Adatbázis-hozzáférés engedélyezése az SQL Database-hez, a felügyelt SQL-példányhoz és az Azure Synapse Analyticshez

A következőkre vonatkozik:Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse Analytics

Ebben a cikkben a következő tudnivalókat ismerheti meg:

• Az Azure SQL Database, a felügyelt Azure SQL-példány és az Azure Synapse Analytics konfigurációs beállításai, amelyek lehetővé teszik a felhasználók számára a felügyeleti feladatok elvégzését és az ezekben az adatbázisokban tárolt adatok elérését.
• Hozzáférési és engedélyezési konfiguráció egy új kiszolgáló kezdeti létrehozása után.
• Bejelentkezések és felhasználói fiókok hozzáadása az master adatbázishoz, majd rendszergazdai engedélyek megadása ezekhez a fiókokhoz.
• Felhasználói fiókok hozzáadása a felhasználói adatbázisokban, akár bejelentkezésekhez társítva, akár önálló felhasználói fiókként kezelve.
• A felhasználói fiókokat adatbázis-szerepkörök és explicit engedélyek használatával konfigurálhatja a felhasználói adatbázisokban lévő engedélyekkel.

Fontos

Az Azure SQL Database-ben, az Azure SQL Managed Instance-ben és az Azure Synapse-ban található adatbázisokra a jelen cikk további részében együttesen adatbázisokként hivatkozunk, a kiszolgáló pedig arra a logikai kiszolgálóra hivatkozik, amely az Azure SQL Database és az Azure Synapse adatbázisait kezeli.

Megjegyzés:

A Microsoft Entra ID-t korábban Azure Active Directorynak (Azure AD) nevezték.

Hitelesítés és engedélyezés

A hitelesítés az a folyamat, amely igazolja, hogy a felhasználó ténylegesen az, akinek mondja magát. A felhasználó egy felhasználói fiókkal csatlakozik egy adatbázishoz. Amikor egy felhasználó megpróbál csatlakozni egy adatbázishoz, meg kell adnia egy felhasználói fiókot és egy hitelesítési információt. A felhasználó hitelesítése az alábbi két hitelesítési módszer egyikével történik:

• SQL-hitelesítés

  Ezzel a hitelesítési módszerrel a felhasználónak felhasználói fióknevet és a hozzá tartozó jelszót kell megadnia a kapcsolat létrehozásához. Ezt a jelszót a rendszer a master bejelentkezéshez csatolt felhasználói fiókok adatbázisában tárolja, vagy a bejelentkezéshez nem kapcsolódó felhasználói fiókokat tartalmazó adatbázisban tárolja.

  Megjegyzés:

  Az Azure SQL Database csak a jelszóházirendjelszó-összetettségét kényszeríti ki. A felügyelt Azure SQL-példány jelszószabályzatát a felügyelt Azure SQL-példánysal kapcsolatos gyakori kérdések (GYIK) című témakörben találja.

• Microsoft Entra hitelesítés az Azure SQL számára

  Ezzel a hitelesítési módszerrel a felhasználó elküldi a felhasználói fiók nevét, és kéri, hogy a szolgáltatás használja a Microsoft Entra-azonosítóban (korábban Azure Active Directory) tárolt hitelesítő adatokat.

Bejelentkezések és felhasználók: Az adatbázisban lévő felhasználói fiókok társíthatók az adatbázisban tárolt master bejelentkezéssel, vagy egy egyéni adatbázisban tárolt felhasználónévvel.

• A bejelentkezés az adatbázisban található master egyéni fiók, amelyhez egy vagy több adatbázis felhasználói fiókja csatolható. Bejelentkezés esetén a felhasználói fiók hitelesítő adatait a rendszer a bejelentkezéssel együtt tárolja.
• A felhasználói fiók egy egyéni fiók bármely adatbázisban, amely lehet, de nem szükséges, egy bejelentkezéshez csatolva. Bejelentkezéshez nem kapcsolódó felhasználói fiók esetén a hitelesítő adatok a felhasználói fiókkal együtt lesznek tárolva.

Az adatokhoz való hozzáférés engedélyezése és a különböző műveletek végrehajtása adatbázis-szerepkörök és explicit engedélyek használatával történik. Az engedélyezés a felhasználóhoz rendelt engedélyekre vonatkozik, és meghatározza, hogy a felhasználó mit tehet. Az engedélyezést a felhasználói fiók adatbázis-szerepkör-tagságai és az objektumszintű engedélyek vezérlik. Ajánlott eljárásként a felhasználók számára a legkevésbé szükséges jogosultságokat kell biztosítani.

Meglévő bejelentkezések és felhasználói fiókok új adatbázis létrehozása után

Az Azure SQL első üzembe helyezésekor megadhat egy bejelentkezési nevet és egy jelszót egy speciális típusú rendszergazdai bejelentkezéshez, a kiszolgáló rendszergazdájához. A bejelentkezések és a felhasználók és a master felhasználói adatbázisok következő konfigurációja az üzembe helyezés során történik:

• A rendszer rendszergazdai jogosultságokkal rendelkező SQL-bejelentkezést hoz létre a megadott bejelentkezési névvel. A bejelentkezési egyéni fiók, amely az SQL Database, a felügyelt SQL-példány és az Azure Synapse rendszerébe történő bejelentkezéshez szükséges.
• Ez a bejelentkezés teljes körű rendszergazdai engedélyeket kap az összes adatbázishoz, mint kiszolgálószintű egyszerű. A bejelentkezés minden elérhető engedéllyel rendelkezik, és nem korlátozható. Egy felügyelt SQL-példányban ez a bejelentkezés hozzáadódik a sysadmin rögzített kiszolgálói szerepkörhöz (ez a szerepkör nem létezik az Azure SQL Database-ben).
• Amikor ez a fiók bejelentkezik egy adatbázisba, a rendszer minden felhasználói adatbázisban található speciális felhasználói fiókkal (dbofelhasználói fiók) egyezik. A dbo felhasználó minden adatbázis-engedéllyel rendelkezik az adatbázisban, és tagja a db_owner rögzített adatbázis-szerepkörnek. A cikk későbbi részében további rögzített adatbázis-szerepkörökről is szó lesz.

A kiszolgálói rendszergazdai fiók azonosításához nyissa meg az Azure Portalt, és lépjen a logikai kiszolgáló vagy felügyelt példány Tulajdonságok lapjára:

Fontos

A kiszolgálói rendszergazdai fiók neve nem módosítható a létrehozása után. A kiszolgáló rendszergazdájának jelszavának visszaállításához nyissa meg az Azure Portalt, válassza az SQL Servert, válassza ki a kiszolgálót a listából, majd válassza a Jelszó kérése lehetőséget. A felügyelt SQL-példány jelszavának alaphelyzetbe állításához lépjen az Azure Portalra, válassza ki a példányt, és válassza a Jelszó visszaállítása lehetőséget. A PowerShellt vagy az Azure CLI-t is használhatja.

További bejelentkezések és rendszergazdai engedélyekkel rendelkező felhasználók létrehozása

Ezen a ponton a kiszolgáló vagy a felügyelt példány csak egyetlen SQL-bejelentkezéssel és felhasználói fiókkal való hozzáférésre van konfigurálva. Ha további, teljes vagy részleges rendszergazdai engedélyekkel rendelkező bejelentkezéseket szeretne létrehozni, az alábbi lehetőségek közül választhat (az üzembehelyezési módtól függően):

• Microsoft Entra rendszergazdai fiók létrehozása teljes körű rendszergazdai engedélyekkel

  Engedélyezze a Microsoft Entra-hitelesítést, és adjon hozzá egy Microsoft Entra-rendszergazdát. Egy Microsoft Entra-fiók konfigurálható az Azure SQL-telepítés rendszergazdájaként teljes körű rendszergazdai engedélyekkel. Ez a fiók lehet egyéni vagy biztonsági csoportfiók. Microsoft Entra-rendszergazdátkell konfigurálni, ha Microsoft Entra-fiókokkal szeretne csatlakozni az SQL Database-hez, a felügyelt SQL-példányhoz vagy az Azure Synapse-hoz. A Microsoft Entra-hitelesítés engedélyezésével kapcsolatos részletes információkért az Azure SQL mindenféle telepítési típusára vonatkozóan tekintse meg az alábbi cikkeket:

  • Microsoft Entra hitelesítés az Azure SQL számára
  • A Microsoft Entra-hitelesítés konfigurálása és kezelése az Azure SQL-lel

• Felügyelt SQL-példányban hozzon létre SQL-bejelentkezéseket teljes körű rendszergazdai engedélyekkel

  • Hozzon létre egy további SQL-bejelentkezést az master adatbázisban.
  • Adja hozzá a bejelentkezést a sysadmin rögzített kiszolgálói szerepkörhöz az ALTER SERVER ROLE utasítással. Ez a bejelentkezés teljes körű rendszergazdai engedélyekkel rendelkezik.
  • Másik lehetőségként hozzon létre egy Microsoft Entra-bejelentkezést a CREATE LOGIN szintaxissal.

  Megjegyzés:

  A dbmanager és loginmanager szerepkör nem kapcsolódik az Azure SQL Managed Instance telepítésekhez.

• Az SQL Database-ben létrehozott SQL bejelentkezési azonosítók korlátozott rendszergazdai engedélyekkel rendelkeznek

  • Hozzon létre egy további SQL-bejelentkezést az master adatbázisban.
  • Adja hozzá a bejelentkezést a , ##MS_DatabaseManager## és ##MS_LoginManager## kiszolgálószintű ##MS_DatabaseConnector##szerepkörökhöz az ALTER SERVER ROLE utasítással.

  Az Azure SQL Database speciális master adatbázis-szerepköreinek tagjai jogosultak adatbázisok létrehozására és kezelésére, illetve bejelentkezések létrehozására és kezelésére. A szerepkörrel rendelkező dbmanager felhasználó által létrehozott adatbázisokban a tag a rögzített adatbázis-szerepkörre db_owner van leképezve, és a felhasználói fiókkal bejelentkezhet és kezelheti az dbo adatbázist. Ezek a szerepkörök nem rendelkeznek explicit engedélyekkel az master adatbázison kívül.

  Fontos

  Az Azure SQL Database-ben nem hozhat létre további, teljes rendszergazdai engedélyekkel rendelkező SQL-bejelentkezést. Csak a kiszolgálói rendszergazdai fiók vagy a Microsoft Entra rendszergazdai fiók (amely lehet Microsoft Entra-csoport) adhat hozzá vagy távolíthat el más bejelentkezéseket a kiszolgálói szerepkörökbe vagy a kiszolgálói szerepkörökből. Ez az Azure SQL Database-hez tartozik.

• Dedikált Azure Synapse SQL-készletben hozzon létre korlátozott rendszergazdai engedélyekkel rendelkező SQL-bejelentkezéseket

  • Hozzon létre egy további SQL-bejelentkezést az master adatbázisban.
  • Hozzon létre egy felhasználói fiókot az master új bejelentkezéshez társított adatbázisban.
  • Adja hozzá a felhasználói fiókot a dbmanager, a loginmanager szerepkörhöz vagy mindkettőhöz az adatbázisban a mastersp_addrolemember utasítás használatával.

• Az Azure Synapse kiszolgáló nélküli SQL-készletében korlátozott rendszergazdai engedélyekkel hozzon létre SQL-bejelentkezéseket

  • Hozzon létre egy további SQL-bejelentkezést az master adatbázisban.
  • Adja hozzá az SQL-bejelentkezést a sysadmin rögzített kiszolgálói szerepkörhöz az ALTER SERVER ROLE utasítás használatával.
  • Másik lehetőségként hozzon létre egy Microsoft Entra-bejelentkezést a CREATE LOGIN szintaxissal.

Fiókok létrehozása nemminisztrátor felhasználók számára

A nemminisztratív felhasználók számára két módszer egyikével hozhat létre fiókokat:

• Bejelentkezés létrehozása

  SQL-bejelentkezés létrehozása az master adatbázisban. Ezután hozzon létre egy felhasználói fiókot minden adatbázisban, amelyhez a felhasználónak hozzáférésre van szüksége, és társítsa a felhasználói fiókot ezzel a bejelentkezéssel. Ez a módszer akkor ajánlott, ha a felhasználónak több adatbázishoz kell hozzáférnie, és szinkronizálni szeretné a jelszavakat. Ez a megközelítés azonban összetettségekkel rendelkezik a georeplikációs szolgáltatás használatakor, mivel a bejelentkezést mind az elsődleges kiszolgálón, mind a másodlagos kiszolgálón létre kell hozni. További információért látogasson el ide: Az Azure SQL Database biztonságának konfigurálása és kezelése geovisszaállításhoz vagy feladatátvételhez.

• Felhasználói fiók létrehozása

  Hozzon létre egy felhasználói fiókot az adatbázisban, amelyhez a felhasználónak hozzáférésre van szüksége (más néven tartalmazott felhasználó).

  • Az SQL Database használatával bármikor létrehozhat ilyen típusú felhasználói fiókot.
  • Mivel a Felügyelt SQL-példány támogatja a Microsoft Entra-kiszolgálóneveket, felhasználói fiókokat hozhat létre a Felügyelt SQL-példányhoz történő hitelesítéshez anélkül, hogy adatbázis-felhasználókat kellene létrehoznia leképezett adatbázis-felhasználóként.

  Ezzel a módszerrel a rendszer minden adatbázisban tárolja a felhasználói hitelesítési adatokat, és automatikusan replikálja őket a georeplikált adatbázisokba. Ha azonban ugyanaz a fiók több adatbázisban is létezik, és SQL-hitelesítést használ, manuálisan kell szinkronizálni a jelszavakat. Emellett, ha egy felhasználó különböző adatbázisokban lévő fiókkal rendelkezik, különböző jelszavakkal, a jelszavak megjegyzése problémát okozhat.

Fontos

A Microsoft Entra-identitásokhoz hozzárendelt fizikai felhasználók létrehozásához be kell jelentkezni egy Microsoft Entra-fiókkal az Azure SQL Database-ben. A felügyelt SQL-példányban az engedélyekkel rendelkező sysadmin SQL-bejelentkezések Microsoft Entra-bejelentkezést vagy -felhasználót is létrehozhatnak.

Példák bejelentkezések és felhasználók létrehozására:

• Bejelentkezés létrehozása az Azure SQL Database-hez
• Bejelentkezés létrehozása felügyelt Azure SQL-példányhoz
• Bejelentkezés létrehozása az Azure Synapse-hoz
• Felhasználó létrehozása
• A Microsoft Entra rendszerben szereplő felhasználók létrehozása

Jótanács

A felhasználók Azure SQL Database-ben való létrehozását ismertető biztonsági oktatóanyagért tekintse meg a következő oktatóanyagot: Adatbázis védelme az Azure SQL Database-ben.

Rögzített és egyéni adatbázis-szerepkörök használata

Miután létrehozott egy felhasználói fiókot egy adatbázisban, akár bejelentkezés alapján, akár tartalmazott felhasználóként, engedélyezheti, hogy a felhasználó különböző műveleteket végezzen, és hozzáférjen egy adott adatbázis adataihoz. A hozzáférés engedélyezéséhez az alábbi módszereket használhatja:

• Rögzített adatbázis-szerepkörök

  Adja hozzá a felhasználói fiókot egy rögzített adatbázis-szerepkörhöz. 9 rögzített adatbázis-szerepkör van, amelyek mindegyike meghatározott engedélykészlettel rendelkezik. A leggyakoribb rögzített adatbázis-szerepkörök a következők: db_owner, db_ddladmin, db_datawriter, db_datareader, db_denydatawriter és db_denydatareader. A db_owner általában teljes körű engedélyek biztosítására szolgál néhány felhasználó számára. A többi rögzített adatbázis-szerepkör hasznos lehet egy egyszerű adatbázis gyors fejlesztéséhez, de a legtöbb éles adatbázis esetében nem ajánlott. A db_datareader rögzített adatbázis-szerepkör például olvasási hozzáférést biztosít az adatbázis minden táblája számára, ami több mint feltétlenül szükséges.

  • Felhasználó hozzáadása rögzített adatbázis-szerepkörhöz:

    • Az Azure SQL Database-ben és az Azure Synapse kiszolgáló nélküli SQL-készletben használja az ALTER ROLE utasítást. Példákért lásd ALTER ROLE példák
    • A dedikált Azure Synapse SQL-készletben használja a sp_addrolemember utasítást. Példákért lásd sp_addrolemember példákat.

• Egyéni adatbázis-szerepkör

  Hozzon létre egy egyéni adatbázis-szerepkört a CREATE ROLE utasítással. Az egyéni szerepkörök lehetővé teszik saját, felhasználó által definiált adatbázis-szerepkörök létrehozását, és gondosan biztosítják az egyes szerepkörök számára az üzleti igényhez szükséges legkisebb engedélyeket. Ezután hozzáadhat felhasználókat az egyéni szerepkörhöz. Ha a felhasználó egyszerre több szerepkörnek is tagja, akkor a rendszer összesíti az engedélyeket.

• Engedélyek közvetlen megadása

  Adja meg közvetlenül a felhasználói fiók engedélyeit . Az SQL Database-ben több mint 100 engedély adható vagy tagadható meg külön-külön. Ezek közül számos engedély hierarchikusan van elrendezve. Egy sémában található UPDATE engedély például a séma minden táblájára vonatkozó UPDATE engedélyt tartalmazza. A legtöbb engedélyrendszerhez hasonlóan az engedély megtagadása felülírja a megadását. Az engedélyek beágyazott jellege és száma miatt lehetséges, hogy alapos tervezés szükséges az adatbázis megfelelő védelmét biztosító engedélyrendszer kialakításához. Kezdje az Engedélyek (Adatbázismotor) engedélylistával, és tekintse át az engedélyek plakátméret-ábráját .

Csoportok használata

A hatékony hozzáférés-kezelés az Active Directory biztonsági csoportokhoz rendelt engedélyeket és rögzített vagy egyéni szerepköröket használja az egyes felhasználók helyett.

• A Microsoft Entra-hitelesítés használatakor helyezze a Microsoft Entra-felhasználókat egy Microsoft Entra biztonsági csoportba. Hozzon létre korlátozott adatbázis-felhasználót a csoport számára. Vegyen fel egy vagy több adatbázis-felhasználót tagként az egyéni vagy beépített adatbázis-szerepkörökbe az adott felhasználói csoportnak megfelelő engedélyekkel.

• SQL-hitelesítés használatakor hozzon létre tartalmazott adatbázis-felhasználókat az adatbázisban. Helyezzen egy vagy több adatbázis-felhasználót egy egyéni adatbázis-szerepkörbe az adott felhasználói csoportnak megfelelő adott engedélyekkel.

  Megjegyzés:

  A csoportokat nem konkontinens adatbázis-felhasználók számára is használhatja.

Ismerkedjen meg a következő funkciókkal, amelyekkel korlátozhatja vagy emelheti az engedélyeket:

• A megszemélyesítés és a modulaláírás segítségével ideiglenesen biztonságosan emelheti az engedélyeket.
• Row-Level A biztonság segítségével korlátozhatja, hogy a felhasználó mely sorokat érheti el.
• A dinamikus adatmaszkolás a bizalmas adatok expozíciójának korlátozására használható.
• A tárolt eljárások az adatbázison végrehajtható műveletek korlátozására használhatók.

Következő lépés

Az Azure SQL Database és a felügyelt SQL-példány biztonsági képességeinek áttekintése