Rôles créés par l’extension Azure pour l’installation de SQL Server
S’applique à : 
SQL Server
Cet article répertorie les rôles de serveur et de base de données et les mappages que l’installation de l’extension Azure pour SQL Server crée.
Rôles
Lorsque vous installez l'extension Azure pour SQL Server, l'installation :
Crée un rôle au niveau du serveur : SQLArcExtensionServerRole
Crée un rôle au niveau de la base de données : SQLArcExtensionUserRole
Ajoute le compte NT AUTHORITY\SYSTEM* à chaque rôle
Mappe NT AUTHORITY\SYSTEM* au niveau de la base de données pour chaque base de données
Accorde des autorisations minimales pour les fonctions activées
*Vous pouvez également configurer SQL Server avec Azure Arc pour qu’il s’exécute en mode privilège minimum (disponible en préversion). Pour plus de détails, consultez Utiliser SQL Server avec Azure Arc avec des privilèges minimum (préversion).
En outre, l’extension Azure pour SQL Server révoque les autorisations pour ces rôles lorsqu’elles ne sont plus nécessaires pour des fonctionnalités spécifiques.
SqlServerExtensionPermissionProvider est une tâche Windows. Elle accorde ou révoque des privilèges dans SQL Server lorsqu’elle détecte :
- Une nouvelle instance SQL Server installée sur l’hôte
- L’instance SQL Server est désinstallée de l’hôte
- Une fonctionnalité au niveau de l’instance est activée ou désactivée, ou les paramètres sont mis à jour
- Le service d’extension est redémarré
Remarque
Avant la version de juillet 2024, SqlServerExtensionPermissionProvider est une tâche planifiée. Elle s’exécute toutes les heures.
Pour plus d’informations, consultez Configurer les comptes de service Windows et les autorisations de l’extension Azure pour SQL Server.
Si vous désinstallez l’extension Azure pour SQL Server, les rôles au niveau du serveur et de la base de données seront supprimés.
autorisations
| Fonctionnalité | Autorisation | Niveau | Role |
|---|---|---|---|
| Par défaut | VIEW SERVER STATE | Niveau du serveur | SQLArcExtensionServerRole |
| CONNECT SQL | Niveau du serveur | SQLArcExtensionServerRole | |
| VIEW ANY DEFINITION | Niveau du serveur | SQLArcExtensionServerRole | |
| VIEW ANY DATABASE | Niveau du serveur | SQLArcExtensionServerRole | |
| CONNECT ANY DATABASE | Niveau du serveur | SQLArcExtensionServerRole | |
| SELECT dbo.sysjobactivity | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.sysjobs | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.syssessions | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.sysjobHistory | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.sysjobSteps | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.syscategories | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.sysoperators | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.suspectpages | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.backupset | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.backupmediaset | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.backupmediafamily | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.backupfile | msdb | SQLArcExtensionUserRole | |
| Sauvegarde | CREATE ANY DATABASE | Niveau du serveur | SQLArcExtensionServerRole |
| db_backupoperator, rôle | Toutes les bases de données | SQLArcExtensionUserRole | |
| dbcreator | Niveau du serveur | SQLArcExtensionServerRole | |
| Plan de contrôle Azure | CREATE TABLE | msdb | SQLArcExtensionUserRole |
| ALTER ANY SCHEMA | msdb | SQLArcExtensionUserRole | |
| CREATE TYPE | msdb | SQLArcExtensionUserRole | |
| Exécutez | msdb | SQLArcExtensionUserRole | |
| db_datawriter, rôle | msdb | SQLArcExtensionUserRole | |
| db_datareader, rôle | msdb | SQLArcExtensionUserRole | |
| Découverte du groupe de disponibilité | VIEW ANY DEFINITION | Niveau du serveur | SQLArcExtensionServerRole |
| Purview | SELECT | Toutes les bases de données | SQLArcExtensionUserRole |
| Exécutez | Toutes les bases de données | SQLArcExtensionUserRole | |
| Évaluation de la migration | EXECUTE dbo.agent_datetime | msdb | SQLArcExtensionUserRole |
| SELECT dbo.sysjobs | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.sysmail_account | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.sysmail_profile | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.sysmail_profileaccount | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.syssubsystems | msdb | SQLArcExtensionUserRole | |
| SELECT sys.sql_expression_dependencies | Toutes les bases de données | SQLArcExtensionUserRole |
Exécuter avec des privilèges minimum
Pour exécuter l’extension Azure pour SQL Server avec des privilèges minimum, suivez les instructions de l’option Utiliser SQL Server activée par Azure Arc avec des privilèges minimum.
À ce stade, la configuration des privilèges minimum n’est pas la configuration par défaut.
Contenu connexe
Configurer les comptes de service Windows et les autorisations