Memahami akses pengguna super
Pengguna pertama yang dibuat ketika server Azure Database for MySQL dibuat adalah Administrator Layanan. Akun pengguna tersebut memiliki akses pengguna super ke semua sumber daya dalam langganan, termasuk membuat pengguna baru, memantau server, dll.
Karena akun administrator memiliki akses penuh ke semua sumber daya, Anda harus membatasi dan memantau akun administrator. Secara khusus:
- Simpan inventaris semua akun administrator yang ditetapkan.
- Tetapkan administrator bersama untuk menyediakan akses saat administrator pertama tidak tersedia.
- Batasi akun administrator ke angka terkecil yang praktis. Jika akun administrator disusupi, peretas memiliki akses penuh ke server.
- Pantau perilaku dan tindak lanjuti perilaku akun yang tidak wajar apa pun.
- Tetapkan akun administrator tambahan hanya selama durasi yang diperlukan untuk menyelesaikan tugas.
Catatan
Administrator ditambahkan di tingkat langganan, dan bukan tingkat server. Di portal Azure, navigasikan ke langganan yang benar. Dari menu kiri, pilih Kontrol akses (IAM). Pilih +Tambahkan dan Tambahkan administrator bersama.
Lihat Mengelola akses dan izin Azure Security Center untuk panduan tentang mengontrol dan memantau akun administratif.
Catatan
Artikel ini berisi referensi ke istilah slave, istilah yang tidak lagi digunakan Microsoft. Saat istilah dihapus dari perangkat lunak, kami akan menghapusnya dari artikel ini.
Pengguna admin server ini memiliki hak istimewa berikut:
SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, RELOAD, PROCESS, REFERENCES,
INDEX, ALTER, SHOW DATABASES, CREATE TEMPORARY TABLES, LOCK TABLES, EXECUTE,
REPLICATION SLAVE, REPLICATION CLIENT, CREATE VIEW, SHOW VIEW, CREATE ROUTINE,
ALTER ROUTINE, CREATE USER, EVENT, TRIGGER
Anda dapat menggunakan akun admin server pertama untuk membuat lebih banyak pengguna dan memberikan akses admin kepada mereka. Anda juga dapat menggunakan akun admin server untuk membuat pengguna dengan sedikit hak istimewa yang memiliki akses ke skema database individual.
Azure Database for MySQL adalah layanan, dan tidak semua peran didukung, khususnya:
- Peran DBA dibatasi. Gunakan akun pengguna administrator yang dibuat dengan server. Akun ini memungkinkan Anda menjalankan sebagian besar pernyataan DDL dan DML.
- Hak istimewa SUPER dibatasi. Gunakan akun pengguna administrator yang dibuat dengan server.
- Tidak ada pengguna Root di Azure Database for MySQL. Sebagai gantinya, gunakan peran pengguna Administrator atau Pemilik.
Catatan
DEFINER memerlukan hak istimewa super untuk membuat dan dibatasi. Jika Anda mengimpor data menggunakan cadangan, hapus perintah CREATE DEFINER secara manual atau dengan menggunakan perintah -skip-definer saat melakukan mysqlpump.