Роли, созданные расширением Azure для установки SQL Server
Область применения: 
SQL Server
В этой статье перечислены роли сервера и базы данных и сопоставления, которые создает расширение Azure для SQL Server.
Роли
При установке расширения Azure для SQL Server установка:
Создает роль уровня сервера: SQLArcExtensionServerRole
Создает роль уровня базы данных: SQLArcExtensionUserRole
Добавление учетной записи NT AUTHORITY\SYSTEM* в каждую роль
Карты NT AUTHORITY\SYSTEM* на уровне базы данных для каждой базы данных
Предоставляет минимальные разрешения для включенных функций
*Кроме того, можно настроить SQL Server, включенный Azure Arc, для выполнения в режиме наименьших привилегий (доступно в предварительной версии). Дополнительные сведения см. в статье "Управление SQL Server, включенной Azure Arc с минимальными привилегиями (предварительная версия)".
Кроме того, расширение Azure для SQL Server отменяет разрешения для этих ролей, если они больше не нужны для определенных функций.
SqlServerExtensionPermissionProvider — это задача Windows. Он предоставляет или отменяет привилегии в SQL Server при обнаружении:
- Новый экземпляр SQL Server устанавливается на узле
- Экземпляр SQL Server удаляется с узла
- Функция уровня экземпляра включена или отключена, или обновляются параметры.
- Служба расширений перезапускается
Примечание.
До выпуска SqlServerExtensionPermissionProvider за июль 2024 г. запланирована задача. Она выполняется почасово.
Дополнительные сведения см. в статье "Настройка учетных записей службы Windows и разрешений для расширения Azure для SQL Server".
При удалении расширения Azure для SQL Server роли сервера и уровня базы данных удаляются.
Разрешения
| Функция | Разрешение | Уровень | Роль |
|---|---|---|---|
| По умолчанию. | VIEW SERVER STATE | Уровень сервера | SQLArcExtensionServerRole |
| CONNECT SQL | Уровень сервера | SQLArcExtensionServerRole | |
| VIEW ANY DEFINITION | Уровень сервера | SQLArcExtensionServerRole | |
| VIEW ANY DATABASE | Уровень сервера | SQLArcExtensionServerRole | |
| CONNECT ANY DATABASE | Уровень сервера | SQLArcExtensionServerRole | |
| SELECT dbo.sysjobactivity | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.sysjobs | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.syssessions | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.sysjobHistory | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.sysjobSteps | msdb | SQLArcExtensionUserRole | |
| КАТЕГОРИИ SELECT dbo.sys | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.sysoperator | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.suspectpages | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.backupset | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.backupmediaset | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.backupmediafamily | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.backupfile | msdb | SQLArcExtensionUserRole | |
| Резервное копирование | CREATE ANY DATABASE | Уровень сервера | SQLArcExtensionServerRole |
| роль db_backupoperator | Все базы данных | SQLArcExtensionUserRole | |
| dbcreator | Уровень сервера | SQLArcExtensionServerRole | |
| Уровень управления Azure | СОЗДАТЬ ТАБЛИЦУ | msdb | SQLArcExtensionUserRole |
| ALTER ANY SCHEMA | msdb | SQLArcExtensionUserRole | |
| СОЗДАТЬ ТИП | msdb | SQLArcExtensionUserRole | |
| Выполнение | msdb | SQLArcExtensionUserRole | |
| db_datawriter, роль | msdb | SQLArcExtensionUserRole | |
| db_datareader, роль | msdb | SQLArcExtensionUserRole | |
| Обнаружение группы доступности | VIEW ANY DEFINITION | Уровень сервера | SQLArcExtensionServerRole |
| Purview | SELECT | Все базы данных | SQLArcExtensionUserRole |
| Выполнение | Все базы данных | SQLArcExtensionUserRole | |
| Оценка миграции | ВЫПОЛНЕНИЕ dbo.agent_datetime | msdb | SQLArcExtensionUserRole |
| SELECT dbo.sysjobs | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.sysmail_account | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.sysmail_profile | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.sysmail_profileaccount | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.syssubsystems | msdb | SQLArcExtensionUserRole | |
| SELECT sys.sql_expression_dependencies | Все базы данных | SQLArcExtensionUserRole |
Запуск с минимальными привилегиями
Чтобы запустить расширение Azure для SQL Server с минимальными привилегиями, выполните инструкции по работе с SQL Server, включенной Azure Arc с минимальными привилегиями.
В настоящее время минимальная конфигурация привилегий не является стандартной.