Compartir a través de

  • Artículo

Modelo de seguridad

Esta sección describe el modelo de seguridad de la captura de datos modificados.

Configuración y administración

Para habilitar o deshabilitar la captura de datos modificados en una base de datos, el autor de las llamadas a sys.sp_cdc_enable_db (Transact-SQL) o sys.sp_cdc_disable_db (Transact-SQL) debe ser miembro del rol fijo de servidor sysadmin. Para habilitar y deshabilitar la captura de datos modificados en el nivel de tabla, se requiere que el autor de las llamadas a sys.sp_cdc_enable_table (Transact-SQL) y sys.sp_cdc_disable_table (Transact-SQL) sea miembro del rol sysadmin o del rol de base de datos db_owner.

Para admitir el modelo de seguridad, se crean en la base de datos un usuario especial de la captura de datos modificados y un esquema de captura de datos modificados que sea propiedad del usuario de la base de datos de captura de datos modificados cuando esta característica está habilitada. Todos los objetos de captura de datos modificados que no están en la base de datos de recursos se crean en este esquema y son propiedad del usuario de la captura de datos modificados. Esto incluye cualquier rol de acceso que se crea cuando una tabla está habilitada para la captura de datos modificados.

El uso de los procedimientos almacenados para admitir la administración de trabajos de captura de datos modificados se restringe a los miembros del rol de servidor sysadmin y a los miembros del rol db_owner.

Enumeración de cambios y consultas de los metadatos

Para obtener acceso a los datos modificados que están asociados a una instancia de captura, se debe conceder al usuario acceso exclusivo a todas las columnas capturadas de la tabla de origen asociada. Además, si se especifica un rol de acceso cuando se crea la instancia de captura, el autor de las llamadas también debe ser miembro del rol de acceso especificado. Otras funciones de captura de datos modificados generales para tener acceso a los metadatos serán accesibles para todos los usuarios de la base de datos a través del rol public, aunque el acceso a los metadatos devueltos también se conseguirá normalmente mediante un acceso exclusivo a las tablas de origen subyacentes y por pertenencia a cualquier rol de acceso definido.

Operaciones DDL para las tablas de origen habilitadas para la captura de datos modificados

Cuando una tabla está habilitada para la captura de datos modificados, solo un miembro del rol fijo de servidor sysadmin o de los roles database role db_owner o database role db_ddladmin puede aplicarle las operaciones DDL. Los usuarios a los que se les haya permitido explícitamente realizar operaciones DDL en la tabla recibirán el error 22914 si intentan estas operaciones.