다음을 통해 공유


SQL Server용 Azure 확장에 대한 Windows 서비스 계정 및 권한 구성

적용 대상: SQL Server

이 문서에서는 계정에 대해 SQL Server에 대한 Azure 확장이 설정하는 권한을 나열합니다 NT Service\SQLServerExtension . 이 계정은 최소 권한으로 Azure Arc에서 SQL Server를 사용하도록 설정한 경우에 사용됩니다.

참고 항목

2024년 11월 릴리스 이상의 확장이 있는 기존 서버에는 최소 권한 구성이 자동으로 적용됩니다. 이 애플리케이션은 점진적으로 발생합니다.

최소 권한 자동 적용을 방지하려면 2024년 11월 릴리스로의 확장 업그레이드를 차단합니다.

에이전트 계정에 대한 사용 권한을 수동으로 설정하는 것은 지원되지 않습니다.

확장은 Azure Portal에서 기능을 사용하도록 설정할 때 사용 권한을 설정합니다. 기능을 사용하도록 설정하지 않으면 확장에서 해당 기능에 대한 사용 권한을 설정하지 않습니다. 기능을 사용하지 않도록 설정하면 확장에서 사용 권한이 제거됩니다.

SQL 권한에는 기능을 사용하도록 설정할 때 확장에서 부여하는 기능에 연결된 사용 권한이 나열됩니다.

참고 항목

NT Authority\System 는 나열된 디렉터리 및 레지스트리 키에 대한 권한을 수정할 수 있는 액세스 권한이 있어야 합니다. 최소 권한 모드를 고려하는 데 필요한 액세스 권한을 부여할 NT Service\SqlServerExtension 수 있도록 NT Authority\System 이 작업이 필요합니다.

디렉터리 권한

디렉터리 경로 필요한 사용 권한 세부 정보 기능
<SystemDrive>\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SQLServer 모든 권한 확장 관련 dll 및 exe 파일. 기본값
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\RuntimeSettings 모든 권한 확장 설정 파일입니다. 기본값
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status 모든 권한 확장 상태 파일입니다. 기본값
C:\ProgramData\GuestConfig\extension_logs\Microsoft.AzureData.WindowsAgent.SqlServer 모든 권한 확장 로그 파일. 기본값
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status\HeartBeat.Json 모든 권한 확장자 하트비트 파일입니다. 기본값
%ProgramFiles%\Sql Server Extension 모든 권한 확장 서비스 파일. 기본값
<SystemDrive>\Windows\system32\extensionUpload 모든 권한 청구에 필요한 사용량 파일을 작성하는 데 필요합니다. 기본값
<SystemDrive>\Windows\system32\ExtensionHandler.log 모든 권한 확장에 의해 만들어진 사전 로그 폴더입니다. 기본값
<ProgramData>\AzureConnectedMachineAgent\Config 읽기 Arc 구성 파일 디렉터리입니다. 기본값
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft SQL Server Extension Agent 모든 권한 평가 보고서 및 상태를 작성하는 데 필요합니다. 기본값
SQL 로그 디렉터리(레지스트리에 설정된 대로) 1:
C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\log
읽기 SQL 로그에서 SQL vCore 정보를 추출하는 데 필요합니다. 기본값
SQL 백업 디렉터리(레지스트리에 설정된 대로) 1:
C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\Backup
ReadAndExecute/Write /Delete 백업에 필요 Backup

1 자세한 내용은 파일 위치 및 레지스트리 매핑을 참조하세요.

레지스트리 권한

기본 키: HKEY_LOCAL_MACHINE

레지스트리 키 필요한 권한 세부 정보 기능
SOFTWARE\Microsoft\Microsoft SQL Server 읽기 와 같은 installedInstancesSQL Server 속성을 읽습니다. 기본값
SOFTWARE\Microsoft\Microsoft SQL Server\<InstanceRegistryName>\MSSQLSERVER 모든 권한 Microsoft Entra ID 및 Purview. Microsoft Entra ID

Purview
SOFTWARE\Microsoft\SystemCertificates 모든 권한 Microsoft Entra ID에 필요합니다. Microsoft Entra ID
SYSTEM\CurrentControlSet\Services 읽기 SQL Server 계정 이름입니다. 기본값
SOFTWARE\Microsoft\AzureDefender\SQL 읽기 Azure Defender 상태 및 마지막 업데이트 시간입니다. 기본값
SOFTWARE\Microsoft\SqlServerExtension 모든 권한 확장 관련 값입니다. 기본값
SOFTWARE\Policies\Microsoft\Windows 읽기 및 쓰기 확장을 통해 자동 창 업데이트를 사용하도록 설정합니다. 자동 업데이트

그룹 권한

NT Service\SQLServerExtension 는 하이브리드 에이전트 확장 애플리케이션에 추가됩니다. AZURE IMDS(Instance Metadata Service) 핸드셰이크를 지원합니다.

SQL 사용 권한

NT Service\SQLServerExtension 가 추가되었습니다.

  • 컴퓨터에 현재 있는 모든 인스턴스에 대한 SQL 로그인으로
  • 각 데이터베이스의 사용자로

또한 기능을 사용하도록 설정하면 확장에서 인스턴스 및 데이터베이스 개체에 대한 사용 권한을 부여합니다. 아래 표에서는 세부 정보를 제공합니다.

기능 Permission 수준 요건
기본값 VIEW DATABASE STATE 서버 수준 Essential
VIEW SERVER STATE 서버 수준 Essential
CONNECT SQL 서버 수준 Essential
리소스로서의 데이터베이스 기본 공용 역할 서버 수준(새로 추가된 로그인에 기본적으로 부여됨) Essential
모범 사례 평가 VIEW ANY DEFINITION 서버 수준 기능 종속
VIEW ANY DATABASE 서버 수준 기능 종속
SELECT master 기능 종속
SELECT msdb 기능 종속
EXECUTE ON sys.xp_enumerrorlogs master 기능 종속
EXECUTE ON sys.xp_readerrorlog master 기능 종속
Backup CREATE ANY DATABASE 서버 수준 기능 종속
db_backupoperator 역할 모든 데이터베이스 기능 종속
dbcreator 서버 역할 기능 종속
Azure 컨트롤 플레인 CREATE TABLE msdb Essential
ALTER ANY SCHEMA msdb Essential
CREATE TYPE msdb Essential
EXECUTE msdb Essential
db_datawriter 역할 msdb 기능 종속
db_datareader 역할 msdb 기능 종속
가용성 그룹 검색 VIEW ANY DEFINITION 서버 수준 Essential
Purview SELECT 모든 데이터베이스 기능 종속
EXECUTE 모든 데이터베이스 기능 종속
CONNECT ANY DATABASE 서버 수준 기능 종속
VIEW ANY DATABASE 서버 수준 기능 종속
Monitoring SELECT dbo.sysjobactivity msdb Essential
SELECT dbo.sysjobs msdb Essential
SELECT dbo.syssessions msdb Essential
SELECT dbo.sysjobHistory msdb Essential
SELECT dbo.sysjobSteps msdb Essential
SELECT dbo.syscategories msdb Essential
SELECT dbo.sysoperators msdb Essential
SELECT dbo.suspectpages msdb Essential
SELECT dbo.backupset msdb Essential
SELECT dbo.backupmediaset msdb Essential
SELECT dbo.backupmediafamily msdb Essential
SELECT dbo.backupfile msdb Essential
CONNECT ANY DATABASE 서버 수준 Essential
VIEW ANY DATABASE 서버 수준 Essential
VIEW ANY DEFINITION 서버 수준 Essential
마이그레이션 평가 EXECUTE dbo.agent_datetime msdb Essential
SELECT dbo.syscategories msdb Essential
SELECT dbo.sysjobHistory msdb Essential
SELECT dbo.sysjobs msdb Essential
SELECT dbo.sysjobSteps msdb Essential
SELECT dbo.sysmail_account msdb Essential
SELECT dbo.sysmail_profile msdb Essential
SELECT dbo.sysmail_profileaccount msdb Essential
SELECT dbo.syssubsystems msdb Essential
SELECT sys.sql_expression_dependencies 모든 데이터베이스 Essential

참고 항목

최소 권한은 사용 가능한 기능에 따라 달라집니다. 사용 권한은 더 이상 필요하지 않은 경우 업데이트됩니다. 기능을 사용하도록 설정하면 필요한 권한이 부여됩니다.

추가 권한

  • 확장 서비스에 액세스하고 자동 복구를 구성하는 서비스 계정에 대한 권한입니다.
  • 서비스 계정에 대한 서비스로 로그온 권한입니다.