Share via

Gestire SQL Server abilitato da Azure Arc con privilegi minimi (anteprima)

  • Articolo

Si applica a:SQL Server

Il principio di sicurezza delle informazioni dei privilegi minimi afferma che gli account e le applicazioni hanno accesso solo ai dati e alle operazioni necessari. Con SQL Server abilitato da Azure Arc, è possibile eseguire il servizio di estensione dell'agente con privilegi minimi. Questo articolo illustra come eseguire il servizio di estensione dell'agente con privilegi minimi.

Per configurare facoltativamente il servizio per l'esecuzione con privilegi minimi, seguire i passaggi descritti in questo articolo. Attualmente, il servizio non viene eseguito in automatico con privilegi minimi.

Configurare gli account del servizio Windows e le autorizzazioni per l'estensione Azure per SQL Server descrive le autorizzazioni con privilegi minimi per il servizio di estensione dell'agente.

Nota

Se l'estensione di Azure è la versione 1.1.2594.118 (versione di febbraio 2024) o successiva, la modalità, la modalità di minimo privilegio sarà automaticamente abilitata nei prossimi mesi.

Il supporto per questa configurazione è attualmente disponibile in anteprima.

Nota

In quanto funzionalità di anteprima, la tecnologia presentata in questo articolo è soggetta alle condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure.

Gli aggiornamenti più recenti sono disponibili nelle Note sulla versione - SQL Server abilitato da Azure Arc.

Dopo aver configurato il servizio di estensione dell'agente per l'esecuzione con privilegi minimi, viene usato l'account del servizio NT Service\SQLServerExtension.

L'account NT Service\SQLServerExtension è un account del servizio di Windows locale:

  • Creato e gestito dall'estensione Azure per SQL Server quando l'opzione con privilegi minimi è abilitata.
  • A cui sono stati concessi le autorizzazioni e i privilegi minimi necessari per eseguire l'estensione Azure per il servizio SQL Server nel sistema operativo Windows. Dispone dell'accesso solo a cartelle ed elenchi usati per leggere e archiviare log di configurazione o scrittura.
  • A cui è stata concessa l'autorizzazione per connettersi ed eseguire query in SQL Server con un nuovo account di accesso specifico per l'account del servizio che dispone delle autorizzazioni minime necessarie. Le autorizzazioni minime dipendono dalle funzionalità abilitate.
  • Aggiornato quando le autorizzazioni non sono più necessarie. Ad esempio, le autorizzazioni vengono revocate quando si disabilita una funzionalità, si disabilita la configurazione con privilegi minimi o si disinstalla l'estensione Azure per SQL Server. La revoca garantisce che non rimangano autorizzazioni dopo che non sono più necessarie.

Prerequisiti

Questa sezione identifica i requisiti di sistema e gli strumenti necessari per completare l'esempio in questo articolo.

Requisiti di sistema

La configurazione con privilegi minimi richiede:

  • Windows Server 2012 o versioni successive
  • SQL Server 2012 o versione successiva

La configurazione con privilegi minimi non è attualmente supportata in Linux.

Strumenti

Per completare i passaggi in questo articolo, sono necessari gli strumenti seguenti:

Abilitare i privilegi minimi

  1. Accedere con l'interfaccia della riga di comando di Azure.

    az login

  2. Verificare la versione dell'estensione arcdata.

    az extension list -o table

    Se i risultati includono una versione supportata di arcdata, passare al passaggio successivo.

    Se necessario, installare o aggiornare l'estensione dell'interfaccia della riga di comando di Azure arcdata.

    Per installare l'estensione:

    az extension add --name arcdata

    Per aggiornare l'estensione:

    az extension update --name arcdata

  3. Abilitare privilegi minimi con l'interfaccia della riga di comando di Azure.

    Per abilitare i privilegi minimi, impostare il flag di funzionalità LeastPrivilege su true. Per completare questo task, eseguire il comando seguente con i valori aggiornati per <resource-group> e <machine-name>.

    az sql server-arc extension feature-flag set --name LeastPrivilege --enable true --resource-group <resource-group> --machine-name <machine-name>

    Ad esempio, il comando seguente abilita i privilegi minimi per un server denominato myserver in un gruppo di risorse denominato myrg:

    az sql server-arc extension feature-flag set --name LeastPrivilege --enable true --resource-group myrg --machine-name myserver

Convalidare la configurazione

Per verificare che l'istanza di SQL Server abilitato da Azure Arc sia configurata per l'esecuzione con privilegi minimi:

  1. Nei servizi di Windows, ricercare il Servizio di estensione di Microsoft SQL Server. Verificare che il servizio sia in esecuzione nell'account del servizio NT Service\SqlServerExtension. 

  2. Aprire l'utilità di pianificazione nel server e verificare che venga creato un task pianificato con nome SqlServerExtensionPermissionProvider in Microsoft\SqlServerExtension. Questo task viene eseguito con cadenza oraria per aggiungere o rimuovere le autorizzazioni secondo necessità in base alle funzionalità abilitate e disabilitate.

  3. Aprire SQL Server Management Studio e controllare l'account di accesso denominato NT Service\SqlServerExtension. Verificare che all'account siano assegnate queste autorizzazioni:

    • Connessione a SQL
    • Visualizzazione dello stato del database
    • Visualizzazione dello stato del server

  4. Convalidare le autorizzazioni con le query seguenti:

    Per verificare le autorizzazioni a livello di server, eseguire la query seguente:

    EXECUTE AS LOGIN = 'NT Service\SqlServerExtension'  
SELECT * FROM fn_my_permissions (NULL, 'SERVER");

    Per verificare le autorizzazioni a livello di database, sostituire <database name> con il nome di uno dei database ed eseguire la query seguente:

    EXECUTE AS LOGIN = 'NT Service\SqlServerExtension'  
USE <database name>; 
SELECT * FROM fn_my_permissions (NULL, 'database");

Disabilitare i privilegi minimi

Per disabilitare i privilegi minimi, impostare il flag di funzionalità LeastPrivilege su false. Per completare questo task, eseguire il comando seguente con i valori aggiornati per <resource-group> e <machine-name>:

az sql server-arc extension feature-flag set --name LeastPrivilege --enable false --resource-group <resource-group> --machine-name <machine-name>

Ad esempio, il comando seguente disabilita i privilegi minimi per un server denominato myserver in un gruppo di risorse denominato myrg:

az sql server-arc extension feature-flag set --name LeastPrivilege --enable false --resource-group myrg --machine-name myserver

Contenuto correlato