Adatbázis-hozzáférés engedélyezése az SQL Database-hez, a felügyelt SQL-példányhoz és az Azure Synapse Analyticshez

A következőkre vonatkozik:Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse Analytics

Ebben a cikkben a következő tudnivalókat ismerheti meg:

• Az Azure SQL Database, a felügyelt Azure SQL-példány és az Azure Synapse Analytics konfigurációs beállításai, amelyek lehetővé teszik a felhasználók számára a felügyeleti feladatok elvégzését és az ezekben az adatbázisokban tárolt adatok elérését.
• Hozzáférési és engedélyezési konfiguráció egy új kiszolgáló kezdeti létrehozása után.
• Bejelentkezések és felhasználói fiókok hozzáadása az master adatbázishoz, majd rendszergazdai engedélyek megadása ezekhez a fiókokhoz.
• Felhasználói fiókok hozzáadása a felhasználói adatbázisokban, akár bejelentkezésekhez társítva, akár önálló felhasználói fiókként kezelve.
• A felhasználói fiókokat adatbázis-szerepkörök és explicit engedélyek használatával konfigurálhatja a felhasználói adatbázisokban lévő engedélyekkel.

Fontos

Az Azure SQL Database-ben, az Azure SQL Managed Instance-ben és az Azure Synapse-ban található adatbázisokra a jelen cikk további részében együttesen adatbázisokként hivatkozunk, a kiszolgáló pedig arra a logikai kiszolgálóra hivatkozik, amely az Azure SQL Database és az Azure Synapse adatbázisait kezeli.

Megjegyzés:

A Microsoft Entra ID-t korábban Azure Active Directorynak (Azure AD) nevezték.

Hitelesítés és engedélyezés

A hitelesítés az a folyamat, amely igazolja, hogy a felhasználó ténylegesen az, akinek mondja magát. A felhasználó egy felhasználói fiókkal csatlakozik egy adatbázishoz. Amikor egy felhasználó megpróbál csatlakozni egy adatbázishoz, meg kell adnia egy felhasználói fiókot és egy hitelesítési információt. A felhasználó hitelesítése az alábbi két hitelesítési módszer egyikével történik:

• SQL-hitelesítés

  Ezzel a hitelesítési módszerrel a felhasználónak felhasználói fióknevet és a hozzá tartozó jelszót kell megadnia a kapcsolat létrehozásához. Ezt a jelszót a rendszer a master bejelentkezéshez csatolt felhasználói fiókok adatbázisában tárolja, vagy a bejelentkezéshez nem kapcsolódó felhasználói fiókokat tartalmazó adatbázisban tárolja.

  Megjegyzés:

  Az Azure SQL Database csak a jelszóházirendjelszó-összetettségét kényszeríti ki. A felügyelt Azure SQL-példány jelszószabályzatát a felügyelt Azure SQL-példánysal kapcsolatos gyakori kérdések (GYIK) című témakörben találja.

• Microsoft Entra hitelesítés az Azure SQL számára

  Ezzel a hitelesítési módszerrel a felhasználó elküldi a felhasználói fiók nevét, és kéri, hogy a szolgáltatás használja a Microsoft Entra-azonosítóban (korábban Azure Active Directory) tárolt hitelesítő adatokat.

Bejelentkezések és felhasználók: Az adatbázisban lévő felhasználói fiókok társíthatók az adatbázisban tárolt master bejelentkezéssel, vagy egy egyéni adatbázisban tárolt felhasználónévvel.

• A bejelentkezés az adatbázisban található master egyéni fiók, amelyhez egy vagy több adatbázis felhasználói fiókja csatolható. Bejelentkezés esetén a felhasználói fiók hitelesítő adatait a rendszer a bejelentkezéssel együtt tárolja.
• A felhasználói fiók egy egyéni fiók bármely adatbázisban, amely lehet, de nem szükséges, egy bejelentkezéshez csatolva. Bejelentkezéshez nem kapcsolódó felhasználói fiók esetén a hitelesítő adatok a felhasználói fiókkal együtt lesznek tárolva.

Az adatokhoz való hozzáférés engedélyezése és a különböző műveletek végrehajtása adatbázis-szerepkörök és explicit engedélyek használatával történik. Az engedélyezés a felhasználóhoz rendelt engedélyekre vonatkozik, és meghatározza, hogy a felhasználó mit tehet. Az engedélyezést a felhasználói fiók adatbázis-szerepkör-tagságai és az objektumszintű engedélyek vezérlik. Ajánlott eljárásként a felhasználók számára a legkevésbé szükséges jogosultságokat kell biztosítani.

Meglévő bejelentkezések és felhasználói fiókok új adatbázis létrehozása után

Az Azure SQL-erőforrások első üzembe helyezésekor megadhat egy bejelentkezési nevet és egy jelszót egy speciális típusú rendszergazdai bejelentkezéshez, a kiszolgáló rendszergazdájához. A bejelentkezések és a felhasználók és a master felhasználói adatbázisok következő konfigurációja az üzembe helyezés során történik:

Fontos

Ne adjon meg személyes, bizalmas vagy érzékeny adatokat a kiszolgáló rendszergazdai bejelentkezési név mezőjében. Az ebben a mezőben megadott adatok nem tekinthetők ügyféladatoknak.

• A rendszer rendszergazdai jogosultságokkal rendelkező SQL-bejelentkezést hoz létre a megadott bejelentkezési névvel. A bejelentkezési egyéni fiók, amely az SQL Database, a felügyelt SQL-példány és az Azure Synapse rendszerébe történő bejelentkezéshez szükséges.
• Ez a bejelentkezés teljes körű rendszergazdai engedélyeket kap az összes adatbázishoz, mint kiszolgálószintű egyszerű. A bejelentkezés minden elérhető engedéllyel rendelkezik, és nem korlátozható. Egy felügyelt SQL-példányban ez a bejelentkezés hozzáadódik a sysadmin rögzített kiszolgálói szerepkörhöz (ez a szerepkör nem létezik az Azure SQL Database-ben).
• Amikor ez a fiók bejelentkezik egy adatbázisba, a rendszer az egyes felhasználói adatbázisokban megtalálható speciális felhasználói fiókkal dbo (felhasználói fiók) egyezik meg, ami minden felhasználói adatbázisban létezik. A dbo felhasználó minden adatbázis-engedéllyel rendelkezik az adatbázisban, és tagja a db_owner rögzített adatbázis-szerepkörnek. A cikk későbbi részében további rögzített adatbázis-szerepkörökről is szó lesz.

A kiszolgálói rendszergazdai fiók azonosításához nyissa meg az Azure Portalt, és lépjen a logikai kiszolgáló vagy felügyelt példány Tulajdonságok lapjára:

Fontos

A kiszolgálói rendszergazdai fiók neve nem módosítható a létrehozása után. A kiszolgáló rendszergazdájának jelszavának visszaállításához nyissa meg az Azure Portalt, válassza az SQL Servert, válassza ki a kiszolgálót a listából, majd válassza a Jelszó kérése lehetőséget. A felügyelt SQL-példány jelszavának alaphelyzetbe állításához lépjen az Azure Portalra, válassza ki a példányt, és válassza a Jelszó visszaállítása lehetőséget. A PowerShellt vagy az Azure CLI-t is használhatja.

További bejelentkezések és rendszergazdai engedélyekkel rendelkező felhasználók létrehozása

Ezen a ponton a kiszolgáló vagy a felügyelt példány csak egyetlen SQL-bejelentkezéssel és felhasználói fiókkal való hozzáférésre van konfigurálva. Ha további, teljes vagy részleges rendszergazdai engedélyekkel rendelkező bejelentkezéseket szeretne létrehozni, az alábbi lehetőségek közül választhat (az üzembehelyezési módtól függően):

• Microsoft Entra rendszergazdai fiók létrehozása teljes körű rendszergazdai engedélyekkel

  Engedélyezze a Microsoft Entra-hitelesítést, és adjon hozzá egy Microsoft Entra-rendszergazdát. Egy Microsoft Entra-fiók konfigurálható az Azure SQL-telepítés rendszergazdájaként teljes körű rendszergazdai engedélyekkel. Ez a fiók lehet egyéni vagy biztonsági csoportfiók. Microsoft Entra-rendszergazdátkell konfigurálni, ha Microsoft Entra-fiókokkal szeretne csatlakozni az SQL Database-hez, a felügyelt SQL-példányhoz vagy az Azure Synapse-hoz. A Microsoft Entra-hitelesítés engedélyezésével kapcsolatos részletes információkért az Azure SQL mindenféle telepítési típusára vonatkozóan tekintse meg az alábbi cikkeket:

  • Microsoft Entra hitelesítés az Azure SQL számára
  • A Microsoft Entra-hitelesítés konfigurálása és kezelése az Azure SQL-lel

• Felügyelt SQL-példányban hozzon létre SQL-bejelentkezéseket teljes körű rendszergazdai engedélyekkel

  • Hozzon létre egy további SQL-bejelentkezést az master adatbázisban.
  • Adja hozzá a bejelentkezést a sysadmin rögzített kiszolgálói szerepkörhöz az ALTER SERVER ROLE utasítással. Ez a bejelentkezés teljes körű rendszergazdai engedélyekkel rendelkezik.
  • Másik lehetőségként hozzon létre egy Microsoft Entra-bejelentkezést a CREATE LOGIN szintaxissal.

  Megjegyzés:

  A dbmanager és loginmanager szerepkör nem kapcsolódik az Azure SQL Managed Instance telepítésekhez.

• Az SQL Database-ben létrehozott SQL bejelentkezési azonosítók korlátozott rendszergazdai engedélyekkel rendelkeznek

  • Hozzon létre egy további SQL-bejelentkezést az master adatbázisban.
  • Adja hozzá a bejelentkezést a , ##MS_DatabaseManager## és ##MS_LoginManager## kiszolgálószintű ##MS_DatabaseConnector##szerepkörökhöz az ALTER SERVER ROLE utasítással.

  Az Azure SQL Database speciális master adatbázis-szerepköreinek tagjai jogosultak adatbázisok létrehozására és kezelésére, illetve bejelentkezések létrehozására és kezelésére. A szerepkörrel rendelkező dbmanager felhasználó által létrehozott adatbázisokban a tag a rögzített adatbázis-szerepkörre db_owner van leképezve, és a felhasználói fiókkal bejelentkezhet és kezelheti az dbo adatbázist. Ezek a szerepkörök nem rendelkeznek explicit engedélyekkel az master adatbázison kívül.

  Fontos

  Az Azure SQL Database-ben nem hozhat létre további, teljes rendszergazdai engedélyekkel rendelkező SQL-bejelentkezést. Csak a kiszolgálói rendszergazdai fiók vagy a Microsoft Entra rendszergazdai fiók (amely lehet Microsoft Entra-csoport) adhat hozzá vagy távolíthat el más bejelentkezéseket a kiszolgálói szerepkörökbe vagy a kiszolgálói szerepkörökből. Ez az Azure SQL Database-hez tartozik.

• Dedikált Azure Synapse SQL-készletben hozzon létre korlátozott rendszergazdai engedélyekkel rendelkező SQL-bejelentkezéseket

  • Hozzon létre egy további SQL-bejelentkezést az master adatbázisban.
  • Hozzon létre egy felhasználói fiókot az master új bejelentkezéshez társított adatbázisban.
  • Adja hozzá a felhasználói fiókot a dbmanager, a loginmanager szerepkörhöz vagy mindkettőhöz az adatbázisban a mastersp_addrolemember utasítás használatával.

• Az Azure Synapse kiszolgáló nélküli SQL-készletében korlátozott rendszergazdai engedélyekkel hozzon létre SQL-bejelentkezéseket

  • Hozzon létre egy további SQL-bejelentkezést az master adatbázisban.
  • Adja hozzá az SQL-bejelentkezést a sysadmin rögzített kiszolgálói szerepkörhöz az ALTER SERVER ROLE utasítás használatával.
  • Másik lehetőségként hozzon létre egy Microsoft Entra-bejelentkezést a CREATE LOGIN szintaxissal.

Fiókok létrehozása nemminisztrátor felhasználók számára

A nemminisztratív felhasználók számára két módszer egyikével hozhat létre fiókokat:

• Bejelentkezés létrehozása

  SQL-bejelentkezés létrehozása az master adatbázisban. Ezután hozzon létre egy felhasználói fiókot minden adatbázisban, amelyhez a felhasználónak hozzáférésre van szüksége, és társítsa a felhasználói fiókot ezzel a bejelentkezéssel. Ez a módszer akkor ajánlott, ha a felhasználónak több adatbázishoz kell hozzáférnie, és szinkronizálni szeretné a jelszavakat. Ez a megközelítés azonban összetettségekkel rendelkezik a georeplikációs szolgáltatás használatakor, mivel a bejelentkezést mind az elsődleges kiszolgálón, mind a másodlagos kiszolgálón létre kell hozni. További információért látogasson el ide: Az Azure SQL Database biztonságának konfigurálása és kezelése geovisszaállításhoz vagy feladatátvételhez.

• Felhasználói fiók létrehozása

  Hozzon létre egy felhasználói fiókot az adatbázisban, amelyhez a felhasználónak hozzáférésre van szüksége (más néven tartalmazott felhasználó).

  • Az SQL Database használatával bármikor létrehozhat ilyen típusú felhasználói fiókot.
  • Mivel a Felügyelt SQL-példány támogatja a Microsoft Entra-kiszolgálóneveket, felhasználói fiókokat hozhat létre a Felügyelt SQL-példányhoz történő hitelesítéshez anélkül, hogy adatbázis-felhasználókat kellene létrehoznia leképezett adatbázis-felhasználóként.

  Ezzel a módszerrel a rendszer minden adatbázisban tárolja a felhasználói hitelesítési adatokat, és automatikusan replikálja őket a georeplikált adatbázisokba. Ha azonban ugyanaz a fiók több adatbázisban is létezik, és SQL-hitelesítést használ, manuálisan kell szinkronizálni a jelszavakat. Emellett, ha egy felhasználó különböző adatbázisokban lévő fiókkal rendelkezik, különböző jelszavakkal, a jelszavak megjegyzése problémát okozhat.

Fontos

A Microsoft Entra-identitásokhoz hozzárendelt fizikai felhasználók létrehozásához be kell jelentkezni egy Microsoft Entra-fiókkal az Azure SQL Database-ben. A felügyelt SQL-példányban az engedélyekkel rendelkező sysadmin SQL-bejelentkezések Microsoft Entra-bejelentkezést vagy -felhasználót is létrehozhatnak.

Példák bejelentkezések és felhasználók létrehozására:

• Bejelentkezés létrehozása az Azure SQL Database-hez
• Bejelentkezés létrehozása felügyelt Azure SQL-példányhoz
• Bejelentkezés létrehozása az Azure Synapse-hoz
• Felhasználó létrehozása
• A Microsoft Entra rendszerben szereplő felhasználók létrehozása

Jótanács

A felhasználók Azure SQL Database-ben való létrehozását ismertető biztonsági oktatóanyagért tekintse meg a következő oktatóanyagot: Adatbázis védelme az Azure SQL Database-ben.

Rögzített és egyéni adatbázis-szerepkörök használata

Miután létrehozott egy felhasználói fiókot egy adatbázisban, akár bejelentkezés alapján, akár tartalmazott felhasználóként, engedélyezheti, hogy a felhasználó különböző műveleteket végezzen, és hozzáférjen egy adott adatbázis adataihoz. A hozzáférés engedélyezéséhez az alábbi módszereket használhatja:

• Rögzített adatbázis-szerepkörök

  Adja hozzá a felhasználói fiókot egy rögzített adatbázis-szerepkörhöz. 9 rögzített adatbázis-szerepkör van, amelyek mindegyike meghatározott engedélykészlettel rendelkezik. A leggyakoribb rögzített adatbázis-szerepkörök a következők: db_owner, db_ddladmin, db_datawriter, db_datareader, db_denydatawriter és db_denydatareader. A db_owner általában teljes körű engedélyek biztosítására szolgál néhány felhasználó számára. A többi rögzített adatbázis-szerepkör hasznos lehet egy egyszerű adatbázis gyors fejlesztéséhez, de a legtöbb éles adatbázis esetében nem ajánlott. A db_datareader rögzített adatbázis-szerepkör például olvasási hozzáférést biztosít az adatbázis minden táblája számára, ami több mint feltétlenül szükséges.

  • Felhasználó hozzáadása rögzített adatbázis-szerepkörhöz:

    • Az Azure SQL Database-ben és az Azure Synapse kiszolgáló nélküli SQL-készletben használja az ALTER ROLE utasítást. Példákért lásd ALTER ROLE példák
    • A dedikált Azure Synapse SQL-készletben használja a sp_addrolemember utasítást. Példákért lásd sp_addrolemember példákat.

• Egyéni adatbázis-szerepkör

  Hozzon létre egy egyéni adatbázis-szerepkört a CREATE ROLE utasítással. Az egyéni szerepkörök lehetővé teszik saját, felhasználó által definiált adatbázis-szerepkörök létrehozását, és gondosan biztosítják az egyes szerepkörök számára az üzleti igényhez szükséges legkisebb engedélyeket. Ezután hozzáadhat felhasználókat az egyéni szerepkörhöz. Ha a felhasználó egyszerre több szerepkörnek is tagja, akkor a rendszer összesíti az engedélyeket.

• Engedélyek közvetlen megadása

  Adja meg közvetlenül a felhasználói fiók engedélyeit . Az SQL Database-ben több mint 100 engedély adható vagy tagadható meg külön-külön. Ezek közül számos engedély hierarchikusan van elrendezve. Egy sémában található UPDATE engedély például a séma minden táblájára vonatkozó UPDATE engedélyt tartalmazza. A legtöbb engedélyrendszerhez hasonlóan az engedély megtagadása felülírja a megadását. Az engedélyek beágyazott jellege és száma miatt lehetséges, hogy alapos tervezés szükséges az adatbázis megfelelő védelmét biztosító engedélyrendszer kialakításához. Kezdje az Engedélyek (Adatbázismotor) engedélylistával, és tekintse át az engedélyek plakátméret-ábráját .

Csoportok használata

A hatékony hozzáférés-kezelés az Active Directory biztonsági csoportokhoz rendelt engedélyeket és rögzített vagy egyéni szerepköröket használja az egyes felhasználók helyett.

• A Microsoft Entra-hitelesítés használatakor helyezze a Microsoft Entra-felhasználókat egy Microsoft Entra biztonsági csoportba. Hozzon létre korlátozott adatbázis-felhasználót a csoport számára. Vegyen fel egy vagy több adatbázis-felhasználót tagként az egyéni vagy beépített adatbázis-szerepkörökbe az adott felhasználói csoportnak megfelelő engedélyekkel.

• SQL-hitelesítés használatakor hozzon létre tartalmazott adatbázis-felhasználókat az adatbázisban. Helyezzen egy vagy több adatbázis-felhasználót egy egyéni adatbázis-szerepkörbe az adott felhasználói csoportnak megfelelő adott engedélyekkel.

  Megjegyzés:

  A csoportokat nem konkontinens adatbázis-felhasználók számára is használhatja.

Ismerkedjen meg a következő funkciókkal, amelyekkel korlátozhatja vagy emelheti az engedélyeket:

• A megszemélyesítés és a modulaláírás segítségével ideiglenesen biztonságosan emelheti az engedélyeket.
• Row-Level A biztonság segítségével korlátozhatja, hogy a felhasználó mely sorokat érheti el.
• A dinamikus adatmaszkolás a bizalmas adatok expozíciójának korlátozására használható.
• A tárolt eljárások az adatbázison végrehajtható műveletek korlátozására használhatók.

Következő lépés

Az Azure SQL Database és a felügyelt SQL-példány biztonsági képességeinek áttekintése