您可以通过RDS控制台或API接口为RDS SQL Server实例创建普通账号、高权限账号和全局只读账号。
适用范围
实例的第一个账号必须创建为高权限账号或超级权限账号(SA权限)。
所有规格实例均可创建高权限账号与普通账号,符合以下条件的实例可创建全局只读账号:
数据库版本:SQL Server 2016及以上。
规格族类型:通用型或独享型。
账号数量限制:
普通账号:无数量限制。
高权限账号:每个实例至多一个高权限账号。
全局只读账号:每个实例至多两个全局只读账号。
账号权限规则
高权限账号管理规则
操作场景 | 权限行为说明 |
创建高权限账号 | 创建时该账号将自动获得已有数据库的db_owner角色权限,无需额外手动授权。 |
新增数据库 |
|
| |
重新创建高权限账号 |
|
普通账号管理规则
操作场景 | 权限行为说明 |
创建普通账号 |
|
新增数据库 |
|
| |
重新创建同名普通账号 |
|
全局只读账号管理规则
操作场景 | 权限行为说明 |
创建全局只读账号 |
|
新增数据库 | 对于新创建的数据库(创建账号之后新增的数据库),该账号自动拥有只读访问权限,无需手动授权或变更范围。 |
删除全局只读账号 |
|
重新创建全局只读账号 |
|
注意事项
设置强密码:为保障数据库的安全,请将数据库账号的密码设置为强密码,并定期更换。您也可以为账号设置密码策略,以控制账号密码的使用时长,增强账号的安全性。
最小权限原则:分配数据库账号权限时,请按最小权限原则和业务角色创建账号,并合理分配只读和读写权限。必要时可以把数据库账号和数据库拆分成更小粒度,使每个数据库账号只能访问其业务之内的数据。如果不需要数据库写入操作,请分配只读权限。
创建账号
访问RDS实例列表,在上方选择地域,然后单击目标实例ID。
在左侧导航栏单击账号管理。
单击创建账号,设置如下参数。
说明SQL Server实例的第一个账号必须为高权限账号或超级权限账号。创建高权限账号或超级权限账号之后才能创建普通账号或全局只读账号。
高权限账号
参数
说明
数据库账号
填写数据库账号名称,需由小写字母、数字、下划线组成,以字母开头,以字母或数字结尾。账号名称不能与关键字重复。
账号类型
选择高权限账号,一个实例仅支持有一个高权限账号。
新密码
填写账号密码。要求如下:
长度为8~32个字符。
由大写字母、小写字母、数字、特殊字符中的任意三种组成。
特殊字符为
!@#$%^&*()_+-=。
确认密码
填写与新密码一致的字段,需确保密码输入正确。
应用密码策略
应用密码策略可以控制账号密码的使用时长,增强账号的安全性。应用前您需要先设置账号密码策略。
备注
输入备注说明,最多256个字符。
普通账号
参数
说明
数据库账号
填写数据库账号名称,需由小写字母、数字、下划线组成,以字母开头,以字母或数字结尾。账号名称不能与关键字重复。
账号类型
选择普通账号,一个实例支持有多个普通账号。
授权数据库:
您可以为普通账号授权一个或多个数据库,并为其设置不同的权限。若尚未创建数据库,该值可以为空,后续为账号重新授权数据库即可。授权操作如下:
在未授权数据库栏中,选中要授权的数据库。
单击
,将数据库添加到已授权数据库栏中。为该账号设置数据库权限,可设置为读写(DML)、只读或所有者。权限详情,请参见账号权限列表。
新密码
填写账号密码。要求如下:
长度为8~32个字符。
由大写字母、小写字母、数字、特殊字符中的任意三种组成。
特殊字符为
!@#$%^&*()_+-=。
确认密码
填写与新密码一致的字段,需确保密码输入正确。
应用密码策略
应用密码策略可以控制账号密码的使用时长,增强账号的安全性。应用前您需要先设置账号密码策略。
备注
输入备注说明,最多256个字符。
全局只读账号
参数
说明
数据库账号
填写数据库账号名称,需由小写字母、数字、下划线组成,以字母开头,以字母或数字结尾。账号名称不能与关键字重复。
账号类型
选择全局只读账号,该账号创建后将自动拥有实例内所有已存在数据库的只读权限,且对新建数据库自动生效。
新密码
填写账号密码。要求如下:
长度为8~32个字符。
由大写字母、小写字母、数字、特殊字符中的任意三种组成。
特殊字符为
!@#$%^&*()_+-=。
确认密码
填写与新密码一致的字段,需确保密码输入正确。
应用密码策略
应用密码策略可以控制账号密码的使用时长,增强账号的安全性。应用前您需要先设置账号密码策略。
备注
输入备注说明,最多256个字符。
单击确定,刷新后即可查看已创建的账号。
相关文档
通过控制台创建SA权限的数据库账号。
通过API(CreateAccount)创建不同类型的数据库账号。
通过API(DeleteAccount)删除不同类型的数据库账号。
常见问题
主实例创建的账号是否可以在只读实例上使用?
RDS SQL Server实例如何跳过用户账号密码复杂度的限制?
RDS SQL Server账号显示未激活,且登录报错The account is disabled.?
问题描述
RDS SQL Server实例账号管理页面中,用户账号状态显示为未激活。通过未激活的账号登录数据库时,会报错The account is disabled.。
问题原因
通过RDS SQL Server实例账号管理页面或API创建的用户账号默认是已激活状态,无需用户手动激活。如果账号状态变为未激活,通常可能是:
用户通过SQL自行创建账号时,指定了账号状态为禁用(Disabled)。
用户通过RDS控制台或API创建账号后,手动修改了账号状态为禁用(Disabled)。
解决方案
使用其他处于激活状态的账号,通过SSMS连接到SQL Server实例。
检查目标用户账号的禁用状态,若被禁用则修改状态为启用(Enabled)。
方法一:通过SSMS图形化界面查看并修改目标账号的使用状态。
方法二:通过SQL查看并修改目标账号的使用状态。
执行以下SQL查询,确认目标账号的当前状态:
-- 查询目标登录名的状态 SELECT name AS LoginName, -- 登录名 is_disabled AS IsDisabled -- 状态:1表示禁用,0表示启用 FROM sys.server_principals WHERE name = '替换为目标登录名';
如果目标账号被禁用(
is_disabled = 1),执行以下SQL命令启用账号:ALTER LOGIN [替换为目标登录名] ENABLE;
通过CreateAccount接口创建用户时报错AccountLimitExceeded?
问题描述
用户通过CreateAccount接口创建数据库账号时,如果参数设置不正确,可能出现如下报错:
"Code": "AccountLimitExceeded",
"Message": "AccountQuotaExceeded: Exceeding the allowed amount of account"此错误表明当前实例中已达到允许的最大账号数量限制。
报错原因
账号数量限制:最多允许一个高权限账号和一个超级权限账号,且高权限账号不可删除。
参数设置问题:在SQL Server中,若
AccountType设置为Sysadmin(超级权限账号)或Super(高权限账号),但数据库中已有对应权限账号,则会触发AccountLimitExceeded报错。
解决方案
创建普通账号:确保
AccountType设置为Normal,RDS通常对普通账号数量无限制,具体的数量与实例内核有关。创建高权限账号:确保
AccountType设置为Super,可通过RDS控制台账号管理页面检查实例中是否已存在高权限账号,若已存在,请避免重复创建。创建超级权限账号:确保
AccountType设置为Sysadmin,可通过RDS控制台账号管理页面检查实例中是否已存在高权限账号,若已存在,请避免重复创建。