Meer informatie over supergebruikerstoegang

  • 3 minuten

De eerste gebruiker die wordt gemaakt wanneer een Azure Database for MySQL-server wordt gemaakt, is een service-Beheer istrator. Dit gebruikersaccount heeft supergebruikerstoegang tot alle resources in het abonnement, waaronder het maken van nieuwe gebruikers, het bewaken van de server, enzovoort.

Omdat een beheerdersaccount volledige toegang heeft tot alle resources, moet u beheerdersaccounts beperken en controleren. Met name:

  • Houd een inventaris bij van alle toegewezen beheerdersaccounts.
  • Wijs een medebeheerder toe om toegang te bieden wanneer de eerste beheerder niet beschikbaar is.
  • Beperk beheerdersaccounts tot het minste aantal dat praktisch is. Als een beheerdersaccount is aangetast, heeft een hacker volledige toegang tot de server.
  • Controleer gedrag en volg abnormaal accountgedrag op.
  • Wijs alleen extra beheerdersaccounts toe voor de duur die nodig is om een taak te voltooien.

Notitie

Beheer istrators worden toegevoegd op abonnementsniveau en niet op serverniveau. Navigeer in Azure Portal naar het juiste abonnement. Selecteer toegangsbeheer (IAM) in het linkermenu. Selecteer +Toevoegen en Co-beheerder toevoegen.

Zie De toegang en machtigingen van Azure Security Center beheren voor hulp bij het beheren en bewaken van beheerdersaccounts .

Notitie

Dit artikel bevat verwijzingen naar de term slave, een term die Microsoft niet meer gebruikt. Zodra de term uit de software wordt verwijderd, verwijderen we deze uit dit artikel.

Deze serverbeheerder heeft de volgende bevoegdheden:

SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, RELOAD, PROCESS, REFERENCES, 
INDEX, ALTER, SHOW DATABASES, CREATE TEMPORARY TABLES, LOCK TABLES, EXECUTE, 
REPLICATION SLAVE, REPLICATION CLIENT, CREATE VIEW, SHOW VIEW, CREATE ROUTINE, 
ALTER ROUTINE, CREATE USER, EVENT, TRIGGER

U kunt het eerste beheerdersaccount van de server gebruiken om meer gebruikers te maken en beheerderstoegang te verlenen. U kunt ook het serverbeheerdersaccount gebruiken om gebruikers met minder bevoegdheden te maken die toegang hebben tot afzonderlijke databaseschema's.

Azure Database for MySQL is een service en niet alle rollen worden ondersteund, met name:

  • De DBA-rol is beperkt. Gebruik het gebruikersaccount van de beheerder dat met de server is gemaakt. Hierdoor kunt u de meeste DDL- en DML-instructies uitvoeren.
  • De SUPER-bevoegdheid is beperkt. Gebruik het gebruikersaccount van de beheerder dat met de server is gemaakt.
  • Er is geen hoofdgebruiker in Azure Database for MySQL. Gebruik in plaats daarvan de gebruikersrol Beheer istrator of Eigenaar.

Notitie

DEFINER vereist superbevoegdheden om te maken en is beperkt. Als u gegevens importeert met behulp van een back-up, verwijdert u de opdrachten CREATE DEFINER handmatig of met behulp van de opdracht -skip-definer bij het uitvoeren van een mysqlpump.