Principy přístupu superuživatele

  • 3 min

Prvním uživatelem, který se vytvoří při vytvoření serveru Azure Database for MySQL, je služba Správa istrator. Tento uživatelský účet má přístup superuživatele ke všem prostředkům v předplatném, včetně vytváření nových uživatelů, monitorování serveru atd.

Vzhledem k tomu, že účet správce má úplný přístup ke všem prostředkům, měli byste omezit a monitorovat účty správce. Zejména jde o toto:

  • Udržujte inventář všech přiřazených účtů správce.
  • Přiřaďte spolusprávce přístup, když není k dispozici první správce.
  • Omezte účty správce na nejmenší počet, který je praktický. Pokud dojde k ohrožení účtu správce, má hacker úplný přístup k serveru.
  • Monitorujte chování a sledujte jakékoli neobvyklé chování účtu.
  • Přiřaďte další účty správce jenom po dobu potřebnou k dokončení úkolu.

Poznámka:

Správa istrátory se přidávají na úrovni předplatného, nikoli na úrovni serveru. Na webu Azure Portal přejděte ke správnému předplatnému. V nabídce vlevo vyberte Řízení přístupu (IAM). Vyberte +Přidat a přidat spolusprávce.

Pokyny k řízení a monitorování účtů pro správu najdete v tématu Správa přístupu a oprávnění služby Azure Security Center.

Poznámka:

Tento článek obsahuje odkazy na termín slave (podřízený) , což je termín, který už Microsoft nepoužívá. Když se termín odebere ze softwaru, odebereme ho z tohoto článku.

Tento uživatel správce serveru má následující oprávnění:

SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, RELOAD, PROCESS, REFERENCES, 
INDEX, ALTER, SHOW DATABASES, CREATE TEMPORARY TABLES, LOCK TABLES, EXECUTE, 
REPLICATION SLAVE, REPLICATION CLIENT, CREATE VIEW, SHOW VIEW, CREATE ROUTINE, 
ALTER ROUTINE, CREATE USER, EVENT, TRIGGER

Pomocí prvního účtu správce serveru můžete vytvořit více uživatelů a udělit jim přístup správce. Účet správce serveru můžete také použít k vytvoření méně privilegovaných uživatelů, kteří mají přístup k jednotlivým schématům databáze.

Azure Database for MySQL je služba a ne všechny role se podporují konkrétně:

  • Role DBA je omezená. Použijte uživatelský účet správce, který je vytvořen se serverem. To umožňuje provádět většinu příkazů DDL a DML.
  • Oprávnění SUPER je omezeno. Použijte uživatelský účet správce, který je vytvořen se serverem.
  • Ve službě Azure Database for MySQL neexistuje žádný uživatel root . Místo toho použijte roli uživatele Správa istrator nebo vlastníka.

Poznámka:

DefineR vyžaduje k vytvoření a omezení super oprávnění. Pokud importujete data pomocí zálohy, odeberte příkazy CREATE DEFINER ručně nebo pomocí příkazu -skip-definer při provádění mysqlpumpu.