Roles creados por la extensión de Azure para la instalación de SQL Server
Se aplica a: 
SQL Server
En este artículo se enumeran los roles de servidor y base de datos y las asignaciones que crea la instalación de la extensión de Azure para SQL Server.
Roles
Cuando se instala la extensión de Azure para SQL Server, la instalación:
Crea un rol de nivel de servidor: SQLArcExtensionServerRole
Crea un rol de nivel de base de datos: SQLArcExtensionUserRole
Agregue la cuenta NT AUTHORITY\SYSTEM* a cada rol
Asigne NT AUTHORITY\SYSTEM* al nivel de base de datos de cada base de datos
Concede los permisos mínimos para las características habilitadas
*Como alternativa, puede configurar SQL Server habilitado por Azure Arc para que se ejecute en modo de privilegios mínimos (disponible en versión preliminar). Para obtener más información, consulte Funcionamiento de SQL Server habilitado para Azure Arc con privilegios mínimos (versión preliminar).
Además, la extensión de Azure para SQL Server revoca los permisos de estos roles cuando ya no son necesarios para características específicas.
SqlServerExtensionPermissionProvider es una tarea de Windows. Concede o revoca privilegios en SQL Server cuando detecta:
- Que se ha instalado una nueva instancia de SQL Server en el host.
- La instancia de SQL Server se desinstala del host
- Una característica de nivel de instancia está habilitada o deshabilitada o se actualiza la configuración.
- Se reinicia el servicio de extensión
Nota:
Antes de la versión de julio de 2024, SqlServerExtensionPermissionProvider es una tarea programada. Se ejecuta cada hora.
Para obtener más información, consulte Configuración de las cuentas de servicio de Windows y los permisos para la extensión de Azure para SQL Server.
Si desinstala la extensión de Azure para SQL Server, se quitan los roles de nivel de servidor y base de datos.
Permisos
| Característica | Permiso | Nivel | Role |
|---|---|---|---|
| Valor predeterminado | VIEW SERVER STATE | Nivel de servidor | SQLArcExtensionServerRole |
| CONNECT SQL | Nivel de servidor | SQLArcExtensionServerRole | |
| VIEW ANY DEFINITION | Nivel de servidor | SQLArcExtensionServerRole | |
| VIEW ANY DATABASE | Nivel de servidor | SQLArcExtensionServerRole | |
| CONNECT ANY DATABASE | Nivel de servidor | SQLArcExtensionServerRole | |
| SELECT dbo.sysjobactivity | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.sysjobs | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.syssessions | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.sysjobHistory | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.sysjobSteps | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.syscategories | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.sysoperators | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.suspectpages | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.backupset | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.backupmediaset | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.backupmediafamily | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.backupfile | msdb | SQLArcExtensionUserRole | |
| Backup | CREATE ANY DATABASE | Nivel de servidor | SQLArcExtensionServerRole |
| db_backupoperator, rol | Todas las bases de datos | SQLArcExtensionUserRole | |
| dbcreator | Nivel de servidor | SQLArcExtensionServerRole | |
| Plano de control de Azure | CREATE TABLE | msdb | SQLArcExtensionUserRole |
| ALTER ANY SCHEMA | msdb | SQLArcExtensionUserRole | |
| CREATE TYPE | msdb | SQLArcExtensionUserRole | |
| Ejecute | msdb | SQLArcExtensionUserRole | |
| db_datawriter, rol | msdb | SQLArcExtensionUserRole | |
| db_datareader, rol | msdb | SQLArcExtensionUserRole | |
| Detección de grupos de disponibilidad | VIEW ANY DEFINITION | Nivel de servidor | SQLArcExtensionServerRole |
| Purview | SELECT | Todas las bases de datos | SQLArcExtensionUserRole |
| Ejecute | Todas las bases de datos | SQLArcExtensionUserRole | |
| Evaluación de la migración | EXECUTE dbo.agent_datetime | msdb | SQLArcExtensionUserRole |
| SELECT dbo.sysjobs | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.sysmail_account | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.sysmail_profile | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.sysmail_profileaccount | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.syssubsystems | msdb | SQLArcExtensionUserRole | |
| SELECT sys.sql_expression_dependencies | Todas las bases de datos | SQLArcExtensionUserRole |
Ejecución con privilegios mínimos
Para ejecutar la extensión de Azure para SQL Server con privilegios mínimos, siga las instrucciones que se indican en Funcionamiento de SQL Server habilitado por Azure Arc con privilegios mínimos.
En este momento, la configuración de privilegios mínimos no es la predeterminada.