CREATE CREDENTIAL (Transact-SQL)
创建服务器级别的凭据。 凭据是包含连接到 SQL Server 以外的资源时所需的身份验证信息的记录。 多数凭据包括一个 Windows 用户和一个密码。 例如,将数据库备份保存到某个位置可能需要 SQL Server 提供访问该位置的特殊凭据。 有关详细信息,请参阅凭据(数据库引擎)。
备注
若要创建数据库级别的凭据,请参阅 CREATE DATABASE SCOPED CREDENTIAL (Transact-SQL)。 需要为服务器上的多个数据库使用相同凭据时,请使用服务器级别凭据。 使用数据库范围的凭据以使数据库更易于移植。 数据库移动到新服务器时,数据库范围的凭据将随之移动。 使用 SQL 数据库上的数据库作用域凭据。
Transact-SQL 语法约定
语法
syntaxsql
CREATE CREDENTIAL credential_name
WITH IDENTITY = 'identity_name'
[ , SECRET = 'secret' ]
[ FOR CRYPTOGRAPHIC PROVIDER cryptographic_provider_name ]
备注
若要查看 SQL Server 2014 及更早版本的 Transact-SQL 语法,请参阅早期版本文档。
参数
credential_name 指定要创建的凭据的名称。 credential_name 不能以数字符号 (#) 开头。 系统凭据以 ## 开头。
重要
使用共享访问签名 (SAS) 时,该名称必须与容器路径匹配,以 https 开头并且不能包含正斜杠。 请参见示例 D。
IDENTITY ='identityname' 指定从服务器外部进行连接时要使用的帐户名称。 当凭据用于访问 Azure Key Vault 时,IDENTITY 是该密钥保管库的名称。 请参阅以下示例 C。 凭据使用共享访问签名 (SAS) 时,IDENTITY 是 SHARED ACCESS SIGNATURE。 请参见下面的示例 D。
重要
Azure SQL 数据库仅支持 Azure Key Vault 和共享访问签名标识。 不支持 Windows 用户标识。
SECRET ='secret' 指定发送身份验证所需的机密内容。
当该凭据用于访问 Azure Key Vault 时,CREATE CREDENTIAL 的 SECRET 参数要求将 <客户端 ID>(无连字符)和 Azure Active Directory 中服务主体的 <密钥> 一起传递,且二者之间不留空格。 请参阅以下示例 C。 凭据使用共享访问签名时,SECRET 是共享访问签名令牌。 请参见下面的示例 D。 有关如何在 Azure 容器上创建存储访问策略和共享访问签名的信息,请参阅第 1 课:在 Azure 容器上创建存储访问策略和共享访问签名。
对于加密提供程序 cryptographic_provider_name,指定企业密钥管理提供程序 (EKM) 的名称 。 有关密钥管理的详细信息,请参阅可扩展密钥管理 (EKM)。
备注
当 IDENTITY 为 Windows 用户时,机密内容可以是密码。 机密内容使用服务主密钥进行加密。 如果重新生成服务主密钥,则使用新的服务主密钥重新加密机密内容。
创建凭据后,可以使用 CREATE LOGIN 或 ALTER LOGIN 将该凭据映射到 SQL Server 登录名。 一个 SQL Server 登录只能映射到一个凭据,但是单个凭据可以映射到多个 SQL Server 登录名。 有关详细信息,请参阅凭据(数据库引擎)。 服务器级别凭据只能映射到登录名,不能映射到数据库用户。
可以在 sys.credentials 目录视图中查看有关凭据的信息。
如果该提供程序没有任何登录名映射的凭据,则使用映射到 SQL Server 服务帐户的凭据。
一个登录名可以有多个映射的凭据,只要它们用于不同的提供程序即可。 每个登录名的每个提供程序只能有一个映射的凭据。 相同的凭据可以映射到其他登录名。
权限
需要 ALTER ANY CREDENTIAL 权限。
