您可以通过RDS控制台或API接口为RDS SQL Server实例创建高权限账号和普通账号。
前提条件
注意事项
实例的第一个账号必须创建为高权限账号,且每个实例只能创建一个高权限账号。
不建议使用Terraform创建高权限用户。高权限账户目前无法通过Terraform来删除,如果使用Terraform创建了高权限账户,该账号无法通过Terraform来删除,可能会导致实例也无法正常释放。
同一实例下的数据库共享该实例下的所有资源。
账号名称或数据库名称不能与关键字重复。
为保障数据库的安全,请将数据库账号的密码设置为强密码,并定期更换。您也可以为账号设置密码策略,以控制账号密码的使用时长,增强账号的安全性。
分配数据库账号权限时,请按最小权限原则和业务角色创建账号,并合理分配只读和读写权限。必要时可以把数据库账号和数据库拆分成更小粒度,使每个数据库账号只能访问其业务之内的数据。如果不需要数据库写入操作,请分配只读权限。
账号权限规则
高权限账号管理规则
操作场景 | 权限行为说明 |
创建高权限账号 | 创建时该账号将自动获得已有数据库的db_owner角色权限,无需额外手动授权。 |
新增数据库 |
|
| |
重新创建高权限账号 |
|
普通账号管理规则
操作场景 | 权限行为说明 |
创建普通账号 |
|
新增数据库 |
|
| |
重新创建同名普通账号 |
|
创建账号
高权限账号
访问RDS实例列表,在上方选择地域,然后单击目标实例ID。
在左侧导航栏单击账号管理。
单击创建账号,设置如下参数。
参数
说明
数据库账号
填写数据库账号名称,需由小写字母、数字、下划线组成,以字母开头,以字母或数字结尾。
账号类型
选择高权限账号,一个实例仅支持有一个高权限账号。
新密码
填写账号密码。要求如下:
长度为8~32个字符。
由大写字母、小写字母、数字、特殊字符中的任意三种组成。
特殊字符为!@#$%^&*()_+-=
确认密码
填写与新密码一致的字段,需确保密码输入正确。
应用密码策略
创建账号时,选择是否应用密码策略,以控制账号密码的使用时长,增强账号的安全性。应用前您需要先设置账号密码策略。
备注
输入备注说明,最多256个字符。
单击确定。
单击刷新按钮,即可查看已创建的账号。
普通账号
访问RDS实例列表,在上方选择地域,然后单击目标实例ID。
在左侧导航栏单击账号管理。
单击创建账号,设置如下参数。
参数
说明
数据库账号
填写数据库账号名称,需由小写字母、数字、下划线组成,以字母开头,以字母或数字结尾。
账号类型
选择普通账号,一个实例支持有多个普通账号。
授权数据库:
您可以为普通账号授权一个或多个数据库,并为其设置不同的权限。若尚未创建数据库,该值可以为空,后续为账号重新授权数据库即可。授权操作如下:
在未授权数据库栏中,选中要授权的数据库。
单击
,将数据库添加到已授权数据库栏中。为该账号设置数据库权限,可设置为读写(DML)、只读或所有者。权限详情,请参见账号权限列表。
新密码
填写账号密码。要求如下:
长度为8~32个字符。
由大写字母、小写字母、数字、特殊字符中的任意三种组成。
特殊字符为!@#$%^&*()_+-=
确认密码
填写与新密码一致的字段,需确保密码输入正确。
应用密码策略
创建账号时,选择是否应用密码策略,以控制账号密码的使用时长,增强账号的安全性。应用前您需要先设置账号密码策略。
备注
输入备注说明,最多256个字符。
单击确定。
单击刷新按钮,即可查看已创建的账号。
相关文档
通过控制台创建SA权限的数据库账号。
通过API(CreateAccount)创建不同类型的数据库账号。
通过API(DeleteAccount)删除不同类型的数据库账号。
常见问题
主实例创建的账号是否可以在只读实例上使用?
RDS SQL Server实例如何跳过用户账号密码复杂度的限制?
RDS SQL Server账号显示未激活,且登录报错The account is disabled.?
问题描述
RDS SQL Server实例账号管理页面中,用户账号状态显示为未激活。通过未激活的账号登录数据库时,会报错The account is disabled.。
问题原因
通过RDS SQL Server实例账号管理页面或API创建的用户账号默认是已激活状态,无需用户手动激活。如果账号状态变为未激活,通常可能是:
用户通过SQL自行创建账号时,指定了账号状态为禁用(Disabled)。
用户通过RDS控制台或API创建账号后,手动修改了账号状态为禁用(Disabled)。
解决方案
使用其他处于激活状态的账号,通过SSMS连接到SQL Server实例。
检查目标用户账号的禁用状态,若被禁用则修改状态为启用(Enabled)。
方法一:通过SSMS图形化界面查看并修改目标账号的使用状态。
方法二:通过SQL查看并修改目标账号的使用状态。
执行以下SQL查询,确认目标账号的当前状态:
-- 查询目标登录名的状态 SELECT name AS LoginName, -- 登录名 is_disabled AS IsDisabled -- 状态:1表示禁用,0表示启用 FROM sys.server_principals WHERE name = '替换为目标登录名';
如果目标账号被禁用(
is_disabled = 1),执行以下SQL命令启用账号:ALTER LOGIN [替换为目标登录名] ENABLE;
通过CreateAccount接口创建用户时报错AccountLimitExceeded?
问题描述
用户通过CreateAccount接口创建数据库账号时,如果参数设置不正确,可能出现如下报错:
"Code": "AccountLimitExceeded",
"Message": "AccountQuotaExceeded: Exceeding the allowed amount of account"此错误表明当前实例中已达到允许的最大账号数量限制。
报错原因
账号数量限制:最多允许一个高权限账号和一个超级权限账号,且高权限账号不可删除。
参数设置问题:在SQL Server中,若
AccountType设置为Sysadmin(超级权限账号)或Super(高权限账号),但数据库中已有对应权限账号,则会触发AccountLimitExceeded报错。
解决方案
创建普通账号:确保
AccountType设置为Normal,RDS通常对普通账号数量无限制,具体的数量与实例内核有关。创建高权限账号:确保
AccountType设置为Super,可通过RDS控制台账号管理页面检查实例中是否已存在高权限账号,若已存在,请避免重复创建。创建超级权限账号:确保
AccountType设置为Sysadmin,可通过RDS控制台账号管理页面检查实例中是否已存在高权限账号,若已存在,请避免重复创建。