Роли служб Integration Services (службы SSIS)

Службы SQL Server Службы Integration Services содержат три предопределенные роли базы данных, предназначенные для управления доступом к пакетам: db_ssisadmin, db_ssisltduser и db_ssisoperator. Роли могут быть реализованы только для пакетов, сохраненных в базу данных msdb в SQL Server. С помощью среды Среда SQL Server Management Studio можно назначить роль пакету. Назначения ролей сохраняются в базу данных msdb.

Действия чтения и записи

В следующей таблице приводятся операции чтения и записи Windows и фиксированных ролей уровня базы данных в службах Службы Integration Services.

Роль	Операция чтения	Операция записи
db_ssisadmin либо sysadmin	Перечислить свои пакеты. Перечислить все пакеты. Посмотреть свои пакеты. Посмотреть все пакеты. Выполнить свои пакеты. Выполнить все пакеты. Экспортировать свои пакеты. Экспортировать все пакеты. Выполнить все пакеты агента SQL Server.	Импортировать пакеты. Удалить свои пакеты. Удалить все пакеты. Изменить роли своих пакетов. Изменить роли всех пакетов. Важно! Члены роли db_ssisadmin и роли dc_admin могут повышать свои права доступа до sysadmin. Такое повышение прав доступа может произойти, так как эти роли могут изменять пакеты служб Службы Integration Services, а пакеты служб Службы Integration Services могут выполняться SQL Server с контекстом безопасности sysadmin агента SQL Server. Чтобы предотвратить такое повышение прав при выполнении планов обслуживания, наборов элементов сбора данных и других пакетов служб Службы Integration Services, настройте задания агента SQL Server (запускающие пакеты) на использование учетной записи-посредника с ограниченными правами или добавьте членов роли sysadmin в роли db_ssisadmin и dc_admin.
db_ssisltduser	Перечислить свои пакеты. Перечислить все пакеты. Посмотреть свои пакеты. Выполнить свои пакеты. Экспортировать свои пакеты.	Импортировать пакеты. Удалить свои пакеты. Изменить роли своих пакетов.
db_ssisoperator	Перечислить все пакеты. Посмотреть все пакеты. Выполнить все пакеты. Экспортировать все пакеты. Выполнить все пакеты агента SQL Server.	Нет
Администраторы Windows	Просмотреть подробности выполнения всех запущенных пакетов.	Остановить все выполняемые пакеты.

Таблица Sysssispackages

Таблица sysssispackages базы данных msdb содержит пакеты, сохраненные в SQL Server. Дополнительные сведения см. в разделе sysssispackages (Transact-SQL).

Таблица sysssispackages включает в себя столбцы, которые содержат сведения о ролях, назначенных пакетам.

• В столбце readerrole указывается роль, у которой есть право чтения из пакета.

• В столбце writerrole указывается роль, у которой есть право записи в пакет.

• Столбец ownersid содержит уникальный идентификатор безопасности пользователя, создавшего пакет. Этот столбец определяет владельца пакета.

Разрешения

По умолчанию разрешения предопределенных ролей уровня базы данных db_ssisadmin и db_ssisoperator и уникальный идентификатор безопасности пользователя, создавшего пакет, применяются к роли модуля чтения пакета, а разрешение роли db_ssisadmin и уникальный идентификатор безопасности пользователя, создавшего пакет, применяются к роли модуля записи пакета. Пользователь должен быть членом роли db_ssisadmin, db_ssisltduser или db_ssisoperator, чтобы получить доступ на чтение пакета. Пользователь должен быть членом роли db_ssisadmin, чтобы получить доступ для записи.

Доступ к пакетам

Фиксированные роли уровня базы данных работают в сочетании с пользовательскими ролями. Пользовательские роли — это роли, которые создаются в среде Среда SQL Server Management Studio и после используются для назначения разрешений пакетам. Чтобы получить доступ к пакету, пользователь должен быть членом пользовательской роли и соответствующей фиксированной роли служб Службы Integration Services уровня базы данных. Например, если пользователи являются членами определяемой пользователем роли AuditUsers, которая назначена пакету, они также должны быть членами роли db_ssisadmin, db_ssisltduser или db_ssisoperator, чтобы иметь доступ для чтения пакета.

Если пакетам не назначить пользовательских ролей, то доступом к пакетам будут управлять только предопределенные роли базы данных.

Если используются пользовательские роли, то перед тем как назначать их пакетам, нужно добавить их в базу данных msdb. Новую роль базы данных можно создать в среде Среда SQL Server Management Studio.

Роли уровня базы данных служб Службы Integration Services предоставляют право доступа к системным таблицам служб Службы Integration Services базы данных msdb.

SQL Server (служба MSSQLSERVER) должна быть запущена перед тем, как подключиться к компоненту Database Engine и базе данных msdb.

Чтобы назначить роли пакетов, необходимо выполнить следующие задачи.

• Откройте обозреватель объектов и подключитесь к службам Integration Services

  Перед тем как с помощью среды Среда SQL Server Management Studio назначить роли для пакетов, необходимо открыть обозреватель объектов в среде Среда SQL Server Management Studio и подключиться к службам Службы Integration Services.

  Служба Службы Integration Services должна быть запущена перед подключением к Службы Integration Services.

• Назначение пакетам ролей модулей чтения и записи

  Можно назначить роль чтения и модуля записи для каждого пакета.

Связанные задачи

• Назначение пакетам роли чтения и модуля записи

• Создание пользовательской роли

• Подключение к службам Integration Services

См. также

Будьте в курсе новых возможностей служб Integration Services Чтобы загрузить новейшую документацию, статьи, образцы и видеоматериалы корпорации Майкрософт, а также лучшие решения участников сообщества, посетите страницу служб Службы Integration Services на сайте MSDN: Посетить страницу «Службы Integration Services» на сайте MSDN Чтобы получать автоматические уведомления об этих обновлениях, подпишитесь на RSS-каналы, предлагаемые на этой странице.