Informazioni sull'accesso con privilegi avanzati
Il primo utente creato quando viene creato un server di Database di Azure per MySQL è un amministratore del servizio. Tale account utente ha accesso come utente con privilegi avanzati a tutte le risorse nella sottoscrizione, tra cui la creazione di nuovi utenti, il monitoraggio del server e così via.
Poiché un account amministratore ha accesso completo a tutte le risorse, è necessario limitare e monitorare gli account amministratore. In particolare:
- Mantenere un inventario di tutti gli account amministratore assegnati.
- Assegnare un coamministratore a cui concedere l'accesso quando il primo amministratore non è disponibile.
- Limitare il più possibile il numero di account amministratore. Se un account amministratore viene compromesso, un hacker ha accesso completo al server.
- Monitorare il comportamento e seguire eventuali comportamenti anomali dell'account.
- Assegnare account amministratore aggiuntivi solo per la durata necessaria per completare un'attività.
Nota
Gli amministratori vengono aggiunti a livello di sottoscrizione e non a livello di server. Nel portale di Azure passare alla sottoscrizione corretta. Nel menu a sinistra selezionare Controllo di accesso (IAM). Selezionare +Aggiungi e Aggiungi coamministratore.
Per indicazioni sul controllo e il monitoraggio degli account amministrativi, vedere Gestire l'accesso e le autorizzazioni nel Centro sicurezza di Azure.
Nota
Questo articolo contiene riferimenti al termine slave, che Microsoft non usa più. Quando il termine verrà rimosso dal software, verrà rimosso anche dall'articolo.
Questo utente amministratore del server ha i privilegi seguenti:
SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, RELOAD, PROCESS, REFERENCES,
INDEX, ALTER, SHOW DATABASES, CREATE TEMPORARY TABLES, LOCK TABLES, EXECUTE,
REPLICATION SLAVE, REPLICATION CLIENT, CREATE VIEW, SHOW VIEW, CREATE ROUTINE,
ALTER ROUTINE, CREATE USER, EVENT, TRIGGER
L'account amministratore del server può essere usato per creare più utenti e concedere l'accesso amministratore agli utenti. L'account amministratore del server può essere usato anche per creare utenti con privilegi meno elevati che possono accedere a singoli schemi di database.
Database di Azure per MySQL è un servizio e non tutti i ruoli sono supportati, in particolare:
- Il ruolo DBA è limitato. Usare l'account utente amministratore creato con il server. Ciò consente di eseguire la maggior parte delle istruzioni DDL e DML.
- Il privilegio SUPER è limitato. Usare l'account utente amministratore creato con il server.
- Non esiste un utente ROOT in Database di Azure per MySQL. Usare invece il ruolo utente Amministratore o Proprietario.
Nota
DEFINER richiede privilegi avanzati per la creazione e presenta restrizioni. Se vengono importati dati usando un backup, rimuovere i comandi CREATE DEFINER manualmente o con il comando skip-definer quando si esegue mysqldump.