Protezione agente di raccolta dati
L'agente di raccolta dati utilizza il modello di protezione basato sui ruoli implementato da SQL Server Agent. Questo modello consente all'amministratore del database di eseguire le varie attività dell'agente di raccolta dati in un contesto di sicurezza che ha solo le autorizzazioni necessarie per eseguire quell'attività. Questo approccio è utilizzato anche per operazioni con tabelle interne, a cui è possibile accedere solo mediante una stored procedure o una vista. Per le tabelle interne non vengono concesse autorizzazioni. Le autorizzazioni vengono invece controllate sull'utente della stored procedure o della vista utilizzata per accedere a una tabella.
Importante |
---|
Un altro aspetto chiave di questo modello di protezione è costituito dalle autorizzazioni concentriche. Nelle autorizzazioni concentriche i ruoli con privilegi di livello più alto ereditano le autorizzazioni dei ruoli con privilegi di livello più basso su oggetti (compresi avvisi, operatori, processi, pianificazioni e proxy). Per ulteriori informazioni, vedere Ruoli di database predefiniti di SQL Server Agent. |
Nelle sezioni seguenti vengono descritte la protezione della raccolta di dati in generale, nonché i ruoli che è necessario concedere agli utenti affinché possano configurare e utilizzare l'agente di raccolta dati ed eseguire attività associate al data warehouse di gestione.
Protezione generale
L'agente di raccolta dati viene installato secondo gli standard documentati specificati per SQL Server 2008. Per ulteriori informazioni, vedere Distribuzione protetta (Motore di database).
Protezione di rete
Le informazioni riservate possono essere passate tra le istanze di destinazione, l'istanza relazionale associata al server di configurazione, gli insiemi di raccolta in esecuzione ed il server che ospita il data warehouse di gestione.
Per proteggere i dati trasferiti su una rete vengono implementati i meccanismi di protezione standard, ad esempio la crittografia del protocollo per Transact-SQL.
Autorizzazioni per la configurazione e l'utilizzo dell'agente di raccolta dati
A seconda dell'attività, gli utenti devono essere membri di uno o più ruoli predefiniti del database forniti per l'agente di raccolta dati. I ruoli sono i seguenti, elencati a partire dall'accesso con privilegi di livello più alto fino a quello con privilegi minimi:
dc_admin
dc_operator
dc_proxy
Questi ruoli sono archiviati nel database msdb. Per impostazione predefinita, nessun utente è membro di questi ruoli di database. L'appartenenza dell'utente a questi ruoli deve essere concessa esplicitamente.
Gli utenti membri del ruolo predefinito del server sysadmin hanno accesso completo agli oggetti di SQL Server Agent e alle viste dell'agente di raccolta dati. Tuttavia è necessario che vengano aggiunti esplicitamente ai ruoli dell'agente di raccolta dati.
Importante |
---|
I membri dei ruoli db_ssisadmin e dc_admin potrebbero possono essere in grado di elevare i loro privilegi a sysadmin. Questa elevazione dei privilegi può verificarsi perché tali ruoli possono modificare i pacchetti Integration Services e i pacchetti Integration Services possono essere eseguiti da SQL Server utilizzando il contesto di protezione sysadmin di SQL Server Agent. Per impedire questa elevazione dei privilegi durante l'esecuzione di piani di manutenzione, insiemi di raccolta dati e altri pacchetti Integration Services, configurare i processi di SQL Server Agent che eseguono pacchetti in modo da utilizzare un account proxy con privilegi limitati o aggiungere solo i membri sysadmin ai ruoli db_ssisadmin e dc_admin. |
Ruolo dc_admin
Gli utenti assegnati al ruolo dc_admin hanno accesso completo di amministratore (creazione, lettura, aggiornamento ed eliminazione) alla configurazione dell'agente di raccolta dati su un'istanza del server. I membri di questo ruolo possono effettuare le seguenti operazioni:
Impostare proprietà a livello di agente di raccolta
Aggiungere nuovi insiemi di raccolta
Installare nuovi tipi di raccolta
Eseguire tutte le operazioni consentite al ruolo dc_operator.
Il ruolo dc_admin è un membro dei seguenti ruoli:
SQLAgentUserRole. Questo ruolo è necessario per creare pianificazioni ed eseguire processi.
Nota
I proxy creati per l'agente di raccolta dati devono concedere l'accesso a dc_admin affinché possano essere creati e utilizzati in ogni passaggio di processo che richiede un proxy.
dc_operator I membri di dc_admin ereditano le autorizzazioni concesse a dc_operator.
Ruolo dc_operator
I membri del ruolo dc_operator hanno accesso in lettura e aggiornamento. Tale ruolo supporta le attività di operazioni relative all'esecuzione e alla configurazione degli insiemi di raccolta. I membri di questo ruolo possono eseguire le seguenti operazioni:
Avviare o interrompere un insieme di raccolta.
Enumerare insiemi di raccolta esistenti.
Visualizzare le informazioni dettagliate (ad esempio elementi della raccolta e frequenza di raccolta) associate ad un insieme di raccolta.
Modificare la frequenza di caricamento per gli insieme di raccolta esistenti.
Modificare la frequenza di raccolta per gli elementi della raccolta appartenenti a un insieme di raccolta esistente.
Il ruolo dc_operator è membro dei seguenti ruoli:
- db_ssisltduser. L'appartenenza a questo ruolo è necessaria affinché i membri possano enumerare e visualizzare pacchetti dell'agente di raccolta dati. Per ulteriori informazioni, vedere Utilizzo dei ruoli di Integration Services.
Ruolo dc_proxy
I membri del ruolo dc_proxy hanno accesso in lettura agli insiemi di raccolta dell'agente di raccolta dati e alle proprietà a livello di agente di raccolta. I membri di questo ruolo possono inoltre eseguire processi di cui sono proprietari e creare passaggi di processo eseguibili come un account proxy esistente.
I membri di questo ruolo possono eseguire le seguenti operazioni:
Visualizzare informazioni di configurazione dell'insieme di raccolta (ad esempio parametri di input per elementi della raccolta e la frequenza di raccolta per questi elementi).
Ottenere informazioni crittografate interne a cui è possibile accedere soltanto mediante una stored procedure firmata, ad esempio informazioni di connessione al data warehouse utilizzate per il caricamento dei dati.
Registrare eventi di runtime dell'insieme di raccolta.
Il ruolo dc_proxy è membro del seguente ruolo:
- db_ssisltduser. L'appartenenza a questo ruolo è necessaria affinché i membri possano enumerare e visualizzare pacchetti dell'agente di raccolta dati. Per ulteriori informazioni, vedere Utilizzo dei ruoli di Integration Services.
Autorizzazioni per la configurazione e l'utilizzo del data warehouse di gestione
A seconda dell'attività, gli utenti devono essere membri di uno o più ruoli predefiniti del database forniti per accedere al data warehouse di gestione. I ruoli sono i seguenti, elencati a partire dall'accesso con privilegi di livello più alto fino a quello con privilegi minimi:
mdw_admin
mdw_writer
mdw_reader
Questi ruoli sono archiviati nel database msdb. Per impostazione predefinita, nessun utente è membro di questi ruoli di database. L'appartenenza dell'utente a questi ruoli deve essere concessa esplicitamente.
Gli utenti membri del ruolo predefinito del server sysadmin hanno accesso completo alle viste dell'agente di raccolta dati. Tuttavia è necessario che vengano aggiunti esplicitamente ai ruoli del database per eseguire altre operazioni.
Ruolo mdw_admin
I membri del ruolo mdw_admin hanno accesso in lettura, scrittura, aggiornamento ed eliminazione al data warehouse di gestione.
I membri di questo ruolo possono eseguire le seguenti operazioni:
Modificare lo schema del data warehouse di gestione se necessario (ad esempio per aggiungere una nuova tabella quando viene installato un nuovo tipo di raccolta).
Nota
In caso di modifica dello schema l'utente deve essere anche membro del ruolo dc_admin per installare un nuovo tipo di agente di raccolta, in quanto tale azione richiede un'autorizzazione per aggiornare la configurazione dell'agente di raccolta dati in msdb.
Eseguire processi di manutenzione sul data warehouse di gestione, ad esempio archiviazione o pulitura.
Ruolo mdw_writer
I membri del ruolo mdw_writer possono caricare e scrivere dati nel data warehouse di gestione. Gli agenti di raccolta dati che archiviano dati nel data warehouse di gestione devono essere membri di questo ruolo.
Ruolo mdw_reader
I membri del ruolo mdw_reader hanno accesso in lettura al data warehouse di gestione. Poiché lo scopo di questo ruolo è supportare la risoluzione dei problemi fornendo accesso ai dati della cronologia, i membri di questo ruolo non possono visualizzare gli altri elementi dello schema del data warehouse di gestione.
Vedere anche