Configurar contas de serviço do Windows e permissões para a extensão do Azure para SQL Server
Aplica-se a:
SQL Server
Este artigo lista as permissões da extensão do Azure para conjuntos do SQL Server em uma instância de para a NT Service\SQLServerExtension conta. Essa conta é usada quando você Operar o SQL Server habilitado pelo Azure Arc com menos privilégio (visualização).
Observação
Se a Extensão do Azure for a versão 1.1.2594.118 (versão de fevereiro de 2024) ou posterior, o modo de privilégios mínimos será habilitado automaticamente nos próximos meses.
Não há suporte para a configuração manual das permissões para a conta do agente.
A extensão define permissões quando você habilita recursos no portal do Azure. Se você não habilitar um recurso, a extensão não definirá as permissões para esse recurso. Se você desabilitar um recurso, a extensão removerá as permissões.
As permissões SQL listam as permissões vinculadas aos recursos que a extensão concede quando os recursos são habilitados.
Permissões de diretório
| Caminho do diretório | Permissões necessárias | Detalhes | Recurso |
|---|---|---|---|
<SystemDrive>\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SQLServer |
Controle total | Extensão relacionada dlls e arquivos exe. | Padrão |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\RuntimeSettings |
Controle total | Arquivo de configurações de extensão. | Padrão |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status |
Controle total | Arquivo de status da extensão. | Padrão |
C:\ProgramData\GuestConfig\extension_logs\Microsoft.AzureData.WindowsAgent.SqlServer |
Controle total | Arquivos de log de extensão. | Padrão |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status\HeartBeat.Json |
Controle total | Arquivo de pulsação de extensão. | Padrão |
%ProgramFiles%\Sql Server Extension |
Controle total | Arquivos de serviço de extensão. | Padrão |
<SystemDrive>\Windows\system32\extensionUpload |
Controle total | Necessário para gravar o arquivo de uso necessário para o faturamento. | Padrão |
<SystemDrive>\Windows\system32\ExtensionHandler.log |
Controle total | Pasta de pré-log criada por extensão. | Padrão |
<ProgramData>\AzureConnectedMachineAgent\Config |
Ler | Diretório de arquivos de configuração do arco. | Padrão |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft SQL Server Extension Agent |
Controle total | Necessário para escrever relatórios de avaliação e status. | Padrão |
Diretório de log do SQL (conforme definido no Registro) 1:C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\log |
Ler | Necessário para extrair informações do SQL vCores de logs SQL. | Padrão |
Diretório de backup do SQL (conforme definido no Registro) 1:C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\Backup |
ReadAndExecute/Write /Delete | Necessário para backups | Backup |
1 Para obter mais informações, consulte Locais de arquivo e mapeamento do Registro.
Permissões de Registro
Chave base: HKEY_LOCAL_MACHINE
| Chave do Registro | Permissão necessária | Detalhes | Recurso |
|---|---|---|---|
SOFTWARE\Microsoft\Microsoft SQL Server |
Ler | Leia as propriedades do SQL Server como installedInstances. |
Padrão |
SOFTWARE\Microsoft\Microsoft SQL Server\<InstanceRegistryName>\MSSQLSERVER |
Controle total | ID e Permissão do Microsoft Entra. | Microsoft Entra ID Purview |
SOFTWARE\Microsoft\SystemCertificates |
Controle total | Necessário para o Microsoft Entra ID. | Microsoft Entra ID |
SYSTEM\CurrentControlSet\Services |
Ler | Nome da conta do SQL Server. | Padrão |
SOFTWARE\Microsoft\AzureDefender\SQL |
Ler | Status do Azure Defender e hora da última atualização. | Padrão |
SOFTWARE\Microsoft\SqlServerExtension |
Controle total | Valores relacionados à extensão. | Padrão |
SOFTWARE\Policies\Microsoft\Windows |
Ler e Gravar | Habilitando a atualização automática do Windows via extensão. | Atualizações automáticas |
Permissões de grupo
NT Service\SQLServerExtension é adicionado aos aplicativos de extensão de agente híbrido. Oferece suporte ao Handshake do Serviço de Metadados de Instância do Azure (IMDS).
Permissões de SQL
NT Service\SQLServerExtension é adicionado:
- Como um logon SQL para todas as instâncias presentes atualmente no computador
- Como um usuário em cada banco de dados
A extensão também concede permissões para objetos de instância e banco de dados à medida que os recursos são habilitados. A tabela abaixo fornece detalhes.
| Recurso | Permissão | Nível | Requisito |
|---|---|---|---|
| Default | VIEW DATABASE STATE |
Nível de servidor | Essential |
VIEW SERVER STATE |
Nível de servidor | Essential | |
CONNECT SQL |
Nível de servidor | Essential | |
| Banco de dados como recurso | Função pública padrão | Nível de servidor (Isso é concedido por padrão para logons recém-adicionados) | Essential |
| Práticas recomendadas de avaliação | VIEW ANY DEFINITION |
Nível de servidor | Dependente do recurso |
VIEW ANY DATABASE |
Nível de servidor | Dependente do recurso | |
SELECT |
master |
Dependente do recurso | |
SELECT |
msdb |
Dependente do recurso | |
EXECUTE ON sys.xp_enumerrorlogs |
master |
Dependente do recurso | |
EXECUTE ON sys.xp_readerrorlog |
master |
Dependente do recurso | |
| Backup | CREATE ANY DATABASE |
Nível de servidor | Dependente do recurso |
| db_backupoperator papel | Todos os bancos de dados | Dependente do recurso | |
| dbcreator | Função de servidor | Dependente do recurso | |
| Plano de Controle do Azure | CREATE TABLE |
msdb |
Essential |
ALTER ANY SCHEMA |
msdb |
Essential | |
CREATE TYPE |
msdb |
Essential | |
EXECUTE |
msdb |
Essential | |
| db_datawriter papel | msdb |
Dependente do recurso | |
| db_datareader papel | msdb |
Dependente do recurso | |
| Descoberta de grupo de disponibilidade | VIEW ANY DEFINITION |
Nível de servidor | Essential |
| Purview | SELECT |
Todos os bancos de dados | Dependente do recurso |
EXECUTE |
Todos os bancos de dados | Dependente do recurso | |
CONNECT ANY DATABASE |
Nível de servidor | Dependente do recurso | |
VIEW ANY DATABASE |
Nível de servidor | Dependente do recurso | |
| Monitoring | SELECT dbo.sysjobactivity |
msdb |
Essential |
SELECT dbo.sysjobs |
msdb |
Essential | |
SELECT dbo.syssessions |
msdb |
Essential | |
SELECT dbo.sysjobHistory |
msdb |
Essential | |
SELECT dbo.sysjobSteps |
msdb |
Essential | |
SELECT dbo.syscategories |
msdb |
Essential | |
SELECT dbo.sysoperators |
msdb |
Essential | |
SELECT dbo.suspectpages |
msdb |
Essential | |
SELECT dbo.backupset |
msdb |
Essential | |
SELECT dbo.backupmediaset |
msdb |
Essential | |
SELECT dbo.backupmediafamily |
msdb |
Essential | |
SELECT dbo.backupfile |
msdb |
Essential | |
CONNECT ANY DATABASE |
Nível de servidor | Essential | |
VIEW ANY DATABASE |
Nível de servidor | Essential | |
VIEW ANY DEFINITION |
Nível de servidor | Essential | |
| Avaliação da migração | EXECUTE dbo.agent_datetime |
msdb |
Essential |
SELECT dbo.syscategories |
msdb |
Essential | |
SELECT dbo.sysjobHistory |
msdb |
Essential | |
SELECT dbo.sysjobs |
msdb |
Essential | |
SELECT dbo.sysjobSteps |
msdb |
Essential | |
SELECT dbo.sysmail_account |
msdb |
Essential | |
SELECT dbo.sysmail_profile |
msdb |
Essential | |
SELECT dbo.sysmail_profileaccount |
msdb |
Essential | |
SELECT dbo.syssubsystems |
msdb |
Essential | |
SELECT sys.sql_expression_dependencies |
Todos os bancos de dados | Essential |
Observação
As permissões mínimas dependem dos recursos habilitados. As permissões são atualizadas quando não são mais necessárias. As permissões necessárias são concedidas quando os recursos são habilitados.
Permissões adicionais
- Permissões para conta de serviço para acessar o serviço de extensão e configurar a recuperação automática.
- Direitos de logon como serviço para a conta de serviço.
Conteúdo relacionado
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de