本文介紹如何為RDS SQL Server執行個體建立高許可權帳號或普通帳號。
前提條件
注意事項
執行個體的第一個帳號必須建立為高許可權帳號。每個執行個體只能建立一個高許可權帳號,且該帳號不能通過控制台或API介面進行刪除。
不建議使用Terraform建立高許可權使用者。高許可權賬戶目前無法通過Terraform來刪除,如果使用Terraform建立了高許可權賬戶,該帳號無法通過Terraform來刪除,可能會導致執行個體也無法正常釋放。
同一執行個體下的資料庫共用該執行個體下的所有資源。
帳號名稱或資料庫名稱不能與關鍵字重複。更多詳情,請參見禁用關鍵字表。
為保障資料庫的安全,請將資料庫帳號的密碼設定為強密碼,並定期更換。您也可以為帳號設定密碼原則,以控制帳號密碼的使用時間長度,增強帳號的安全性。
分配資料庫帳號許可權時,請按最小許可權原則和業務角色建立帳號,併合理分配唯讀和讀寫權限。必要時可以把資料庫帳號和資料庫拆分成更小粒度,使每個資料庫帳號只能訪問其業務之內的資料。如果不需要資料庫寫入操作,請分配唯讀許可權。
建立帳號
訪問RDS執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。
在左側導覽列單擊帳號管理。
單擊建立帳號,設定如下參數。
參數
說明
資料庫帳號
由小寫字母、數字、底線組成,以字母開頭,以字母或數字結尾,最多50個字元。
帳號類型
高許可權帳號:為執行個體建立第一個帳號時,必須建立為高許可權帳號。每個執行個體只能建立一個高許可權帳號,且該帳號不能刪除。
普通帳號:一個執行個體可以有多個普通帳號。您需要手動為普通帳號授予資料庫許可權。
授權資料庫:
您可以為普通帳號授權一個或多個資料庫,並為其設定不同的許可權。若尚未建立資料庫,該值可以為空白,後續為帳號重新授權資料庫即可。授權資料庫的步驟如下:
在未授權資料庫欄中,選中要授權的資料庫。
單擊
,將資料庫添加到已授權資料庫欄中。為該帳號設定資料庫許可權,可設定為讀寫(DML)、只讀或所有者。
說明擁有所有者許可權的帳號才可以在對應資料庫內進行建立、刪除表以及修改表結構操作。
新密碼
設定帳號密碼。要求如下:
長度為8~32個字元。
由大寫字母、小寫字母、數字、特殊字元中的任意三種組成。
特殊字元為!@#$%^&*()_+-=
確認密碼
輸入與新密碼一致的欄位,需確保密碼輸入正確。
應用密碼原則
建立帳號時,選擇是否應用密碼原則,以控制帳號密碼的使用時間長度,增強帳號的安全性。應用前您需要先設定密碼原則,請參見設定帳號密碼原則。
備忘
輸入備忘說明,最多256個字元。
單擊確定。
單擊重新整理按鈕,即可查看已建立的帳號。後續您可以按需修改帳號許可權或管理帳號。具體操作,請參見修改帳號許可權、重設密碼或刪除普通許可權帳號。
相關文檔
您也可以通過API建立本文所述的帳號、或其他許可權帳號,詳情請參見CreateAccount - 建立資料庫帳號。
如需通過控制台建立SA許可權的資料庫帳號,詳情請參見建立SA許可權的資料庫帳號。
常見問題
Q:主執行個體建立的帳號是否可以在唯讀執行個體上使用?
A:主執行個體建立的帳號會同步到唯讀執行個體,唯讀執行個體無法管理帳號。唯讀執行個體上的帳號許可權僅限於讀操作,不能進行寫操作。