Descripción del acceso de superusuario

  • 3 minutos

El primer usuario que se crea cuando se crea un servidor de Azure Database for MySQL es un administrador de servicios. Esa cuenta de usuario tiene acceso de superusuario a todos los recursos de la suscripción, incluida la creación de nuevos usuarios, la supervisión del servidor, etc.

Dado que una cuenta de administrador tiene acceso total a todos los recursos, debe limitar y supervisar las cuentas de administrador. En particular:

  • Mantenga un inventario de todas las cuentas de administrador asignadas.
  • Asigne un coadministrador para proporcionar acceso cuando el primer administrador no esté disponible.
  • Limite las cuentas de administrador al menor número que sea práctico. Si una cuenta de administrador está en peligro, un hacker tiene acceso completo al servidor.
  • Supervise el comportamiento y realice un seguimiento de cualquier comportamiento de cuenta anómalo.
  • Asigne cuentas de administrador adicionales solo durante el tiempo necesario para completar una tarea.

Nota:

Los administradores se agregan en el nivel de suscripción, no en el nivel de servidor. En Azure Portal, vaya a la suscripción correcta. En el menú izquierdo, seleccione Control de acceso (IAM). Seleccione +Agregar y Agregar coadministrador.

Consulte la administración de acceso y permisos de Azure Security Center para obtener instrucciones sobre el control y la supervisión de las cuentas administrativas.

Nota

Este artículo contiene referencias al término esclavo, un término que Microsoft ya no usa. Cuando se elimine el término del software, se eliminará también de este artículo.

Este usuario administrador del servidor tiene los privilegios siguientes:

SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, RELOAD, PROCESS, REFERENCES, 
INDEX, ALTER, SHOW DATABASES, CREATE TEMPORARY TABLES, LOCK TABLES, EXECUTE, 
REPLICATION SLAVE, REPLICATION CLIENT, CREATE VIEW, SHOW VIEW, CREATE ROUTINE, 
ALTER ROUTINE, CREATE USER, EVENT, TRIGGER

Puede usar la primera cuenta de administrador del servidor para crear más usuarios y concederles acceso de administrador. Además, la cuenta de administrador del servidor puede usarse para crear usuarios con menos privilegios que tengan acceso a esquemas de base de datos individuales.

Azure Database for MySQL es un servicio y no se admiten todos los roles, en concreto:

  • El rol DBA está restringido. Use la cuenta de usuario de administrador que se crea con el servidor. Esto le permite realizar la mayoría de las instrucciones DDL y DML.
  • El privilegio SUPER está restringido. Use la cuenta de usuario de administrador que se crea con el servidor.
  • No hay ningún Usuario raíz en Azure Database for MySQL. En su lugar, use el rol de usuario Administrador o Propietario.

Nota:

DEFINER requiere privilegios SUPER para crear y está restringido. Si vuelve a importar datos mediante una copia de seguridad, elimine los comandos CREATE DEFINER manualmente o mediante el comando -skip-definer cuando realice un mysqlpump.