SA(System Admin)角色是SQL Server中最強大的角色,該角色完全繞過所有安全檢查,可以在SQL Server中執行任何操作。您可以在RDS SQL Server中建立具備SA許可權的資料庫帳號(超級許可權帳號),可用於快速適配線下軟體上雲等情境。
前提條件
RDS執行個體需滿足如下條件:
執行個體系列:基礎系列、高可用系列(2012及以上版本)、叢集系列
執行個體規格:通用型、獨享型(不支援共用型)
計費方式:訂用帳戶或隨用隨付(不支援Serverless執行個體)
網路類型:專用網路。如需變更網路類型,請參見更改網路類型。
執行個體建立時間:
高可用系列和叢集系列執行個體的建立時間需在2021年01月01日或之後。
基礎系列執行個體的建立時間需在2022年09月02日或之後。
說明建立時間可在基本資料頁內的運行狀態中查看。
登入帳號必須為阿里雲主帳號。
注意事項
每個執行個體只能建立一個SA許可權的資料庫帳號,且該帳號不能通過控制台、API介面、Terraform進行刪除。
聚石塔不支援建立SA許可權帳號。
SA帳號名稱不能為如下的任何一個:
root|admin|eagleye|master|aurora|sysadmin|administrator|mssqld|public|securityadmin|serveradmin|setupadmin|processadmin|diskadmin|dbcreator|bulkadmin|tempdb|msdb|model|distribution|mssqlsystemresource|guest|add|except|percent|all|exec|plan|alter|execute|precision|and|exists|primary|any|exit|print|as|fetch|proc|asc|file|procedure|authorization|fillfactor|public|backup|for|raiserror|begin|foreign|read|between|freetext|readtext|break|freetexttable|reconfigure|browse|from|references|bulk|full|replication|by|function|restore|cascade|goto|restrict|case|grant|return|check|group|revoke|checkpoint|having|right|close|holdlock|rollback|clustered|identity|rowcount|coalesce|identity_insert|rowguidcol|collate|identitycol|rule|column|if|save|commit|in|schema|compute|index|select|constraint|inner|session_user|contains|insert|set|containstable|intersect|setuser|continue|into|shutdown|convert|is|some|create|join|statistics|cross|key|system_user|current|kill|table|current_date|left|textsize|current_time|like|then|current_timestamp|lineno|to|current_user|load|top|cursor|national|tran|database|nocheck|transaction|dbcc|nonclustered|trigger|deallocate|not|truncate|declare|null|tsequal|default|nullif|union|delete|of|unique|deny|off|update|desc|offsets|updatetext|disk|on|use|distinct|open|user|distributed|opendatasource|values|double|openquery|varying|drop|openrowset|view|dummy|openxml|waitfor|dump|option|when|else|or|where|end|order|while|errlvl|outer|with|escape|over|writetext||dbo|login|sys|drc_rds$
使用建議
由於SA許可權帳號擁有的許可權過大,且該帳號所擁有的操作許可權已超出RDS SQL Server的控制範圍,因此使用該帳號期間,請務必遵循以下使用建議:
請勿操作高可用系列和叢集系列RDS SQL Server執行個體的
rdscore資料庫。請勿作業系統帳號。具體詳情,請參見系統帳號說明。
請勿在本地環境執行物理備份操作,該操作將影響執行個體PITR(Point-In-Time Recovery)能力。建議使用RDS內建備份功能,請參見備份SQL Server資料。
請勿對高可用系列和叢集系列的RDS SQL Server執行個體執行移除或操作高可用相關對象操作,例如執行
DROP AVAILABILITY GROUP等操作。請勿將任何資料存放區於C盤(系統硬碟)中。
請勿修改RDS執行個體中已有的Server層級的觸發器,包含
[_$$_tr_$$_rds_alter_database]、[_$$_tr_$$_rds_alter_login]、[_$$_tr_$$_rds_create_database]、[_$$_tr_$$_rds_create_login]、[_$$_tr_$$_rds_drop_database]、[_$$_tr_$$_rds_drop_login]、[_$$_tr_$$_rds_server_role]。請勿修改SQL Server的啟動帳號、連接埠等核心配置。
請勿修改Windows Administrator密碼。
操作步驟
訪問RDS執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。
在左側導覽列單擊帳號管理。
單擊建立帳號,設定如下參數,單擊確定。
警告SA許可權帳號為SQL Server資料庫的最高許可權,該帳號所擁有的操作許可權已超出RDS SQL Server的控制範圍,因此若在RDS SQL Server執行個體中建立了SA許可權帳號,該執行個體不再享受SLA保障,執行個體運行環境歸屬於使用者,但執行個體正常使用和售後服務仍不受影響。對於未建立SA許可權帳號的RDS SQL Server執行個體,仍享有完整SLA保障。
參數
說明
資料庫帳號
長度為2~64個字元,由小寫字母、數字或底線組成。但開頭需為字母,結尾需為字母或數字。
帳號類型
選擇超級許可權帳號(sysadmin),閱讀並勾選我已閱讀並同意建立超級許可權帳號對《RDS服務等級協議》的變更行為。
說明如果您未找到該類型帳號,請檢查執行個體是否已滿足前提條件。
其他類型的帳號說明,請參見普通帳號和高許可權帳號、主機帳號。
新密碼
設定帳號密碼。要求如下:
長度為8~32個字元。
由大寫字母、小寫字母、數字、特殊字元中的任意三種組成。
特殊字元為
!@#$%^&*()_+-=。
確認密碼
輸入與密碼一致的欄位,以確保密碼正確輸入。
應用密碼原則
建立帳號時,選擇是否應用密碼原則,以控制帳號密碼的使用時間長度,增強帳號的安全性。應用前您需要先設定密碼原則,請參見自訂帳號密碼原則。
備忘
輸入備忘說明,最多256個字元。
(可選)重設帳號密碼或禁用帳號。
您可單擊帳號操作列下的重設密碼或禁用帳號按鈕對帳號進行管理。更多詳情,請參見重設密碼。
相關文檔
您也可以通過API建立SA許可權的資料庫帳號或其他許可權帳號,詳情請參見CreateAccount - 建立資料庫帳號。
如需通過控制台建立普通帳號或高許可權帳號,詳情請參見建立普通帳號或高許可權帳號。