Entenda o acesso de superusuários
O primeiro usuário criado quando um Banco de Dados do Azure para servidor MySQL é criado é um Administrador de Serviço. Essa conta de usuário tem acesso de superusuário a todos os recursos da assinatura, incluindo a criação de novos usuários, monitoramento do servidor, etc.
Como uma conta de administrador tem acesso total a todos os recursos, você deve limitar e monitorar as contas de administrador. Em particular:
- Mantenha um inventário de todas as contas de administrador atribuídas.
- Atribua um coadministrador para fornecer acesso quando o primeiro administrador não estiver disponível.
- Limite as contas de administrador ao menor número possível. Se uma conta de administrador for comprometida, um hacker terá acesso total ao servidor.
- Monitore o comportamento e acompanhe qualquer comportamento anormal da conta.
- Atribua contas de administrador adicionais apenas durante o período necessário para concluir uma tarefa.
Nota
Os administradores são adicionados no nível da assinatura, e não no nível do servidor. No portal do Azure, navegue até a assinatura correta. No menu à esquerda, selecione Controle de acesso (IAM). Selecione +Adicionar e Adicionar coadministrador.
Consulte Gerenciar acesso e permissões da Central de Segurança do Azure para obter orientações sobre como controlar e monitorar contas administrativas.
Nota
Este artigo poderá conter referências ao termo slave (secundário), um termo que a Microsoft já não utiliza. Quando o termo for removido do software, iremos removê-lo deste artigo.
Este usuário administrador do servidor tem os seguintes privilégios:
SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, RELOAD, PROCESS, REFERENCES,
INDEX, ALTER, SHOW DATABASES, CREATE TEMPORARY TABLES, LOCK TABLES, EXECUTE,
REPLICATION SLAVE, REPLICATION CLIENT, CREATE VIEW, SHOW VIEW, CREATE ROUTINE,
ALTER ROUTINE, CREATE USER, EVENT, TRIGGER
Você pode usar a primeira conta de administrador do servidor para criar mais usuários e conceder acesso de administrador a eles. Você também pode usar a conta de administrador do servidor para criar usuários menos privilegiados que tenham acesso a esquemas de banco de dados individuais.
O Banco de Dados do Azure para MySQL é um serviço e nem todas as funções são suportadas, especificamente:
- A função DBA é restrita. Use a conta de usuário administrador criada com o servidor. Isso permite que você execute a maioria das instruções DDL e DML.
- O privilégio SUPER é restrito. Use a conta de usuário administrador criada com o servidor.
- Não há nenhum usuário raiz no Banco de Dados do Azure para MySQL. Em vez disso, use a função de usuário Administrador ou Proprietário.
Nota
DEFINER requer super privilégios para criar e é restrito. Se você estiver importando dados usando um backup, remova os comandos CREATE DEFINER manualmente ou usando o comando -skip-definer ao executar um mysqlpump.