控制的範圍,因此對於建立了該帳號的RDS執行個體,我們不再保障SLA。未建立SA許可權帳號的RDS執行個體不受影響。

資料庫

建立RDS SQL Server執行個體

注意事項

普通帳號和高許可權帳號

  • 執行個體的第一個帳號必須建立為高許可權帳號。每個執行個體只能建立一個高許可權帳號,且該帳號不能通過控制台或API介面進行刪除。

  • 不建議使用Terraform建立高許可權使用者。高許可權賬戶目前無法通過Terraform來刪除,如果使用Terraform建立了高許可權賬戶,該帳號無法通過Terraform來刪除,可能會導致執行個體也無法正常釋放。

  • 同一執行個體下的資料庫共用該執行個體下的所有資源。

  • 帳號名稱或資料庫名稱不能與關鍵字重複。更多詳情,請參見禁用關鍵字表

  • 為保障資料庫的安全,請將資料庫帳號的密碼設定為強密碼,並定期更換。

  • 分配資料庫帳號許可權時,請按最小許可權原則和業務角色建立帳號,併合理分配唯讀和讀寫權限。必要時可以把資料庫帳號和資料庫拆分成更小粒度,使每個資料庫帳號只能訪問其業務之內的資料。如果不需要資料庫寫入操作,請分配唯讀許可權。

SA許可權的資料庫帳號

  • 每個執行個體只能建立一個SA許可權的資料庫帳號,且該帳號不能通過控制台、API介面、Terraform進行刪除。

  • 聚石塔不支援建立SA許可權帳號。

  • SA帳號名稱不能為如下的任何一個:

    root|admin|eagleye|master|aurora|sysadmin|administrator|mssqld|public|securityadmin|serveradmin|setupadmin|processadmin|diskadmin|dbcreator|bulkadmin|tempdb|msdb|model|distribution|mssqlsystemresource|guest|add|except|percent|all|exec|plan|alter|execute|precision|and|exists|primary|any|exit|print|as|fetch|proc|asc|file|procedure|authorization|fillfactor|public|backup|for|raiserror|begin|foreign|read|between|freetext|readtext|break|freetexttable|reconfigure|browse|from|references|bulk|full|replication|by|function|restore|cascade|goto|restrict|case|grant|return|check|group|revoke|checkpoint|having|right|close|holdlock|rollback|clustered|identity|rowcount|coalesce|identity_insert|rowguidcol|collate|identitycol|rule|column|if|save|commit|in|schema|compute|index|select|constraint|inner|session_user|contains|insert|set|containstable|intersect|setuser|continue|into|shutdown|convert|is|some|create|join|statistics|cross|key|system_user|current|kill|table|current_date|left|textsize|current_time|like|then|current_timestamp|lineno|to|current_user|load|top|cursor|national|tran|database|nocheck|transaction|dbcc|nonclustered|trigger|deallocate|not|truncate|declare|null|tsequal|default|nullif|union|delete|of|unique|deny|off|update|desc|offsets|updatetext|disk|on|use|distinct|open|user|distributed|opendatasource|values|double|openquery|varying|drop|openrowset|view|dummy|openxml|waitfor|dump|option|when|else|or|where|end|order|while|errlvl|outer|with|escape|over|writetext||dbo|login|sys|drc_rds$

主機帳號

  • 聚石塔不支援建立主機帳號。

  • 一個RDS執行個體僅支援建立一個超級帳號許可權(System Admin)類型的主機帳號。

  • 主機帳號名稱不能為如下的任何一個:

    root|admin|eagleye|master|aurora|sysadmin|administrator|mssqld|public|securityadmin|serveradmin|setupadmin|processadmin|diskadmin|dbcreator|bulkadmin|tempdb|msdb|model|distribution|mssqlsystemresource|guest|add|except|percent|all|exec|plan|alter|execute|precision|and|exists|primary|any|exit|print|as|fetch|proc|asc|file|procedure|authorization|fillfactor|public|backup|for|raiserror|begin|foreign|read|between|freetext|readtext|break|freetexttable|reconfigure|browse|from|references|bulk|full|replication|by|function|restore|cascade|goto|restrict|case|grant|return|check|group|revoke|checkpoint|having|right|close|holdlock|rollback|clustered|identity|rowcount|coalesce|identity_insert|rowguidcol|collate|identitycol|rule|column|if|save|commit|in|schema|compute|index|select|constraint|inner|session_user|contains|insert|set|containstable|intersect|setuser|continue|into|shutdown|convert|is|some|create|join|statistics|cross|key|system_user|current|kill|table|current_date|left|textsize|current_time|like|then|current_timestamp|lineno|to|current_user|load|top|cursor|national|tran|database|nocheck|transaction|dbcc|nonclustered|trigger|deallocate|not|truncate|declare|null|tsequal|default|nullif|union|delete|of|unique|deny|off|update|desc|offsets|updatetext|disk|on|use|distinct|open|user|distributed|opendatasource|values|double|openquery|varying|drop|openrowset|view|dummy|openxml|waitfor|dump|option|when|else|or|where|end|order|while|errlvl|outer|with|escape|over|writetext||dbo|login|sys|drc_rds

建立帳號

普通帳號和高許可權帳號

  1. 訪問RDS執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。
  2. 在左側導覽列單擊帳號管理

  3. 單擊建立帳號,設定如下參數。

    參數

    說明

    資料庫帳號

    由小寫字母、數字、底線組成,以字母開頭,以字母或數字結尾,最多50個字元。

    帳號類型

    高許可權帳號:為執行個體建立第一個帳號時,必須建立為高許可權帳號。每個執行個體只能建立一個高許可權帳號,且該帳號不能刪除。

    普通帳號:一個執行個體可以有多個普通帳號。您需要手動為普通帳號授予資料庫許可權。

    說明
    • 各類型帳號的許可權說明,請參見帳號許可權列表

    • 本文僅介紹如何建立高許可權帳號或普通帳號。如需建立超級許可權帳號,請參見建立SA許可權帳號

    • SQL Server 2008 R2本地碟執行個體僅支援建立普通帳號。

    授權資料庫:

    您可以為普通帳號授權一個或多個資料庫,並為其設定不同的許可權。若尚未建立資料庫,該值可以為空白,後續為帳號重新授權資料庫即可。授權資料庫的步驟如下:

    1. 未授權資料庫欄中,選中要授權的資料庫。

    2. 單擊image.png,將資料庫添加到已授權資料庫欄中。

    3. 為該帳號設定資料庫許可權,可設定為讀寫(DML)只讀所有者

      說明

      擁有所有者許可權的帳號才可以在對應資料庫內進行建立、刪除表以及修改表結構操作。

    新密碼

    設定帳號密碼。要求如下:

    • 長度為8~32個字元。

    • 由大寫字母、小寫字母、數字、特殊字元中的任意三種組成。

    • 特殊字元為!@#$%^&*()_+-=

    確認密碼

    輸入與新密碼一致的欄位,需確保密碼輸入正確。

    備忘

    輸入備忘說明,最多256個字元。

  4. 單擊確定

    單擊重新整理按鈕,即可查看已建立的帳號。後續您可以按需修改帳號許可權或管理帳號。具體操作,請參見修改帳號許可權重設密碼刪除普通許可權帳號

SA許可權的資料庫帳號

SA(System Admin)角色是SQL Server中最強大的角色,該角色完全繞過所有安全檢查,可以在SQL Server中執行任何操作。您可以在RDS SQL Server中建立具備SA(System Admin)許可權的資料庫帳號,可用於快速適配線下軟體上雲等情境。

  1. 訪問RDS執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。
  2. 在左側導覽列單擊帳號管理

  3. 單擊建立帳號,設定如下參數,單擊確定

    參數

    說明

    資料庫帳號

    長度為2~64個字元,由小寫字母、數字或底線組成。但開頭需為字母,結尾需為字母或數字。

    帳號類型

    選擇超級許可權帳號(sysadmin),然後勾選我已閱讀並同意建立超級許可權帳號對《RDS 服務等級協議》的變更行為

    說明

    新密碼

    設定帳號密碼。要求如下:

    • 長度為8~32個字元。

    • 由大寫字母、小寫字母、數字、特殊字元中的任意三種組成。

    • 特殊字元為!@#$%^&*()_+-=

    確認密碼

    輸入與密碼一致的欄位,以確保密碼正確輸入。

    備忘

    輸入備忘說明,最多256個字元。

  4. (可選)重設帳號密碼或禁用帳號。

    您可單擊帳號操作列下的重設密碼禁用帳號按鈕對帳號進行管理。更多詳情,請參見重設密碼

    image..png

主機帳號

RDS SQL Server支援建立主機帳號,您可以建立主機帳號並使用它登入到RDS SQL Server主機,以此更加方便地管理和操作資料庫。

  1. 訪問RDS執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。
  2. 在左側導覽列單擊帳號管理

  3. 選擇主機帳號頁簽,單擊建立帳號,設定如下參數。

    參數

    說明

    主機帳號名

    長度為2~64個字元,由小寫字母、數字或底線組成。但需要以字母開頭,以字母或數字結尾。

    帳號類型

    • 普通帳號:選擇建立普通類型的主機帳號。

    • 超級許可權帳號(sysadmin):選擇建立超級權限類別型(System Admin)的主機帳號,一個RDS執行個體僅支援建立一個該類型的主機帳號。更多超級許可權帳號的說明,請參見SA許可權的資料庫帳號

      說明

      僅開通System Admin帳號許可權後,此處才會顯示超級許可權帳號(sysadmin)參數。開通方法,請參見前提條件

    新密碼

    設定帳號密碼。要求如下:

    • 長度為8~32個字元。

    • 由大寫字母、小寫字母、數字、特殊字元中的任意三種組成。

    • 特殊字元為!@#$%^&*()_+-=

    確認密碼

    輸入與密碼一致的欄位,以確保密碼正確輸入。

    備忘說明

    輸入備忘說明,最多256個字元。

  4. 勾選我已閱讀並同意建立主機許可權帳號對《RDS服務等級協議》的變更行為

  5. 單擊確定

  6. (可選)重設主機帳號密碼或刪除已建立主機帳號。

    您可單擊帳號操作列下的重設密碼移除按鈕對帳號進行管理。

    image..png

下一步:通過主機帳號登入RDS SQL Server主機

  1. 訪問RDS執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。
  2. 在左側導覽列單擊帳號管理

  3. 選擇主機帳號頁簽,單擊目標帳號操作列下的遠端連線(主)

  4. 在彈出的遠端連線對話方塊中,輸入主機帳號密碼。

    image..png

  5. 單擊確定

    單擊確定後,系統會產生一個WebShell登入地址並自動登入到SQL Server執行個體主機。系統會以彈窗形式開啟一個新WebShell頁面,頁面開啟時可能會被瀏覽器攔截,如果出現此情況,請設定瀏覽器視窗的攔截方式為始終允許,以確保頁面正常顯示。頁面顯示如下:

    image..png

建立資料庫

  1. 訪問RDS執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。
  2. 在左側導覽列單擊資料庫管理

  3. 單擊建立資料庫,設定如下參數。

    參數

    說明

    資料庫(DB)名稱

    填寫資料庫名稱。由大寫字母、小寫字母、數字、底線(_)或中劃線(-)組成,以字母開頭,以字母或數字結尾,長度為2~64個字元。

    支援字元集

    資料庫的字元集。

    備忘說明

    輸入備忘說明,最多256個字元。

  4. 單擊建立

相關文檔

常見問題

Q:主執行個體建立的帳號是否可以在唯讀執行個體上使用?

A:主執行個體建立的帳號會同步到唯讀執行個體,唯讀執行個體無法管理帳號。唯讀執行個體上的帳號許可權僅限於讀操作,不能進行寫操作。