Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Applies to :
SQL Server
Cet article répertorie les rôles de serveur et de base de données et les mappages que l’installation de l’extension Azure pour SQL Server crée.
Rôles
Lorsque vous installez Azure Extension pour SQL Server en mode sans privilèges minimum, l’installation :
- Crée un rôle au niveau du serveur :
SQLArcExtensionServerRole - Crée un rôle au niveau de la base de données :
SQLArcExtensionUserRole - Ajoute le
NT AUTHORITY\SYSTEMcompte à chaque rôle - Mappe
NT AUTHORITY\SYSTEMau niveau de la base de données pour chaque base de données - Accorde des autorisations minimales pour les fonctions activées
Vous pouvez également configurer SQL Server activé par Azure Arc pour qu’il s’exécute en mode privilège minimum. Pour plus d’informations, consultez Operate SQL Server activé par Azure Arc avec des privilèges minimum.
En outre, Azure Extension pour SQL Server révoque les autorisations pour ces rôles lorsqu'ils ne sont plus nécessaires pour des fonctionnalités spécifiques.
Remarque
Les actions décrites précédemment nécessitent que le Deployer se connecte à SQL Server en tant que NT AUTHORITY\SYSTEM. Si la connexion NT AUTHORITY\SYSTEM est supprimée, désactivée ou refusée CONNECT SQL, le Deployer ne peut effectuer aucune de ces actions et l'extension Azure pour SQL Server ne parvient pas à provisionner. Consultez les conditions préalables pour vérifier et restaurer cette connexion.
SqlServerExtensionPermissionProvider est une tâche Windows. Il exécute Deployer.exe pour accorder ou révoquer des privilèges dans SQL Server lorsqu’il détecte :
- Une nouvelle instance de SQL Server est installée sur l’hôte
- Une instance de SQL Server est désinstallée de l’hôte
- Une fonctionnalité au niveau de l’instance est activée ou désactivée, ou les paramètres sont mis à jour
- Le service d’extension est redémarré
- Les autorisations juste-à-temps (JIT) sont activées ou désactivées
Remarque
Avant la publication de juillet 2024, SqlServerExtensionPermissionProvider était une tâche planifiée qui s’est exécutée toutes les heures.
Pour plus d’informations, consultez Configure Windows comptes de service et autorisations pour Azure Extension pour SQL Server.
Si vous désinstallez Azure extension pour SQL Server, les rôles au niveau du serveur et au niveau de la base de données sont supprimés.
autorisations
| Fonctionnalité | Autorisation | Niveau | Rôle |
|---|---|---|---|
| Par défaut | VIEW SERVER STATE |
Niveau du serveur | SQLArcExtensionServerRole |
CONNECT SQL |
Niveau du serveur | SQLArcExtensionServerRole | |
VIEW ANY DEFINITION |
Niveau du serveur | SQLArcExtensionServerRole | |
VIEW ANY DATABASE |
Niveau du serveur | SQLArcExtensionServerRole | |
CONNECT ANY DATABASE |
Niveau du serveur | SQLArcExtensionServerRole | |
SELECT dbo.sysjobactivity |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysjobs |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.syssessions |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysjobHistory |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysjobSteps |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.syscategories |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysoperators |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.suspectpages |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.backupset |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.backupmediaset |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.backupmediafamily |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.backupfile |
msdb |
SQLArcExtensionUserRole | |
| Sauvegarde | CREATE ANY DATABASE |
Niveau du serveur | SQLArcExtensionServerRole |
| db_backupoperator, rôle | Toutes les bases de données | SQLArcExtensionUserRole | |
| dbcreator | Niveau du serveur | SQLArcExtensionServerRole | |
| plan de contrôle Azure | CREATE TABLE |
msdb |
SQLArcExtensionUserRole |
ALTER ANY SCHEMA |
msdb |
SQLArcExtensionUserRole | |
CREATE TYPE |
msdb |
SQLArcExtensionUserRole | |
EXECUTE |
msdb |
SQLArcExtensionUserRole | |
| db_datawriter, rôle | msdb |
SQLArcExtensionUserRole | |
| db_datareader, rôle | msdb |
SQLArcExtensionUserRole | |
| Découverte du groupe de disponibilité | VIEW ANY DEFINITION |
Niveau du serveur | SQLArcExtensionServerRole |
| Basculement du groupe de disponibilité | ALTER ANY AVAILABILITY GROUP |
Niveau du serveur | SQLArcExtensionServerRole |
| Purview | SELECT |
Toutes les bases de données | SQLArcExtensionUserRole |
EXECUTE |
Toutes les bases de données | SQLArcExtensionUserRole | |
| Évaluation de la migration | EXECUTE dbo.agent_datetime |
msdb |
SQLArcExtensionUserRole |
SELECT dbo.sysjobs |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysmail_account |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysmail_profile |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysmail_profileaccount |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.syssubsystems |
msdb |
SQLArcExtensionUserRole | |
SELECT sys.sql_expression_dependencies |
Toutes les bases de données | SQLArcExtensionUserRole |
Exécuter avec les privilèges minimum
Pour exécuter Azure extension pour SQL Server avec privilège minimum, suivez les instructions de Operate SQL Server activée par Azure Arc avec des privilèges minimum.
À ce stade, la configuration des privilèges minimum n’est pas la configuration par défaut.