Bagikan melalui


Peran yang dibuat oleh ekstensi Azure untuk penginstalan SQL Server

Berlaku untuk: SQL Server

Artikel ini mencantumkan peran dan pemetaan server dan database yang dibuat oleh penginstalan ekstensi Azure untuk SQL Server.

Peran

Saat Anda menginstal ekstensi Azure untuk SQL Server, penginstalan:

  1. Membuat peran tingkat server: SQLArcExtensionServerRole

  2. Membuat peran tingkat database: SQLArcExtensionUserRole

  3. Menambahkan akun NT AUTHORITY\SYSTEM* ke setiap peran

  4. Memetakan NT AUTHORITY\SYSTEM* di tingkat database untuk setiap database

  5. Memberikan izin minimum untuk fitur yang diaktifkan

    *Atau, Anda dapat mengonfigurasi SQL Server yang diaktifkan oleh Azure Arc untuk berjalan dalam mode hak istimewa paling sedikit (tersedia dalam pratinjau). Untuk detailnya, tinjau Mengoperasikan SQL Server yang diaktifkan oleh Azure Arc dengan hak istimewa paling sedikit (pratinjau).

Selain itu, ekstensi Azure untuk SQL Server mencabut izin untuk peran ini ketika tidak lagi diperlukan untuk fitur tertentu.

SqlServerExtensionPermissionProvider adalah tugas Windows. Ini memberikan atau mencabut hak istimewa di SQL Server ketika mendeteksi:

  • Instans SQL Server baru diinstal pada host
  • Instans SQL Server dihapus instalannya dari host
  • Fitur tingkat instans diaktifkan atau dinonaktifkan atau pengaturan diperbarui
  • Layanan ekstensi dimulai ulang

Catatan

Sebelum rilis Juli 2024, SqlServerExtensionPermissionProvider adalah tugas terjadwal. Ini berjalan per jam.

Untuk detailnya, tinjau Mengonfigurasi akun dan izin layanan Windows untuk ekstensi Azure untuk SQL Server.

Jika Anda menghapus instalan ekstensi Azure untuk SQL Server, peran tingkat server dan database akan dihapus.

Izin

Fitur Izin Tingkat Peran
Default LIHAT STATUS SERVER Tingkat Server SQLArcExtensionServerRole
SAMBUNGKAN SQL Tingkat Server SQLArcExtensionServerRole
LIHAT DEFINISI APA PUN Tingkat Server SQLArcExtensionServerRole
MENAMPILKAN DATABASE APA PUN Tingkat Server SQLArcExtensionServerRole
CONNECT ANY DATABASE Tingkat Server SQLArcExtensionServerRole
SELECT dbo.sysjobactivity msdb SQLArcExtensionUserRole
SELECT dbo.sysjobs msdb SQLArcExtensionUserRole
SELECT dbo.syssessions msdb SQLArcExtensionUserRole
SELECT dbo.sysjobHistory msdb SQLArcExtensionUserRole
SELECT dbo.sysjobSteps msdb SQLArcExtensionUserRole
SELECT dbo.syscategories msdb SQLArcExtensionUserRole
SELECT dbo.sysoperators msdb SQLArcExtensionUserRole
SELECT dbo.suspectpages msdb SQLArcExtensionUserRole
SELECT dbo.backupset msdb SQLArcExtensionUserRole
SELECT dbo.backupmediaset msdb SQLArcExtensionUserRole
SELECT dbo.backupmediafamily msdb SQLArcExtensionUserRole
SELECT dbo.backupfile msdb SQLArcExtensionUserRole
Cadangan CREATE ANY DATABASE Tingkat Server SQLArcExtensionServerRole
peran db_backupoperator Semua database SQLArcExtensionUserRole
dbcreator Tingkat Server SQLArcExtensionServerRole
Sarana Kontrol Azure CREATE TABLE msdb SQLArcExtensionUserRole
ALTER ANY SCHEMA msdb SQLArcExtensionUserRole
CREATE TYPE msdb SQLArcExtensionUserRole
EXECUTE msdb SQLArcExtensionUserRole
peran db_datawriter msdb SQLArcExtensionUserRole
peran db_datareader msdb SQLArcExtensionUserRole
Penemuan Grup Ketersediaan LIHAT DEFINISI APA PUN Tingkat Server SQLArcExtensionServerRole
Bidang SELECT Semua database SQLArcExtensionUserRole
EXECUTE Semua database SQLArcExtensionUserRole
Penilaian Migrasi JALANKAN dbo.agent_datetime msdb SQLArcExtensionUserRole
SELECT dbo.sysjobs msdb SQLArcExtensionUserRole
PILIH dbo.sysmail_account msdb SQLArcExtensionUserRole
PILIH dbo.sysmail_profile msdb SQLArcExtensionUserRole
PILIH dbo.sysmail_profileaccount msdb SQLArcExtensionUserRole
SELECT dbo.syssubsystems msdb SQLArcExtensionUserRole
SELECT sys.sql_expression_dependencies Semua database SQLArcExtensionUserRole

Jalankan dengan hak istimewa paling sedikit

Untuk menjalankan ekstensi Azure untuk SQL Server dengan hak istimewa paling sedikit, ikuti instruksi di Mengoperasikan SQL Server yang diaktifkan oleh Azure Arc dengan hak istimewa paling sedikit.

Saat ini, konfigurasi hak istimewa paling sedikit bukan default.

Mengonfigurasikan Akun dan Izin Layanan Windows