若要使用雲資料庫RDS,您需要在執行個體中建立帳號和資料庫。本文介紹如何為RDS SQL Server執行個體建立帳號和資料庫。
RDS SQL Server各類帳號和權限類別型所對應的具體角色和許可權詳情,請參見帳號許可權列表。
前提條件
普通帳號和高許可權帳號
SA許可權的資料庫帳號
RDS執行個體需滿足如下條件:
執行個體所在地區:除華北3(張家口)外的其他地區均支援使用該功能。
執行個體系列:基礎系列、高可用系列(2012及以上版本)、叢集系列
執行個體規格:通用型、獨享型(不支援共用型)
計費方式:訂用帳戶或隨用隨付(不支援Serverless執行個體)
網路類型:專用網路。如需變更網路類型,請參見更改網路類型。
執行個體建立時間:
高可用系列和叢集系列執行個體的建立時間需在2021年01月01日或之後。
基礎系列執行個體的建立時間需在2022年09月02日或之後。
說明建立時間可在基本資料頁內的運行狀態中查看。
登入帳號必須為阿里雲主帳號。
已在RDS控制台開通了SA帳號使用許可權。若此前已開通過,請忽略該操作。
SA許可權帳號預設不開放,首次使用該功能時,您需要在目標RDS執行個體帳號管理頁面右上方單擊開通System Admin許可權按鈕,閱讀相關注意事項,自主開通SA帳號使用許可權。
警告一個執行個體開通System Admin許可權後,該執行個體所屬阿里雲帳號(UID)下所有RDS執行個體均可直接建立SA許可權帳號。該許可權開通後不支援關閉或回退。
由於超級許可權帳號(System Admin)所擁有的操作許可權已超出了RDS控制的範圍,因此對於建立了該帳號的RDS執行個體,我們不再保障SLA。未建立SA許可權帳號的RDS執行個體不受影響。
主機帳號
RDS執行個體需滿足如下條件:
執行個體所在地區:除華北3(張家口)外的其他地區均支援使用該功能。
執行個體系列:基礎系列、高可用系列(2012及以上版本)、叢集系列
執行個體規格:通用型、獨享型(不支援共用型)
計費方式:訂用帳戶或隨用隨付(不支援Serverless執行個體)
網路類型:專用網路。如需變更網路類型,請參見更改網路類型。
執行個體建立時間:
高可用系列和叢集系列執行個體的建立時間需在2021年01月01日或之後。
基礎系列執行個體的建立時間需在2022年09月02日或之後。
說明建立時間可在基本資料頁內的運行狀態中查看。
登入帳號必須為阿里雲主帳號。
如果您需要建立超級帳號許可權(System Admin)類型的主機帳號,需要先自行開通System Admin帳號許可權。開通該許可權後,後續建立主機帳號頁面才會顯示該類型帳號的選項。
SA許可權帳號預設不開放,首次使用該功能時,您需要在目標RDS執行個體帳號管理頁面右上方單擊開通System Admin許可權按鈕,閱讀相關注意事項,自主開通SA帳號使用許可權。
警告一個執行個體開通System Admin許可權後,該執行個體所屬阿里雲帳號(UID)下所有RDS執行個體均可直接建立SA許可權帳號。該許可權開通後不支援關閉或回退。
由於超級許可權帳號(System Admin)所擁有的操作許可權已超出了RDS控制的範圍,因此對於建立了該帳號的RDS執行個體,我們不再保障SLA。未建立SA許可權帳號的RDS執行個體不受影響。
資料庫
注意事項
普通帳號和高許可權帳號
執行個體的第一個帳號必須建立為高許可權帳號。每個執行個體只能建立一個高許可權帳號,且該帳號不能通過控制台或API介面進行刪除。
不建議使用Terraform建立高許可權使用者。高許可權賬戶目前無法通過Terraform來刪除,如果使用Terraform建立了高許可權賬戶,該帳號無法通過Terraform來刪除,可能會導致執行個體也無法正常釋放。
同一執行個體下的資料庫共用該執行個體下的所有資源。
帳號名稱或資料庫名稱不能與關鍵字重複。更多詳情,請參見禁用關鍵字表。
為保障資料庫的安全,請將資料庫帳號的密碼設定為強密碼,並定期更換。
分配資料庫帳號許可權時,請按最小許可權原則和業務角色建立帳號,併合理分配唯讀和讀寫權限。必要時可以把資料庫帳號和資料庫拆分成更小粒度,使每個資料庫帳號只能訪問其業務之內的資料。如果不需要資料庫寫入操作,請分配唯讀許可權。
SA許可權的資料庫帳號
每個執行個體只能建立一個SA許可權的資料庫帳號,且該帳號不能通過控制台、API介面、Terraform進行刪除。
聚石塔不支援建立SA許可權帳號。
SA帳號名稱不能為如下的任何一個:
root|admin|eagleye|master|aurora|sysadmin|administrator|mssqld|public|securityadmin|serveradmin|setupadmin|processadmin|diskadmin|dbcreator|bulkadmin|tempdb|msdb|model|distribution|mssqlsystemresource|guest|add|except|percent|all|exec|plan|alter|execute|precision|and|exists|primary|any|exit|print|as|fetch|proc|asc|file|procedure|authorization|fillfactor|public|backup|for|raiserror|begin|foreign|read|between|freetext|readtext|break|freetexttable|reconfigure|browse|from|references|bulk|full|replication|by|function|restore|cascade|goto|restrict|case|grant|return|check|group|revoke|checkpoint|having|right|close|holdlock|rollback|clustered|identity|rowcount|coalesce|identity_insert|rowguidcol|collate|identitycol|rule|column|if|save|commit|in|schema|compute|index|select|constraint|inner|session_user|contains|insert|set|containstable|intersect|setuser|continue|into|shutdown|convert|is|some|create|join|statistics|cross|key|system_user|current|kill|table|current_date|left|textsize|current_time|like|then|current_timestamp|lineno|to|current_user|load|top|cursor|national|tran|database|nocheck|transaction|dbcc|nonclustered|trigger|deallocate|not|truncate|declare|null|tsequal|default|nullif|union|delete|of|unique|deny|off|update|desc|offsets|updatetext|disk|on|use|distinct|open|user|distributed|opendatasource|values|double|openquery|varying|drop|openrowset|view|dummy|openxml|waitfor|dump|option|when|else|or|where|end|order|while|errlvl|outer|with|escape|over|writetext||dbo|login|sys|drc_rds$
主機帳號
聚石塔不支援建立主機帳號。
一個RDS執行個體僅支援建立一個超級帳號許可權(System Admin)類型的主機帳號。
主機帳號名稱不能為如下的任何一個:
root|admin|eagleye|master|aurora|sysadmin|administrator|mssqld|public|securityadmin|serveradmin|setupadmin|processadmin|diskadmin|dbcreator|bulkadmin|tempdb|msdb|model|distribution|mssqlsystemresource|guest|add|except|percent|all|exec|plan|alter|execute|precision|and|exists|primary|any|exit|print|as|fetch|proc|asc|file|procedure|authorization|fillfactor|public|backup|for|raiserror|begin|foreign|read|between|freetext|readtext|break|freetexttable|reconfigure|browse|from|references|bulk|full|replication|by|function|restore|cascade|goto|restrict|case|grant|return|check|group|revoke|checkpoint|having|right|close|holdlock|rollback|clustered|identity|rowcount|coalesce|identity_insert|rowguidcol|collate|identitycol|rule|column|if|save|commit|in|schema|compute|index|select|constraint|inner|session_user|contains|insert|set|containstable|intersect|setuser|continue|into|shutdown|convert|is|some|create|join|statistics|cross|key|system_user|current|kill|table|current_date|left|textsize|current_time|like|then|current_timestamp|lineno|to|current_user|load|top|cursor|national|tran|database|nocheck|transaction|dbcc|nonclustered|trigger|deallocate|not|truncate|declare|null|tsequal|default|nullif|union|delete|of|unique|deny|off|update|desc|offsets|updatetext|disk|on|use|distinct|open|user|distributed|opendatasource|values|double|openquery|varying|drop|openrowset|view|dummy|openxml|waitfor|dump|option|when|else|or|where|end|order|while|errlvl|outer|with|escape|over|writetext||dbo|login|sys|drc_rds
建立帳號
普通帳號和高許可權帳號
- 訪問RDS執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。
在左側導覽列單擊帳號管理。
單擊建立帳號,設定如下參數。
參數
說明
資料庫帳號
由小寫字母、數字、底線組成,以字母開頭,以字母或數字結尾,最多50個字元。
帳號類型
高許可權帳號:為執行個體建立第一個帳號時,必須建立為高許可權帳號。每個執行個體只能建立一個高許可權帳號,且該帳號不能刪除。
普通帳號:一個執行個體可以有多個普通帳號。您需要手動為普通帳號授予資料庫許可權。
授權資料庫:
您可以為普通帳號授權一個或多個資料庫,並為其設定不同的許可權。若尚未建立資料庫,該值可以為空白,後續為帳號重新授權資料庫即可。授權資料庫的步驟如下:
在未授權資料庫欄中,選中要授權的資料庫。
單擊
,將資料庫添加到已授權資料庫欄中。為該帳號設定資料庫許可權,可設定為讀寫(DML)、只讀或所有者。
說明擁有所有者許可權的帳號才可以在對應資料庫內進行建立、刪除表以及修改表結構操作。
新密碼
設定帳號密碼。要求如下:
長度為8~32個字元。
由大寫字母、小寫字母、數字、特殊字元中的任意三種組成。
特殊字元為!@#$%^&*()_+-=
確認密碼
輸入與新密碼一致的欄位,需確保密碼輸入正確。
備忘
輸入備忘說明,最多256個字元。
單擊確定。
單擊重新整理按鈕,即可查看已建立的帳號。後續您可以按需修改帳號許可權或管理帳號。具體操作,請參見修改帳號許可權、重設密碼或刪除普通許可權帳號。
SA許可權的資料庫帳號
SA(System Admin)角色是SQL Server中最強大的角色,該角色完全繞過所有安全檢查,可以在SQL Server中執行任何操作。您可以在RDS SQL Server中建立具備SA(System Admin)許可權的資料庫帳號,可用於快速適配線下軟體上雲等情境。
- 訪問RDS執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。
在左側導覽列單擊帳號管理。
單擊建立帳號,設定如下參數,單擊確定。
參數
說明
資料庫帳號
長度為2~64個字元,由小寫字母、數字或底線組成。但開頭需為字母,結尾需為字母或數字。
帳號類型
選擇超級許可權帳號(sysadmin),然後勾選我已閱讀並同意建立超級許可權帳號對《RDS 服務等級協議》的變更行為。
說明如果您未找到該類型帳號,請檢查執行個體是否已符合前提條件。
其他類型的帳號說明,請參見普通帳號和高許可權帳號、主機帳號。
新密碼
設定帳號密碼。要求如下:
長度為8~32個字元。
由大寫字母、小寫字母、數字、特殊字元中的任意三種組成。
特殊字元為
!@#$%^&*()_+-=。
確認密碼
輸入與密碼一致的欄位,以確保密碼正確輸入。
備忘
輸入備忘說明,最多256個字元。
(可選)重設帳號密碼或禁用帳號。
您可單擊帳號操作列下的重設密碼或禁用帳號按鈕對帳號進行管理。更多詳情,請參見重設密碼。
主機帳號
RDS SQL Server支援建立主機帳號,您可以建立主機帳號並使用它登入到RDS SQL Server主機,以此更加方便地管理和操作資料庫。
- 訪問RDS執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。
在左側導覽列單擊帳號管理。
選擇主機帳號頁簽,單擊建立帳號,設定如下參數。
參數
說明
主機帳號名
長度為2~64個字元,由小寫字母、數字或底線組成。但需要以字母開頭,以字母或數字結尾。
帳號類型
普通帳號:選擇建立普通類型的主機帳號。
超級許可權帳號(sysadmin):選擇建立超級權限類別型(System Admin)的主機帳號,一個RDS執行個體僅支援建立一個該類型的主機帳號。更多超級許可權帳號的說明,請參見SA許可權的資料庫帳號。
說明僅開通System Admin帳號許可權後,此處才會顯示超級許可權帳號(sysadmin)參數。開通方法,請參見前提條件。
新密碼
設定帳號密碼。要求如下:
長度為8~32個字元。
由大寫字母、小寫字母、數字、特殊字元中的任意三種組成。
特殊字元為
!@#$%^&*()_+-=。
確認密碼
輸入與密碼一致的欄位,以確保密碼正確輸入。
備忘說明
輸入備忘說明,最多256個字元。
勾選我已閱讀並同意建立主機許可權帳號對《RDS服務等級協議》的變更行為。
單擊確定。
(可選)重設主機帳號密碼或刪除已建立主機帳號。
您可單擊帳號操作列下的重設密碼或移除按鈕對帳號進行管理。
下一步:通過主機帳號登入RDS SQL Server主機
- 訪問RDS執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。
在左側導覽列單擊帳號管理。
選擇主機帳號頁簽,單擊目標帳號操作列下的遠端連線(主)。
在彈出的遠端連線對話方塊中,輸入主機帳號密碼。
單擊確定。
單擊確定後,系統會產生一個WebShell登入地址並自動登入到SQL Server執行個體主機。系統會以彈窗形式開啟一個新WebShell頁面,頁面開啟時可能會被瀏覽器攔截,如果出現此情況,請設定瀏覽器視窗的攔截方式為始終允許,以確保頁面正常顯示。頁面顯示如下:
建立資料庫
- 訪問RDS執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。
在左側導覽列單擊資料庫管理。
單擊建立資料庫,設定如下參數。
參數
說明
資料庫(DB)名稱
填寫資料庫名稱。由大寫字母、小寫字母、數字、底線(_)或中劃線(-)組成,以字母開頭,以字母或數字結尾,長度為2~64個字元。
支援字元集
資料庫的字元集。
備忘說明
輸入備忘說明,最多256個字元。
單擊建立。
相關文檔
通過API為RDS執行個體建立帳號,請參見CreateAccount - 建立資料庫帳號。
通過API為RDS執行個體建立資料庫,請參見CreateDatabase - 建立資料庫。
您可按需修改普通帳號和高許可權帳號的許可權,SA帳號擁有所有資料庫許可權,不涉及修改。請參見修改帳號許可權。
常見問題
Q:主執行個體建立的帳號是否可以在唯讀執行個體上使用?
A:主執行個體建立的帳號會同步到唯讀執行個體,唯讀執行個體無法管理帳號。唯讀執行個體上的帳號許可權僅限於讀操作,不能進行寫操作。