Бөлісу құралы:


Роли, созданные расширением Azure для установки SQL Server

Область применения: SQL Server

В этой статье перечислены роли сервера и базы данных и сопоставления, которые создает расширение Azure для SQL Server.

Роли

При установке расширения Azure для SQL Server установка:

  1. Создает роль уровня сервера: SQLArcExtensionServerRole

  2. Создает роль уровня базы данных: SQLArcExtensionUserRole

  3. Добавление учетной записи NT AUTHORITY\SYSTEM* в каждую роль

  4. Карты NT AUTHORITY\SYSTEM* на уровне базы данных для каждой базы данных

  5. Предоставляет минимальные разрешения для включенных функций

    *Кроме того, можно настроить SQL Server, включенный Azure Arc, для выполнения в режиме наименьших привилегий (доступно в предварительной версии). Дополнительные сведения см. в статье "Управление SQL Server, включенной Azure Arc с минимальными привилегиями (предварительная версия)".

Кроме того, расширение Azure для SQL Server отменяет разрешения для этих ролей, если они больше не нужны для определенных функций.

SqlServerExtensionPermissionProvider — это задача Windows. Он предоставляет или отменяет привилегии в SQL Server при обнаружении:

  • Новый экземпляр SQL Server устанавливается на узле
  • Экземпляр SQL Server удаляется с узла
  • Функция уровня экземпляра включена или отключена, или обновляются параметры.
  • Служба расширений перезапускается

Примечание.

До выпуска SqlServerExtensionPermissionProvider за июль 2024 г. запланирована задача. Она выполняется почасово.

Дополнительные сведения см. в статье "Настройка учетных записей службы Windows и разрешений для расширения Azure для SQL Server".

При удалении расширения Azure для SQL Server роли сервера и уровня базы данных удаляются.

Разрешения

Функция Разрешение Уровень Роль
По умолчанию. VIEW SERVER STATE Уровень сервера SQLArcExtensionServerRole
CONNECT SQL Уровень сервера SQLArcExtensionServerRole
VIEW ANY DEFINITION Уровень сервера SQLArcExtensionServerRole
VIEW ANY DATABASE Уровень сервера SQLArcExtensionServerRole
CONNECT ANY DATABASE Уровень сервера SQLArcExtensionServerRole
SELECT dbo.sysjobactivity msdb SQLArcExtensionUserRole
SELECT dbo.sysjobs msdb SQLArcExtensionUserRole
SELECT dbo.syssessions msdb SQLArcExtensionUserRole
SELECT dbo.sysjobHistory msdb SQLArcExtensionUserRole
SELECT dbo.sysjobSteps msdb SQLArcExtensionUserRole
КАТЕГОРИИ SELECT dbo.sys msdb SQLArcExtensionUserRole
SELECT dbo.sysoperator msdb SQLArcExtensionUserRole
SELECT dbo.suspectpages msdb SQLArcExtensionUserRole
SELECT dbo.backupset msdb SQLArcExtensionUserRole
SELECT dbo.backupmediaset msdb SQLArcExtensionUserRole
SELECT dbo.backupmediafamily msdb SQLArcExtensionUserRole
SELECT dbo.backupfile msdb SQLArcExtensionUserRole
Резервное копирование CREATE ANY DATABASE Уровень сервера SQLArcExtensionServerRole
роль db_backupoperator Все базы данных SQLArcExtensionUserRole
dbcreator Уровень сервера SQLArcExtensionServerRole
Уровень управления Azure СОЗДАТЬ ТАБЛИЦУ msdb SQLArcExtensionUserRole
ALTER ANY SCHEMA msdb SQLArcExtensionUserRole
СОЗДАТЬ ТИП msdb SQLArcExtensionUserRole
Выполнение  msdb SQLArcExtensionUserRole
db_datawriter, роль msdb SQLArcExtensionUserRole
db_datareader, роль msdb SQLArcExtensionUserRole
Обнаружение группы доступности VIEW ANY DEFINITION Уровень сервера SQLArcExtensionServerRole
Purview SELECT Все базы данных SQLArcExtensionUserRole
Выполнение  Все базы данных SQLArcExtensionUserRole
Оценка миграции ВЫПОЛНЕНИЕ dbo.agent_datetime msdb SQLArcExtensionUserRole
SELECT dbo.sysjobs msdb SQLArcExtensionUserRole
SELECT dbo.sysmail_account msdb SQLArcExtensionUserRole
SELECT dbo.sysmail_profile msdb SQLArcExtensionUserRole
SELECT dbo.sysmail_profileaccount msdb SQLArcExtensionUserRole
SELECT dbo.syssubsystems msdb SQLArcExtensionUserRole
SELECT sys.sql_expression_dependencies Все базы данных SQLArcExtensionUserRole

Запуск с минимальными привилегиями

Чтобы запустить расширение Azure для SQL Server с минимальными привилегиями, выполните инструкции по работе с SQL Server, включенной Azure Arc с минимальными привилегиями.

В настоящее время минимальная конфигурация привилегий не является стандартной.

Настройка учетных записей службы Windows и разрешений