Descripción de los roles de base de datos de Azure MySQL integrados

  • 4 minutos

El control de acceso basado en rol (RBAC) de Azure permite administrar el acceso a los recursos de Azure asignando roles de Azure. RBAC funciona con tres elementos:

  • Entidad de seguridad: un usuario, grupo, entidad de servicio o identidad administrada.
  • Definición de roles: un conjunto de permisos o restricciones.
  • Ámbito: contexto que se aplica al acceso o las restricciones.

Cuando se crea un servidor Azure Database for MySQL, incluye roles de servidor integrados y también se pueden crear roles personalizados. Azure Database for MySQL permite ver y cambiar el acceso al servidor desde el menú Control de acceso (IAM).

Agregar asignación de roles

Para asignar una definición de roles a un usuario o grupo, haga lo siguiente:

  1. En Azure Portal, vaya al servidor MySQL. En el menú izquierdo, seleccione Control de acceso (IAM).
  2. Seleccione + Agregar en el menú situado en la parte superior y Agregar asignación de roles. Se muestra una lista de definiciones de roles con una descripción de cada una.
  3. Seleccione la definición de roles que quiere asignar y luego Miembros.
  4. Seleccione Asignar acceso a usuario, grupo o entidad de servicio.
  5. Seleccione + Seleccionar miembros, que se encuentra junto a Miembros. Se muestra una lista de usuarios. Seleccione uno o varios usuarios o grupos y, después, elija Seleccionar.
  6. Para asignarlos, seleccione Revisar y asignar.

Use RBAC de Azure para controlar el acceso al servidor de Azure Database for MySQL. En bases de datos individuales, use consultas SQL para crear usuarios y configurar permisos de usuario.

Nota

Azure RBAC no afecta a los permisos de usuario en la base de datos. Para crear usuarios de la base de datos, debe iniciar sesión con credenciales de administrador. Con una herramienta cliente, como MySQL Workbench, conéctese al servidor de bases de datos. Para crear un usuario que no sea administrador, use la instrucción CREATE USER. Reemplace db_user por el nombre de usuario, StrongPassword por una contraseña segura y testdb por el nombre de la base de datos y, después, ejecute el código siguiente:

CREATE USER 'db_user'@'%' IDENTIFIED BY 'StrongPassword!';

GRANT ALL PRIVILEGES ON testdb . * TO 'db_user'@'%';

FLUSH PRIVILEGES;

Puede comprobar los permisos mediante la instrucción SHOW GRANTS, reemplazando de nuevo los valores de marcador de posición por sus valores:

USE testdb;

SHOW GRANTS FOR 'db_user'@'%';

Para definir lo que un usuario puede hacer con una base de datos, use la instrucción GRANT y reemplace los valores de marcador de posición por los valores:

CREATE USER 'new_master_user'@'%' IDENTIFIED BY 'StrongPassword!';

GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, RELOAD, PROCESS, REFERENCES, INDEX, ALTER, SHOW DATABASES, CREATE TEMPORARY TABLES, LOCK TABLES, EXECUTE, REPLICATION SLAVE, REPLICATION CLIENT, CREATE VIEW, SHOW VIEW, CREATE ROUTINE, ALTER ROUTINE, CREATE USER, EVENT, TRIGGER ON *.*

TO 'new_master_user'@'%' WITH GRANT OPTION;

FLUSH PRIVILEGES;

Nota

Este artículo contiene referencias al término esclavo, un término que Microsoft ya no usa. Cuando se elimine el término del software, se eliminará también de este artículo.