本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon RDS for SQL Server 中的 SQL Server Reporting Services 支援
Server Reporting Services (SSRS) 是以伺服器為基礎的應用程式,用於產生和分發報告。它是 SQL Server 服務套件的一部分,該套件也包含 SQL Server Analysis Services (SSAS) 和 SQL Server Integration Services (SSIS)。SSRS 是以 SQL Server 為基礎而建立的服務。您可以使用它來收集來自各種資料來源的資料,並以易於理解且準備好進行分析的方式呈現。
Amazon RDS for SQL Server 支援直接在 RDS 資料庫執行個體上執行 SSRS。您可以在現有或新的資料庫執行個體上使用 SSRS。
下列版本的 RDS 支援 SSRS for SQL Server Standard 和 Enterprise Edition:
+ SQL Server 2022,所有版本
+ SQL Server 2019,15.00.4043.16.v1 版和更新版本
+ SQL Server 2017,14.00.3223.3.v1 版和更新版本
+ SQL Server 2016,13.00.5820.21.v1 版和更新版本
**Contents**
+ [限制與建議](#SSRS.Limitations)
+ [開啟 SSRS](SSRS.Enabling.md)
+ [為 SSRS 建立選項群組](SSRS.Enabling.md#SSRS.OptionGroup)
+ [將 SSRS 選項新增到您的選項群組](SSRS.Enabling.md#SSRS.Add)
+ [將選項群組與資料庫執行個體建立關聯](SSRS.Enabling.md#SSRS.Apply)
+ [允許對 VPC 安全群組進行傳入存取](SSRS.Enabling.md#SSRS.Inbound)
+ [報告伺服器資料庫](#SSRS.DBs)
+ [SSRS 日誌檔案](#SSRS.Logs)
+ [存取 SSR Web 入口網站](SSRS.Access.md)
+ [在 RDS 上使用 SSL](SSRS.Access.md#SSRS.Access.SSL)
+ [授予網域使用者的存取權](SSRS.Access.md#SSRS.Access.Grant)
+ [存取 Web 入口網站](SSRS.Access.md#SSRS.Access)
+ [部署報告和設定報告資料來源](SSRS.DeployConfig.md)
+ [將報告部署到 SSRS](SSRS.DeployConfig.md#SSRS.Deploy)
+ [設定報告資料來源](SSRS.DeployConfig.md#SSRS.ConfigureDataSource)
+ [使用 SSRS 電子郵件傳送報告](SSRS.Email.md)
+ [撤銷系統層級許可](SSRS.Access.Revoke.md)
+ [監控任務的狀態](SSRS.Monitor.md)
+ [停用和刪除 SSRS 資料庫](SSRS.DisableDelete.md)
+ [關閉 SSRS](SSRS.DisableDelete.md#SSRS.Disable)
+ [刪除 SSRS 資料庫](SSRS.DisableDelete.md#SSRS.Drop)
## 限制與建議
在 RDS for SQL Server 上執行 SSRS 時適用下列限制和建議:
+ 您不能在具有僅供讀取複本的資料庫執行個體上使用 SSRS。
+ 執行個體必須使用自我管理的 Active Directory 或 AWS Directory Service for Microsoft Active Directory for SSRS Web 入口網站和 Web 伺服器身分驗證。如需更多詳細資訊,請參閱 [使用 Active Directory 搭配 RDS for SQL Server](User.SQLServer.ActiveDirectoryWindowsAuth.md)。
+ 您無法備份使用 SSRS 選項建立的報告伺服器資料庫。
+ 不支援從 SSRS 的其他執行個體匯入和還原報告伺服器資料庫。如需更多詳細資訊,請參閱 [報告伺服器資料庫](#SSRS.DBs)。
+ 您無法將 SSRS 設定為在預設 SSL 連接埠 (443) 上接聽。允許的數值是 1150–49511,但不包括 1234、1434、3260、3343、3389 和 47001。
+ 不支援透過 Microsoft Windows 檔案共用的訂閱。
+ 不支援使用 Reporting Services Configuration Manager。
+ 不支援建立和修改角色。
+ 不支援修改報表告服器屬性。
+ 不授予系統管理員和系統使用者角色。
+ 您無法透過 Web 入口網站編輯系統層級的角色指派。
# 開啟 SSRS
使用下列程序為資料庫執行個體開啟 SSRS:
1. 建立新的選項群組或選擇現有的選項群組。
1. 將 `SSRS` 選項新增至選項群組。
1. 將選項群組與資料庫執行個體建立關聯。
1. 對 SSRS 接聽程式連接埠允許 Virtual Private Cloud (VPC) 安全群組的傳入存取。
## 為 SSRS 建立選項群組
若要使用 SSRS,請建立對應至您打算使用之 SQL Server 引擎和資料庫執行個體版本的選項群組。若要這樣做,請使用 AWS 管理主控台 或 AWS CLI。
**注意**
如果現有的選項群組適用於正確的 SQL Server 引擎和版本,則也可以使用。
### 主控台
下列程序會建立 SQL Server Standard Edition 2017 的選項群組。
**建立選項群組**
1. 登入 AWS 管理主控台 ,並在 [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/):// 開啟 Amazon RDS 主控台。
1. 在導覽窗格中,選擇 **Option groups** (選項群組)。
1. 選擇**建立群組**。
1. 在 **Create option group (建立選項群組)** 窗格中,執行下列動作:
1. 針對**名稱**,輸入在您的 中唯一之選項群組的名稱 AWS 帳戶,例如 **ssrs-se-2017**。名稱僅可包含字母、數字與連字號。
1. 對於 **Description (描述)**,請輸入選項群組的簡短描述,例如 **SSRS option group for SQL Server SE 2017**。用於顯示用途的說明。
1. 對於 **Engine (引擎)**,請選擇 **sqlserver-se**。
1. 對於 **Major engine version (主要引擎版本)**,請選擇 **14.00**。
1. 選擇**建立**。
### CLI
下列程序會建立 SQL Server Standard Edition 2017 的選項群組。
**建立選項群組**
+ 請執行下列其中一個命令:
**Example**
針對 Linux、macOS 或 Unix:
```
aws rds create-option-group \
--option-group-name ssrs-se-2017 \
--engine-name sqlserver-se \
--major-engine-version 14.00 \
--option-group-description "SSRS option group for SQL Server SE 2017"
```
在 Windows 中:
```
aws rds create-option-group ^
--option-group-name ssrs-se-2017 ^
--engine-name sqlserver-se ^
--major-engine-version 14.00 ^
--option-group-description "SSRS option group for SQL Server SE 2017"
```
## 將 SSRS 選項新增到您的選項群組
接著,使用 AWS 管理主控台 或 AWS CLI 將 `SSRS` 選項新增至您的選項群組。
### 主控台
**新增 SSRS 選項**
1. 登入 AWS 管理主控台 ,並在 [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/):// 開啟 Amazon RDS 主控台。
1. 在導覽窗格中,選擇 **Option groups** (選項群組)。
1. 選擇您剛才建立的選項群組,然後選擇 **Add option** (新增選項)。
1. 在 **Option details (選項詳細資訊)** 下,選擇 **SSRS** 做為 **Option name (選項名稱)**。
1. 在 **Option settings (選項設定)** 下,執行下列動作:
1. 輸入 SSRS 服務要接聽的連接埠。預設值為 8443。如需允許值的清單,請參閱[限制與建議](Appendix.SQLServer.Options.SSRS.md#SSRS.Limitations)。
1. 輸入 **Max memory (最大記憶體)** 的數值。
**Max memory (最大記憶體)** 指定沒有新的記憶體配置請求會授予報告伺服器應用程式的閾值上限。這個數字是資料庫執行個體總記憶體的百分比。允許的數值為 10–80:
1. 針對 **Security groups (安全群組)**,選擇要與選項產生關聯的 VPC 安全群組。使用與資料庫執行個體相關聯的相同安全群組。
1. 若要使用 SSRS 電子郵件傳送報告,請選擇 **Configure email delivery options** (報告服務中的電子郵件傳送) 中的 **Email delivery in reporting services** (設定電子郵件傳送選項) 核取方塊,然後執行下列動作:
1. 對於 **Sender email address** (寄件人電子郵件地址),使用 **From** (從) SSRS 電子郵件傳送的郵件部分,輸入您要使用的電子郵件位址。
指定具有從 SMTP 伺服器傳送郵件之權限的使用者帳戶。
1. 對於 **SMTP server** (SMTP 伺服器),指定要使用的 SMTP 伺服器或閘道。
它可以是 IP 地址、公司內部網路上電腦的 NetBIOS 名稱,或是完整合格的網域名稱。
1. 對於 **SMTP port** (SMTP 連接埠),輸入用來連線至郵件伺服器的連接埠。預設為 25。
1. 若要使用身分驗證:
1. 請選取 **Use authentication** (使用身分驗證) 核取方塊。
1. 針對**機密 Amazon Resource Name (ARN)**,輸入使用者登入資料的 AWS Secrets Manager ARN。
使用下列格式:
**arn:aws:secretsmanager:*Region*:*AccountId*:secret:*SecretName*-*6RandomCharacters***
例如:
**arn:aws:secretsmanager:*us-west-2*:*123456789012*:secret:*MySecret-a1b2c3***
如需建立祕密的詳細資訊,請參閱 [使用 SSRS 電子郵件傳送報告](SSRS.Email.md)。
1. 選取 **Use Secure Sockets Layer (SSL)** (使用 Secure Sockets Layer (SSL)) 核取方塊,以使用 SSL 加密電子郵件訊息。
1. 在 **Scheduling (排程)** 下,選擇要立即新增選項或是在下一個維護時段新增選項。
1. 選擇 **Add option (新增選項)**。
### CLI
**新增 SSRS 選項**
1. 建立 JSON 檔案,例如 `ssrs-option.json`。
1. 設定下列必要參數:
+ `OptionGroupName` – 您先前建立或選擇的選項群組名稱 (在下列範例中是 `ssrs-se-2017`)。
+ `Port` – SSRS 服務要接聽的連接埠。預設值為 8443。如需允許值的清單,請參閱[限制與建議](Appendix.SQLServer.Options.SSRS.md#SSRS.Limitations)。
+ `VpcSecurityGroupMemberships` – RDS 資料庫執行個體的 VPC 安全群組成員資格。
+ `MAX_MEMORY` – 沒有新的記憶體配置請求會授予報告伺服器應用程式的閾值上限。這個數字是資料庫執行個體總記憶體的百分比。允許的數值為 10–80:
1. (選用) 設定使用 SSRS 電子郵件的下列參數:
+ `SMTP_ENABLE_EMAIL` - 將 `true` 設為使用 SSRS 電子郵件。預設值為 `false`。
+ `SMTP_SENDER_EMAIL_ADDRESS` - SSRS 電子郵件發送訊息時,**From** (從) 欄位使用的電子郵件地址。指定具有從 SMTP 伺服器傳送郵件之權限的使用者帳戶。
+ `SMTP_SERVER` - 使用的 SMTP 伺服器或閘道。可以是 IP 地址、公司內部網路上電腦的 NetBIOS 名稱,或是完整合格的網域名稱。
+ `SMTP_PORT` - 用來連線至郵件伺服器的連接埠。預設為 25。
+ `SMTP_USE_SSL` - 將 `true` 設為使用 SSL 加密電子郵件。預設值為 `true`。
+ `SMTP_EMAIL_CREDENTIALS_SECRET_ARN` - 保存使用者憑證的 Secrets Manager ARN。使用下列格式:
**arn:aws:secretsmanager:*Region*:*AccountId*:secret:*SecretName*-*6RandomCharacters***
如需建立秘密的詳細資訊,請參閱 [使用 SSRS 電子郵件傳送報告](SSRS.Email.md)。
+ `SMTP_USE_ANONYMOUS_AUTHENTICATION` - 如果您不想使用身分驗證,請設定為 `true` 並且不包括 `SMTP_EMAIL_CREDENTIALS_SECRET_ARN`。
預設為 `false` 當 `SMTP_ENABLE_EMAIL` 時為 `true`。
下列範例包含使用秘密 ARN 的 SSRS 電子郵件參數。
```
{
"OptionGroupName": "ssrs-se-2017",
"OptionsToInclude": [
{
"OptionName": "SSRS",
"Port": 8443,
"VpcSecurityGroupMemberships": ["sg-0abcdef123"],
"OptionSettings": [
{"Name": "MAX_MEMORY","Value": "60"},
{"Name": "SMTP_ENABLE_EMAIL","Value": "true"}
{"Name": "SMTP_SENDER_EMAIL_ADDRESS","Value": "nobody@example.com"},
{"Name": "SMTP_SERVER","Value": "email-smtp.us-west-2.amazonaws.com"},
{"Name": "SMTP_PORT","Value": "25"},
{"Name": "SMTP_USE_SSL","Value": "true"},
{"Name": "SMTP_EMAIL_CREDENTIALS_SECRET_ARN","Value": "arn:aws:secretsmanager:us-west-2:123456789012:secret:MySecret-a1b2c3"}
]
}],
"ApplyImmediately": true
}
```
1. 將 `SSRS` 選項新增至選項群組。
**Example**
針對 Linux、macOS 或 Unix:
```
aws rds add-option-to-option-group \
--cli-input-json file://ssrs-option.json \
--apply-immediately
```
在 Windows 中:
```
aws rds add-option-to-option-group ^
--cli-input-json file://ssrs-option.json ^
--apply-immediately
```
## 將選項群組與資料庫執行個體建立關聯
使用 AWS 管理主控台 或 AWS CLI 將您的選項群組與資料庫執行個體建立關聯。
如果您使用現有資料庫執行個體,則該執行個體必須已有與其相關聯的 Active Directory 網域和 AWS Identity and Access Management (IAM) 角色。如果您建立新執行個體,請指定現有的 Active Directory 網域和 IAM 角色。如需詳細資訊,請參閱[使用 Active Directory 搭配 RDS for SQL Server](User.SQLServer.ActiveDirectoryWindowsAuth.md)。
### 主控台
您可以將選項群組與新的或現有的資料庫執行個體建立關聯。
+ 針對新的資料庫執行個體,在啟動執行個體時與選項群組建立關聯。如需更多詳細資訊,請參閱 [建立 Amazon RDS 資料庫執行個體](USER_CreateDBInstance.md)。
+ 對於現有的資料庫執行個體,請修改執行個體並與新的選項群組建立關聯。如需詳細資訊,請參閱[修改 Amazon RDS 資料庫執行個體](Overview.DBInstance.Modifying.md)。
### CLI
您可以將選項群組關聯至新的或現有的資料庫執行個體。
**建立使用選項群組的資料庫執行個體**
+ 指定建立選項群組時所使用的相同資料庫引擎類型和主要版本。
**Example**
針對 Linux、macOS 或 Unix:
```
aws rds create-db-instance \
--db-instance-identifier myssrsinstance \
--db-instance-class db.m5.2xlarge \
--engine sqlserver-se \
--engine-version 14.00.3223.3.v1 \
--allocated-storage 100 \
--manage-master-user-password \
--master-username admin \
--storage-type gp2 \
--license-model li \
--domain-iam-role-name my-directory-iam-role \
--domain my-domain-id \
--option-group-name ssrs-se-2017
```
在 Windows 中:
```
aws rds create-db-instance ^
--db-instance-identifier myssrsinstance ^
--db-instance-class db.m5.2xlarge ^
--engine sqlserver-se ^
--engine-version 14.00.3223.3.v1 ^
--allocated-storage 100 ^
--manage-master-user-password ^
--master-username admin ^
--storage-type gp2 ^
--license-model li ^
--domain-iam-role-name my-directory-iam-role ^
--domain my-domain-id ^
--option-group-name ssrs-se-2017
```
**修改資料庫執行個體以使用您的選項群組**
+ 請執行下列其中一個命令:
**Example**
針對 Linux、macOS 或 Unix:
```
aws rds modify-db-instance \
--db-instance-identifier myssrsinstance \
--option-group-name ssrs-se-2017 \
--apply-immediately
```
在 Windows 中:
```
aws rds modify-db-instance ^
--db-instance-identifier myssrsinstance ^
--option-group-name ssrs-se-2017 ^
--apply-immediately
```
## 允許對 VPC 安全群組進行傳入存取
若要允許傳入存取與資料庫執行個體相關聯的 VPC 安全群組,請為指定的 SSRS 接聽程式連接埠建立傳入規則。如需設定安全群組的詳細資訊,請參閱[建立安全群組以存取在您的 VPC 中您的資料庫執行個體](CHAP_SettingUp.md#CHAP_SettingUp.SecurityGroup)。
## 報告伺服器資料庫
當您的資料庫執行個體與 SSRS 選項相關聯時,會在您的資料庫執行個體上建立兩個新的資料庫:
+ `rdsadmin_ReportServer`
+ `rdsadmin_ReportServerTempDB`
這些資料庫代表 ReportServer 和 ReportServerTempDB 資料庫。SSRS 會將其資料存放在 ReportServer 資料庫中,並將其資料快取在 ReportServerTempDB 資料庫中。如需詳細資訊,請參閱 Microsoft 文件中的[報表伺服器資料庫](https://learn.microsoft.com/en-us/sql/reporting-services/report-server/report-server-database-ssrs-native-mode?view=sql-server-ver15)。
RDS 擁有和管理這些資料庫,因此不允許在其上進行資料庫操作,如 ALTER 和 DROP。不允許存取 `rdsadmin_ReportServerTempDB` 資料庫。然而,您可以在 `rdsadmin_ReportServer` 資料庫上執行讀取操作。
## SSRS 日誌檔案
您可以列出、檢視和下載 SSRS 日誌檔案。SSRS 日誌檔案遵循 ReportServerService\$1*timestamp*.log 的命名慣例。這些報表伺服器日誌位於 `D:\rdsdbdata\Log\SSRS` 目錄中。(`D:\rdsdbdata\Log` 目錄也是錯誤日誌和 SQL Server Agent 日誌的父目錄)。如需更多詳細資訊,請參閱 [檢視並列出資料庫日誌檔案](USER_LogAccess.Procedural.Viewing.md)。
若為現有 SSRS 執行個體,可能需要重新啟動 SSRS 服務才能存取報告伺服器日誌。您可更新 `SSRS` 選項重新啟動服務。
如需更多詳細資訊,請參閱 [使用 Amazon RDS for Microsoft SQL Server 日誌](Appendix.SQLServer.CommonDBATasks.Logs.md)。
# 存取 SSR Web 入口網站
請使用下列程序來存取 SSRS Web 入口網站:
1. 開啟 Secure Sockets Layer (SSL)。
1. 授予網域使用者的存取權。
1. 使用瀏覽器和網域使用者登入資料存取 Web 入口網站。
## 在 RDS 上使用 SSL
SSRS 使用 HTTPS SSL 通訊協定進行連線。若要使用此通訊協定,請將 SSL 憑證匯入至用戶端電腦上的 Microsoft Windows 作業系統中。
如需 SSL 憑證的詳細資訊,請參閱[使用 SSL/TLS 加密與資料庫執行個體或叢集的連線](UsingWithRDS.SSL.md)。如需在使用 SSL 搭配 MySQL 的詳細資訊,請參閱[對 Microsoft SQL Server 資料庫執行個體使用 SSL](SQLServer.Concepts.General.SSL.Using.md)。
## 授予網域使用者的存取權
啟用全新的 SSRS 時,SSRS 中不會有角色指派。為了讓網域使用者或使用者群組存取 Web 入口網站,RDS 會提供預存程序。
**將存取權授予 Web 入口網站上的網域使用者**
+ 請使用下列預存程序。
```
exec msdb.dbo.rds_msbi_task
@task_type='SSRS_GRANT_PORTAL_PERMISSION',
@ssrs_group_or_username=N'AD_domain\user';
```
對於網域使用者或使用者群組,會授予 `RDS_SSRS_ROLE` 系統角色。此角色獲授予下列系統層級的任務:
+ 執行報告
+ 管理任務
+ 管理共用排程
+ 檢視共用排程
也會授予根資料夾上 `Content Manager` 的項目層級角色。
## 存取 Web 入口網站
`SSRS_GRANT_PORTAL_PERMISSION` 任務順利完成後,您就可以使用網頁瀏覽器存取入口網站。Web 入口網站 URL 具有下列格式。
```
https://rds_endpoint:port/Reports
```
在此格式中,適用以下各項:
+ *`rds_endpoint`* – 您搭配 SSRS 使用之 RDS 資料庫執行個體的端點。
您可以在資料庫執行個體的 **Connectivity & security (連線與安全)** 標籤上找到端點。如需更多詳細資訊,請參閱 [連線至 Microsoft SQL Server 資料庫執行個體](USER_ConnectToMicrosoftSQLServerInstance.md)。
+ `port` – 您在 `SSRS` 選項中設定 SSRS 的接聽程式連接埠。
**存取 Web 入口網站**
1. 在瀏覽器中輸入 Web 入口網站 URL。
```
https://myssrsinstance.cg034itsfake.us-east-1.rds.amazonaws.com:8443/Reports
```
1. 使用您獲授予 `SSRS_GRANT_PORTAL_PERMISSION` 任務存取權之網域使用者的登入資料登入。
# 部署報告和設定報告資料來源
使用下列程序,將報告部署至 SSRS 並設定報告資料來源:
**Topics**
+ [將報告部署到 SSRS](#SSRS.Deploy)
+ [設定報告資料來源](#SSRS.ConfigureDataSource)
## 將報告部署到 SSRS
您可以存取入口網站之後,就可以將報告部署至該入口網站。您可以使用 Web 入口網站中的「上傳」工具上傳報告,或直接從 [SQL Server 資料工具 (SSDT)](https://docs.microsoft.com/en-us/sql/ssdt/download-sql-server-data-tools-ssdt)部署。從 SSDT 部署時,請確定下列事項:
+ 啟動 SSDT 的使用者可以存取 SSRS 入口網站。
+ SSRS 專案屬性中的 `TargetServerURL` 值會設定為 RDS 資料庫執行個體的 HTTPS 端點,並帶有字尾 `ReportServer`,例如:
```
https://myssrsinstance.cg034itsfake.us-east-1.rds.amazonaws.com:8443/ReportServer
```
## 設定報告資料來源
將報告部署至 SSRS 之後,您應該設定報告資料來源。設定報告資料來源時,請確保下列事項:
+ 對於加入至 AWS Directory Service for Microsoft Active Directory 的 RDS for SQL Server 資料庫執行個體,請使用完整網域名稱 (FQDN) 做為連線字串的資料來源名稱。例如 `myssrsinstance.corp-ad.example.com`,其中 `myssrsinstance` 是資料庫執行個體名稱,而且 `corp-ad.example.com` 是完整網域名稱。
+ 對於加入至自我管理 Active Directory 的 RDS for SQL Server 資料庫執行個體,請使用 `.` 或 `LocalHost` 做為連線字串的資料來源名稱。
# 使用 SSRS 電子郵件傳送報告
SSRS 包含 SSRS 電子郵件擴充功能,您可以用來將報告傳送給使用者。
若要設定 SSRS 電子郵件,請使用 `SSRS` 選項設定。如需詳細資訊,請參閱[將 SSRS 選項新增到您的選項群組](SSRS.Enabling.md#SSRS.Add)。
設定 SSRS 電子郵件之後,您可以訂閱報告伺服器上的報告。如需詳細資訊,請參閱 Microsoft 文件中的《[報告服務中的電子郵件傳遞](https://docs.microsoft.com/en-us/sql/reporting-services/subscriptions/e-mail-delivery-in-reporting-services)》。
SSRS 電子郵件AWS Secrets Manager需要與 整合,才能在 RDS 上運作。若要與 Secrets Manager 整合,您需要建立秘密。
**注意**
如果您稍後變更秘密,則也必須更新 `SSRS` 選項群組中的選項。
**若要建立 SSRS 電子郵件的秘密**
1. 依照《*AWS Secrets Manager 使用者指南*》中[建立秘密](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create_secret.html)的步驟進行。
1. 針對 **Select secret type (選取秘密類型)**,選擇 **Other type of secrets (其他秘密類型)**。
1. 對於 **ey/value pairs** (鍵/值對),輸入下列:
+ **SMTP\$1USERNAME** - 輸入具有從 SMTP 伺服器傳送郵件權限的使用者。
+ **SMTP\$1PASSWORD** - 輸入 SMTP 使用者的密碼。
1. 對於 **Encryption key** (加密金鑰),請勿使用預設 AWS KMS key。使用您自己的現有金鑰或建立新的金鑰。
KMS 金鑰政策必須允許 `kms:Decrypt` 動作,例如:
```
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"Service": [
"rds.amazonaws.com"
]
},
"Action": [
"kms:Decrypt"
],
"Resource": "*"
}
```
1. 請遵循*AWS Secrets Manager使用者指南*中[將許可政策連接至秘密](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html)的步驟。權限政策提供 `secretsmanager:GetSecretValue` 動作至 `rds.amazonaws.com` 服務主體。
建議您使用政策中的 `aws:sourceAccount` 和 `aws:sourceArn` 條件金鑰,保護自己免受*混淆代理人問題*的困擾。使用AWS 帳戶適用於 的 `aws:sourceAccount`和適用於 的選項群組 ARN`aws:sourceArn`。如需詳細資訊,請參閱[防止跨服務混淆代理人問題](cross-service-confused-deputy-prevention.md)。
以下範例示範許可政策。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [ {
"Effect" : "Allow",
"Principal" : {
"Service" : "rds.amazonaws.com"
},
"Action" : "secretsmanager:GetSecretValue",
"Resource" : "*",
"Condition" : {
"StringEquals" : {
"aws:sourceAccount" : "123456789012"
},
"ArnLike" : {
"aws:sourceArn" : "arn:aws:rds:us-west-2:123456789012:og:ssrs-se-2017"
}
}
} ]
}
```
------
如需更多範例,請參閱*AWS Secrets Manager《 使用者指南*》中的 [AWSSecrets Manager 的許可政策範例](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_examples.html)。
# 撤銷系統層級許可
`RDS_SSRS_ROLE` 系統角色沒有足夠的許可,無法刪除系統層級角色指派。若要從 `RDS_SSRS_ROLE` 中移除使用者或使用者群組,請使用您用來授予角色的相同預存程序,但使用 `SSRS_REVOKE_PORTAL_PERMISSION` 任務類型。
**撤銷 Web 入口網站的網域使用者存取權**
+ 請使用下列預存程序。
```
exec msdb.dbo.rds_msbi_task
@task_type='SSRS_REVOKE_PORTAL_PERMISSION',
@ssrs_group_or_username=N'AD_domain\user';
```
這麼做會將使用者從 `RDS_SSRS_ROLE` 系統角色中刪除。如果使用者擁有 `Content Manager` 項目層級角色,也會從該項目層級角色中刪除該使用者。
# 監控任務的狀態
若要追蹤授予或撤銷任務的狀態,請呼叫 `rds_fn_task_status` 函數。需要兩個參數。第一個參數不適用於 SSAS,所以應該一律為 `NULL`。第二個參數接受任務 ID。
若要查看所有任務的清單,請將第一個參數設為 `NULL`,將第二個參數設為 `0`,如下列範例所示。
```
SELECT * FROM msdb.dbo.rds_fn_task_status(NULL,0);
```
若要取得特定的任務,請將第一個參數設為 `NULL`,將第二個參數設為任務 ID,如下列範例所示。
```
SELECT * FROM msdb.dbo.rds_fn_task_status(NULL,42);
```
`rds_fn_task_status` 函數會傳回下列資訊。
| 輸出參數 | 描述 |
| --- | --- |
| `task_id` | 任務的 ID。 |
| `task_type` | 對於 SSRS,任務可以有下列任務類型: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/AmazonRDS/latest/UserGuide/SSRS.Monitor.html) |
| `database_name` | 不適用於 SSRS 任務。 |
| `% complete` | 任務的進度 (以百分比表示)。 |
| `duration (mins)` | 任務所花的時間 (以分鐘為單位)。 |
| `lifecycle` | 任務的狀態。可能的狀態如下: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/AmazonRDS/latest/UserGuide/SSRS.Monitor.html) |
| `task_info` | 任務的其他資訊。如果處理期間發生錯誤,此欄包含該錯誤的相關資訊。 |
| `last_updated` | 上次更新任務狀態的日期和時間。 |
| `created_at` | 建立任務的日期和時間。 |
| `S3_object_arn` | 不適用於 SSRS 任務。 |
| `overwrite_S3_backup_file` | 不適用於 SSRS 任務。 |
| `KMS_master_key_arn` | 不適用於 SSRS 任務。 |
| `filepath` | 不適用於 SSRS 任務。 |
| `overwrite_file` | 不適用於 SSRS 任務。 |
| `task_metadata` | 與 SSRS 任務相關聯的中繼資料。 |
# 停用和刪除 SSRS 資料庫
使用下列程序停用 SSRS 和刪除 SSRS 資料庫:
**Topics**
+ [關閉 SSRS](#SSRS.Disable)
+ [刪除 SSRS 資料庫](#SSRS.Drop)
## 關閉 SSRS
若要關閉 SSRS,請從其選項群組中移除 `SSRS` 選項。移除此選項並不會刪除 SSRS 資料庫。如需詳細資訊,請參閱 [刪除 SSRS 資料庫](#SSRS.Drop)。
您可以通過新增回 `SSRS` 選項來再次打開 SSRS。如果您也已刪除 SSRS 資料庫,在相同的資料庫執行個體上重新新增 SSRS 會建立新的報告伺服器資料庫。
### 主控台
**從選項群組中移除 SSRS 選項**
1. 登入 AWS 管理主控台,開啟位於 [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/) 的 Amazon RDS 主控台。
1. 在導覽窗格中,選擇 **Option groups** (選項群組)。
1. 選擇具有 `SSRS` 選項的選項群組 (上述範例中的 `ssrs-se-2017`)。
1. 選擇 **Delete option (刪除選項)**。
1. 在 **Deletion options (刪除選項)** 下,為 **Options to delete (要刪除的選項)** 選擇 **SSRS**。
1. 在 **Apply immediately (立即套用)** 下,選擇 **Yes (是)** 立即刪除選項,或選擇 **No (否)** 在下一個維護時段將其刪除。
1. 選擇 **刪除**。
### CLI
**從選項群組中移除 SSRS 選項**
+ 請執行下列其中一個命令:
**Example**
針對 Linux、macOS 或 Unix:
```
aws rds remove-option-from-option-group \
--option-group-name ssrs-se-2017 \
--options SSRS \
--apply-immediately
```
針對 Windows:
```
aws rds remove-option-from-option-group ^
--option-group-name ssrs-se-2017 ^
--options SSRS ^
--apply-immediately
```
## 刪除 SSRS 資料庫
移除 `SSRS` 選項並不會刪除報告伺服器資料庫。若要刪除它們,請使用下列預存程序。
若要刪除報告伺服器資料庫,請務必先移除 `SSRS` 選項。
**刪除 SSRS 資料庫**
+ 請使用下列預存程序。
```
exec msdb.dbo.rds_drop_ssrs_databases
```