全部產品
Search
文件中心

ApsaraDB RDS:建立SA許可權的資料庫帳號

更新時間:Dec 18, 2024

SA(System Admin)角色是SQL Server中最強大的角色,該角色完全繞過所有安全檢查,可以在SQL Server中執行任何操作。您可以在RDS SQL Server中建立具備SA許可權的資料庫帳號(超級許可權帳號),可用於快速適配線下軟體上雲等情境。

前提條件

  • RDS執行個體需滿足如下條件:

    • 執行個體系列:基礎系列、高可用系列(2012及以上版本)、叢集系列

    • 執行個體規格:通用型、獨享型(不支援共用型

    • 計費方式:訂用帳戶或隨用隨付(不支援Serverless執行個體

    • 網路類型:專用網路。如需變更網路類型,請參見更改網路類型

    • 執行個體建立時間:

      • 高可用系列和叢集系列執行個體的建立時間需在2021年01月01日或之後。

      • 基礎系列執行個體的建立時間需在2022年09月02日或之後。

      說明

      建立時間可在基本資料頁內的運行狀態中查看。

  • 登入帳號必須為阿里雲主帳號

注意事項

  • 若您的執行個體滿足前提條件,但控制台看不到SA許可權帳號建立入口,您可以對執行個體進行一次可用性區域遷移操作,完成後重新整理帳號管理頁面,即可建立SA許可權帳號。

  • 每個執行個體只能建立一個SA許可權的資料庫帳號,且該帳號不能通過控制台、API介面、Terraform進行刪除。

  • 聚石塔不支援建立SA許可權帳號。

  • SA帳號名稱不能為如下的任何一個:

    root|admin|eagleye|master|aurora|sysadmin|administrator|mssqld|public|securityadmin|serveradmin|setupadmin|processadmin|diskadmin|dbcreator|bulkadmin|tempdb|msdb|model|distribution|mssqlsystemresource|guest|add|except|percent|all|exec|plan|alter|execute|precision|and|exists|primary|any|exit|print|as|fetch|proc|asc|file|procedure|authorization|fillfactor|public|backup|for|raiserror|begin|foreign|read|between|freetext|readtext|break|freetexttable|reconfigure|browse|from|references|bulk|full|replication|by|function|restore|cascade|goto|restrict|case|grant|return|check|group|revoke|checkpoint|having|right|close|holdlock|rollback|clustered|identity|rowcount|coalesce|identity_insert|rowguidcol|collate|identitycol|rule|column|if|save|commit|in|schema|compute|index|select|constraint|inner|session_user|contains|insert|set|containstable|intersect|setuser|continue|into|shutdown|convert|is|some|create|join|statistics|cross|key|system_user|current|kill|table|current_date|left|textsize|current_time|like|then|current_timestamp|lineno|to|current_user|load|top|cursor|national|tran|database|nocheck|transaction|dbcc|nonclustered|trigger|deallocate|not|truncate|declare|null|tsequal|default|nullif|union|delete|of|unique|deny|off|update|desc|offsets|updatetext|disk|on|use|distinct|open|user|distributed|opendatasource|values|double|openquery|varying|drop|openrowset|view|dummy|openxml|waitfor|dump|option|when|else|or|where|end|order|while|errlvl|outer|with|escape|over|writetext||dbo|login|sys|drc_rds$

使用影響

SA許可權帳號為SQL Server資料庫的最高許可權,該帳號所擁有的操作許可權已超出RDS SQL Server的控制範圍,因此若在RDS SQL Server執行個體中建立了SA許可權帳號,該執行個體不再享受SLA保障,執行個體運行環境歸屬於使用者,但執行個體正常使用和售後服務仍不受影響對於未建立SA許可權帳號的RDS SQL Server執行個體,仍享有完整SLA保障

使用建議

由於SA許可權帳號擁有的許可權過大,且該帳號所擁有的操作許可權已超出RDS SQL Server的控制範圍,因此使用該帳號期間,請務必遵循以下使用建議:

  • 請勿操作高可用系列和叢集系列RDS SQL Server執行個體的rdscore資料庫。

  • 請勿作業系統帳號。具體詳情,請參見系統帳號說明

  • 請勿在本地環境執行物理備份操作,該操作將影響執行個體PITR(Point-In-Time Recovery)能力。建議使用RDS內建備份功能,請參見備份SQL Server資料

  • 請勿對高可用系列和叢集系列的RDS SQL Server執行個體執行移除或操作高可用相關對象操作,例如執行DROP AVAILABILITY GROUP等操作。

  • 請勿將任何資料存放區於C盤(系統硬碟)中。

  • 請勿修改RDS執行個體中已有的Server層級的觸發器,包含[_$$_tr_$$_rds_alter_database][_$$_tr_$$_rds_alter_login][_$$_tr_$$_rds_create_database][_$$_tr_$$_rds_create_login][_$$_tr_$$_rds_drop_database][_$$_tr_$$_rds_drop_login][_$$_tr_$$_rds_server_role]

  • 請勿修改SQL Server的啟動帳號、連接埠等核心配置。

  • 請勿修改Windows Administrator密碼。

操作步驟

  1. 訪問RDS執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。

  2. 在左側導覽列單擊帳號管理

  3. 單擊建立帳號,設定如下參數,單擊確定

    參數

    說明

    資料庫帳號

    長度為2~64個字元,由小寫字母、數字或底線組成。但開頭需為字母,結尾需為字母或數字。

    帳號類型

    選擇超級許可權帳號(sysadmin),閱讀並勾選我已閱讀並同意建立超級許可權帳號對《RDS服務等級協議》的變更行為

    說明

    新密碼

    設定帳號密碼。要求如下:

    • 長度為8~32個字元。

    • 由大寫字母、小寫字母、數字、特殊字元中的任意三種組成。

    • 特殊字元為!@#$%^&*()_+-=

    確認密碼

    輸入與密碼一致的欄位,以確保密碼正確輸入。

    應用密碼原則

    建立帳號時,選擇是否應用密碼原則,以控制帳號密碼的使用時間長度,增強帳號的安全性。應用前您需要先設定密碼原則,請參見自訂帳號密碼原則

    備忘

    輸入備忘說明,最多256個字元。

  4. (可選)重設帳號密碼或禁用帳號。

    您可單擊帳號操作列下的重設密碼禁用帳號按鈕對帳號進行管理。更多詳情,請參見重設密碼

    image

相關文檔