Rôles créés par l’extension Azure pour l’installation de SQL Server

  • Article

S’applique à :SQL Server

Cet article répertorie les rôles de serveur et de base de données et les mappages que l’installation de l’extension Azure pour SQL Server crée.

Rôles

Lorsque vous installez l’extension Azure pour SQL Server, l’installation :

  1. Crée un rôle de niveau serveur : SQLArcExtensionServerRole
  2. Crée un rôle de niveau base de données : SQLArcExtensionUserRole
  3. Ajoute le compte NT AUTHORITY\SYSTEM à chaque rôle
  4. Cartes NT AUTHORITY\SYSTEM au niveau de la base de données pour chaque base de données
  5. Octroie des autorisations minimales pour les fonctionnalités activées

En outre, l’extension Azure pour SQL Server révoque les autorisations pour ces rôles lorsqu’elles ne sont plus nécessaires pour des fonctionnalités spécifiques.

Une tâche planifiée Windows s’exécute toutes les heures. Il accorde ou révoque des privilèges dans SQL Server lorsqu’il détecte :

  • Une nouvelle instance SQL Server est installée sur l’hôte
  • Une nouvelle base de données est créée
  • Une fonctionnalité est activée ou désactivée

Pour plus d’informations, consultez Configurer les comptes de service Windows et les autorisations pour l’extension Azure pour SQL Server.

Si vous désinstallez l’extension Azure pour SQL Server, les rôles au niveau du serveur et de la base de données sont supprimés.

Autorisations

Fonctionnalité Autorisation Level Rôle
Par défaut VIEW SERVER STATE Niveau du serveur SQLArcExtensionServerRole
CONNECT SQL Niveau du serveur SQLArcExtensionServerRole
VIEW ANY DEFINITION Niveau du serveur SQLArcExtensionServerRole
VIEW ANY DATABASE Niveau du serveur SQLArcExtensionServerRole
CONNECT ANY DATABASE Niveau du serveur SQLArcExtensionServerRole
SELECT dbo.sysjobactivity msdb SQLArcExtensionUserRole
SELECT dbo.sysjobs msdb SQLArcExtensionUserRole
SELECT dbo.syssessions msdb SQLArcExtensionUserRole
SELECT dbo.sysjobHistory msdb SQLArcExtensionUserRole
SELECT dbo.sysjobSteps msdb SQLArcExtensionUserRole
SELECT dbo.syscategories msdb SQLArcExtensionUserRole
SELECT dbo.sysoperators msdb SQLArcExtensionUserRole
SELECT dbo.suspectpages msdb SQLArcExtensionUserRole
SELECT dbo.backupset msdb SQLArcExtensionUserRole
SELECT dbo.backupmediaset msdb SQLArcExtensionUserRole
SELECT dbo.backupmediafamily msdb SQLArcExtensionUserRole
SELECT dbo.backupfile msdb SQLArcExtensionUserRole
Sauvegarde CREATE ANY DATABASE Niveau du serveur SQLArcExtensionServerRole
db_backupoperator, rôle Toutes les bases de données SQLArcExtensionUserRole
dbcreator Niveau du serveur SQLArcExtensionServerRole
Plan de contrôle Azure CREATE TABLE msdb SQLArcExtensionUserRole
ALTER ANY SCHEMA msdb SQLArcExtensionUserRole
CREATE TYPE msdb SQLArcExtensionUserRole
Exécutez msdb SQLArcExtensionUserRole
db_datawriter, rôle msdb SQLArcExtensionUserRole
db_datareader, rôle msdb SQLArcExtensionUserRole
Découverte du groupe de disponibilité VIEW ANY DEFINITION Niveau du serveur SQLArcExtensionServerRole
Purview SELECT Toutes les bases de données SQLArcExtensionUserRole
Exécutez Toutes les bases de données SQLArcExtensionUserRole
Évaluation de la migration EXECUTE dbo.agent_datetime msdb SQLArcExtensionUserRole
SELECT dbo.sysjobs msdb SQLArcExtensionUserRole
SELECT dbo.sysmail_account msdb SQLArcExtensionUserRole
SELECT dbo.sysmail_profile msdb SQLArcExtensionUserRole
SELECT dbo.sysmail_profileaccount msdb SQLArcExtensionUserRole
SELECT dbo.syssubsystems msdb SQLArcExtensionUserRole
SELECT sys.sql_expression_dependencies Toutes les bases de données SQLArcExtensionUserRole

Exécuter avec des privilèges minimum

Pour exécuter l’extension Azure pour SQL Server avec des privilèges minimum, suivez les instructions de l’instance Utiliser SQL Server activée par Azure Arc avec un privilège minimum (préversion) .

À ce stade, la configuration des privilèges minimum n’est pas la configuration par défaut.

Contenu connexe

Configurer les comptes de service Windows et les autorisations