Entenda o acesso de superusuários

  • 3 minutos

O primeiro usuário criado quando um Banco de Dados do Azure para servidor MySQL é criado é um Administrador de Serviço. Essa conta de usuário tem acesso de superusuário a todos os recursos da assinatura, incluindo a criação de novos usuários, monitoramento do servidor, etc.

Como uma conta de administrador tem acesso total a todos os recursos, você deve limitar e monitorar as contas de administrador. Em particular:

  • Mantenha um inventário de todas as contas de administrador atribuídas.
  • Atribua um coadministrador para fornecer acesso quando o primeiro administrador não estiver disponível.
  • Limite as contas de administrador ao menor número possível. Se uma conta de administrador for comprometida, um hacker terá acesso total ao servidor.
  • Monitore o comportamento e acompanhe qualquer comportamento anormal da conta.
  • Atribua contas de administrador adicionais apenas durante o período necessário para concluir uma tarefa.

Nota

Os administradores são adicionados no nível da assinatura, e não no nível do servidor. No portal do Azure, navegue até a assinatura correta. No menu à esquerda, selecione Controle de acesso (IAM). Selecione +Adicionar e Adicionar coadministrador.

Consulte Gerenciar acesso e permissões da Central de Segurança do Azure para obter orientações sobre como controlar e monitorar contas administrativas.

Nota

Este artigo poderá conter referências ao termo slave (secundário), um termo que a Microsoft já não utiliza. Quando o termo for removido do software, iremos removê-lo deste artigo.

Este usuário administrador do servidor tem os seguintes privilégios:

SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, RELOAD, PROCESS, REFERENCES, 
INDEX, ALTER, SHOW DATABASES, CREATE TEMPORARY TABLES, LOCK TABLES, EXECUTE, 
REPLICATION SLAVE, REPLICATION CLIENT, CREATE VIEW, SHOW VIEW, CREATE ROUTINE, 
ALTER ROUTINE, CREATE USER, EVENT, TRIGGER

Você pode usar a primeira conta de administrador do servidor para criar mais usuários e conceder acesso de administrador a eles. Você também pode usar a conta de administrador do servidor para criar usuários menos privilegiados que tenham acesso a esquemas de banco de dados individuais.

O Banco de Dados do Azure para MySQL é um serviço e nem todas as funções são suportadas, especificamente:

  • A função DBA é restrita. Use a conta de usuário administrador criada com o servidor. Isso permite que você execute a maioria das instruções DDL e DML.
  • O privilégio SUPER é restrito. Use a conta de usuário administrador criada com o servidor.
  • Não há nenhum usuário raiz no Banco de Dados do Azure para MySQL. Em vez disso, use a função de usuário Administrador ou Proprietário.

Nota

DEFINER requer super privilégios para criar e é restrito. Se você estiver importando dados usando um backup, remova os comandos CREATE DEFINER manualmente ou usando o comando -skip-definer ao executar um mysqlpump.