SQL Server Management Studio(SSMS)의 GitHub Copilot 로그인 컨텍스트에서 쿼리 및 명령을 실행합니다. 이 문서에서는 기본 실행 모델 및 데이터베이스를 사용하여 특정 데이터베이스 CONSTITUTION.md 사용자 또는 SQL 로그인을 지정하여 데이터베이스에 대한 실행 컨텍스트를 설정하는 방법을 설명합니다.
기본 실행 컨텍스트
SSMS에서 GitHub Copilot 모든 쿼리는 요청 모드와 에이전트 모드 모두에서 데이터베이스에 연결하는 데 사용한 사용자 또는 로그인에서 생성하고 실행합니다.
비고
SQL Server Management Studio(SSMS)의 GitHub Copilot 에이전트 모드는 현재 미리 보기로 제공됩니다.
Copilot 별도의 권한과 상승된 액세스 권한이 없습니다. 사용자나 로그인 계정이 테이블을 읽을 수 없으면 Copilot도 해당 테이블을 읽을 수 없습니다.
Important
에이전트 모드의 승인 시스템은 보안 경계가 아닙니다. 각 작업 전에 의도를 확인하지만 Copilot 로그인에 이미 부여된 권한 이상으로 수행할 수 있는 작업을 제한하지는 않습니다. 실제 보안 경계는 SQL Server 권한 적용입니다. 최소 권한 원칙을 적용합니다. 사용자에게 액세스해야 하는 특정 개체에 필요한 권한 및 기타 권한만 SELECTEXECUTE부여합니다.
CONSTITUTION.md 사용하여 GitHub Copilot 실행 컨텍스트 지정
데이터베이스 CONSTITUTION.md 데이터베이스 소유자는 요청 및 에이전트 모드 모두에 대해 해당 데이터베이스의 모든 GitHub Copilot 상호 작용에 적용되는 데이터베이스 사용자 또는 SQL 로그인을 지정할 수 있습니다. 데이터베이스 수준에서 확장 속성으로 저장됩니다. 해당 데이터베이스에 대한 명령의 우선 순위가 가장 높습니다. 모든 AGENTS.md 개체 수준 명령을 재정의합니다. 구성된 경우 SSMS는 EXECUTE AS 사용하여 지정된 계정에서 Copilot 생성된 쿼리를 실행합니다.
로그인한 SSMS 사용자에게는 지정된 Copilot 사용자에 대한 IMPERSONATE 권한이 있어야 합니다. 이 권한이 없으면 Copilot 쿼리를 실행할 수 없으며 해당 사용자에 대해 기능이 작동하지 않습니다. 이 동작은 의도적으로 수행됩니다. 즉, 사용자의 권한(지나치게 광범위할 수 있음)으로 자동으로 되돌아가는 대신 시스템은 최소 권한 원칙을 적용합니다. 관리자는 Copilot 액세스가 필요한 모든 사용자에게 Copilot 실행 계정에 IMPERSONATE 부여해야 합니다. 또한 해당 권한 부여가 없는 경우 특정 사용자 또는 역할에 대한 Copilot 사용을 차단할 수도 있습니다.
쿼리를 실행할 때 사용할 GitHub Copilot 데이터베이스 사용자 또는 SQL 로그인을 지정하려면 agentExecuteAsUser 속성을 데이터베이스에 대한 CONSTITUTION.md YAML 전면 문제에 추가합니다. GitHub Copilot에서 인식되려면 agentExecuteAsUser를 CONSTITUTION.md의 프런트매터에 추가해야 합니다.
agentExecuteAsUser 머리말 속성
---
agentExecuteAsUser: <database user or SQL login>
---
agentExecuteAsUser 속성은 데이터베이스 사용자 이름 또는 SQL Server 로그인 이름을 허용합니다. 이 속성을 설정하면 GitHub Copilot 해당 데이터베이스에 대해 쿼리를 실행할 때 지정된 ID를 사용합니다.
- 범위는 데이터베이스당입니다. 각 데이터베이스는 서로 다른
CONSTITUTION.md값을 가진 자체agentExecuteAsUser데이터베이스를 가질 수 있습니다. - 개별
AGENTS.md개체 수준 명령은 재정의할 수agentExecuteAsUser없습니다. 헌법의 실행 컨텍스트가 전체 데이터베이스보다 우선합니다.
agentExecuteAsUser를 CONSTITUTION.md 추가
명령을 CONSTITUTION.md 사용하여 sp_addextendedproperty데이터베이스에 확장 속성으로 저장합니다.
@name은(는) CONSTITUTION.md이어야 하며, @value에는 YAML 프런트 매터를 포함한 전체 헌법 콘텐츠가 들어 있습니다.
다음 예제에서는 낮은 권한 보고 사용자(agentExecuteAsUser)로 설정하고 ReportingUser 코딩 표준을 추가합니다.
USE SalesDB;
EXECUTE sp_addextendedproperty
@name = N'CONSTITUTION.md',
@value = N'---
agentExecuteAsUser: ReportingUser
---
Any T-SQL generated for this database must comply with organizational standards.
Queries must not use SELECT *. Always use explicit column lists.
Avoid queries that modify data unless explicitly requested by the user.';
GitHub Copilot 사용자가 해당 데이터베이스에 대한 GitHub Copilot 세션을 열 때 데이터베이스에 대한 헌법을 읽습니다. 이 예제에서 GitHub Copilot ReportingUser 해당 데이터베이스에 대한 쿼리의 실행 컨텍스트로 사용합니다.
헌법 본문의 앞부분
YAML 전면 물질과 Markdown 본문은 동일한 CONSTITUTION.md 값으로 공존합니다. 머리말은 콘텐츠 시작 부분의 --- 표식으로 구분됩니다. 닫는 --- 이후의 모든 항목은 명령 본문으로 처리되며 모든 Copilot 상호 작용에 대한 지침으로 적용됩니다.
USE SalesDB;
EXECUTE sp_addextendedproperty
@name = N'CONSTITUTION.md',
@value = N'---
agentExecuteAsUser: GHCP_DB_User
---
## Database Constitution: SalesDB
This database stores customer orders, product catalog, and revenue data.
### Coding standards
- Always use explicit column lists. Do not use SELECT *.
- Use schema-qualified object names (e.g., Sales.Orders, not Orders).
- Wrap multi-statement scripts in a transaction with TRY/CATCH error handling.
### Restricted operations
- Do not generate TRUNCATE TABLE statements.
- Do not generate DROP statements without an existence check.
- Revenue calculations must use SUM(NetAmount) from Sales.Transactions, excluding rows where RefundFlag = 1.';
데이터베이스 사용자 및 SQL 로그인
agentExecuteAsUser 속성은 데이터베이스 사용자 또는 SQL Server 로그인을 허용합니다. 다음 지침을 사용하여 환경에 가장 적합한 것을 선택합니다.
| 데이터베이스 사용자 | SQL 로그인 | |
|---|---|---|
| Scope | 하나의 데이터베이스에만 해당 | 서버 전체 ID |
| 사용 시기 | 데이터베이스 수준에서 사용 권한을 설정하려는 경우 | 서버 수준 ID에 대한 사용 권한을 설정하려는 경우 |
| 권장 사항 | 보다 세분화된 컨트롤 제공 | 서버 수준 ID가 필요한 경우 사용 |
대부분의 배포에서 데이터베이스 사용자를 지정하면 가장 세분화된 컨트롤이 제공됩니다. GitHub Copilot 전용 낮은 권한의 데이터베이스 사용자를 만들고 해당 데이터베이스에서 예상되는 Copilot 상호 작용에 필요한 권한만 부여합니다.
예: 권한이 제한된 전용 데이터베이스 사용자 만들기
/* Create a database user that is not mapped to a SQL login */
USE SalesDB;
CREATE USER GHCP_DB_User WITHOUT LOGIN;
/* Grant only the permissions Copilot needs */
GRANT SELECT ON SCHEMA::Sales TO GHCP_DB_User;
GRANT SELECT ON SCHEMA::Reporting TO GHCP_DB_User;
GRANT EXECUTE ON SCHEMA::Sales TO GHCP_DB_User;
/* Do not grant DDL permissions unless schema modification is expected */
그런 다음 SalesDB 데이터베이스의 CONSTITUTION.md에서 agentExecuteAsUser: GHCP_DB_User을(를) 설정합니다.
모범 사례
전용 낮은 권한 계정 사용: 기존 사용자를 다시 사용하는 대신 특정 데이터베이스 사용자 또는 GitHub Copilot 대한 로그인을 만듭니다. 이 방법은 사용자 또는 로그인이 다른 용도로 사용되는 경우 GitHub Copilot 사용자에게 권한을 잘못 할당할 위험을 최소화합니다.
필요한 사항만 표시합니다: 데이터베이스에 대한 일반적인 Copilot 사용 사례를 검토하고 필요한 권한만 부여합니다. 읽기 전용(
SELECT) 액세스로 시작하고 수정 권한을 의도적으로 추가합니다.권한이 매우 높은 계정 사용 피하기: 사용 사례에서 명시적으로 요구하지 않는 한
agentExecuteAsUser을sa,dbo또는 권한이 높은 계정으로 설정하지 마세요.정기적으로 감사: 데이터베이스 및 팀 요구 사항이 변경됨에 따라 정기적으로 계정의
agentExecuteAsUser사용 권한을 검토합니다.실행 경계를 명심하세요:
agentExecuteAsUser설정은 Copilot이 어떤 ID를 사용하는지 제어하지만, 실제 보안 경계는 SQL Server의 권한 적용입니다. 지정된 계정에 필요한 최소 권한만 있는지 확인합니다.
agentExecuteAsUser 업데이트 또는 제거
값을 변경 agentExecuteAsUser 하거나 헌법의 다른 부분을 업데이트하려면 다음을 사용합니다 sp_updateextendedproperty.
USE SalesDB;
EXECUTE sp_updateextendedproperty
@name = N'CONSTITUTION.md',
@value = N'---
agentExecuteAsUser: New_GHCP_User
---
Updated constitution content here.';
CONSTITUTION.md 명령을 완전히 제거하려면 sp_dropextendedproperty을 사용하세요:
USE SalesDB;
EXECUTE sp_dropextendedproperty @name = N'CONSTITUTION.md';
제거된 후 GitHub Copilot은 연결된 사용자의 로그인으로 쿼리를 실행하며, 데이터베이스 수준의 제약은 적용되지 않습니다.
현행 헌법 확인
데이터베이스에 대해 CONSTITUTION.md 명령이 설정되어 있는지 확인하려면 Copilot 요청합니다.
Does this database have a constitution set?
또는 확장 속성을 직접 쿼리합니다.
USE SalesDB;
SELECT name,
CAST (value AS NVARCHAR (MAX)) AS ConstitutionContent
FROM sys.extended_properties
WHERE class = 0
AND name = N'CONSTITUTION.md';