Роли, созданные расширением Azure для установки SQL Server
Применимо к:
SQL Server
В этой статье перечислены роли сервера и базы данных и сопоставления, которые создает расширение Azure для SQL Server.
Роли
При установке расширения Azure для SQL Server установка:
- Создает роль уровня сервера: SQLArcExtensionServerRole
- Создает роль уровня базы данных: SQLArcExtensionUserRole
- Добавление учетной записи NT AUTHORITY\SYSTEM в каждую роль
- Карты NT AUTHORITY\SYSTEM на уровне базы данных для каждой базы данных
- Предоставляет минимальные разрешения для включенных функций
Кроме того, расширение Azure для SQL Server отменяет разрешения для этих ролей, если они больше не нужны для определенных функций.
Запланированная задача Windows выполняется почасово. Он предоставляет или отменяет привилегии в SQL Server при обнаружении:
- Новый экземпляр SQL Server устанавливается на узле
- Создается новая база данных
- Функция включена или отключена
Дополнительные сведения см. в статье "Настройка учетных записей службы Windows и разрешений для расширения Azure для SQL Server".
При удалении расширения Azure для SQL Server роли сервера и уровня базы данных удаляются.
Разрешения
| Функция | Разрешение | Уровень | Роль |
|---|---|---|---|
| По умолчанию. | VIEW SERVER STATE | Уровень сервера | SQLArcExtensionServerRole |
| CONNECT SQL | Уровень сервера | SQLArcExtensionServerRole | |
| VIEW ANY DEFINITION | Уровень сервера | SQLArcExtensionServerRole | |
| VIEW ANY DATABASE | Уровень сервера | SQLArcExtensionServerRole | |
| CONNECT ANY DATABASE | Уровень сервера | SQLArcExtensionServerRole | |
| SELECT dbo.sysjobactivity | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.sysjobs | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.syssessions | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.sysjobHistory | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.sysjobSteps | msdb | SQLArcExtensionUserRole | |
| КАТЕГОРИИ SELECT dbo.sys | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.sysoperator | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.suspectpages | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.backupset | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.backupmediaset | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.backupmediafamily | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.backupfile | msdb | SQLArcExtensionUserRole | |
| Резервное копирование | CREATE ANY DATABASE | Уровень сервера | SQLArcExtensionServerRole |
| роль db_backupoperator | Все базы данных | SQLArcExtensionUserRole | |
| dbcreator | Уровень сервера | SQLArcExtensionServerRole | |
| Уровень управления Azure | СОЗДАТЬ ТАБЛИЦУ | msdb | SQLArcExtensionUserRole |
| ALTER ANY SCHEMA | msdb | SQLArcExtensionUserRole | |
| СОЗДАТЬ ТИП | msdb | SQLArcExtensionUserRole | |
| Выполнение | msdb | SQLArcExtensionUserRole | |
| db_datawriter, роль | msdb | SQLArcExtensionUserRole | |
| db_datareader, роль | msdb | SQLArcExtensionUserRole | |
| Обнаружение группы доступности | VIEW ANY DEFINITION | Уровень сервера | SQLArcExtensionServerRole |
| Purview | SELECT | Все базы данных | SQLArcExtensionUserRole |
| Выполнение | Все базы данных | SQLArcExtensionUserRole | |
| Оценка миграции | ВЫПОЛНЕНИЕ dbo.agent_datetime | msdb | SQLArcExtensionUserRole |
| SELECT dbo.sysjobs | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.sysmail_account | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.sysmail_profile | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.sysmail_profileaccount | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.syssubsystems | msdb | SQLArcExtensionUserRole | |
| SELECT sys.sql_expression_dependencies | Все базы данных | SQLArcExtensionUserRole |
Запуск с минимальными привилегиями
Чтобы запустить расширение Azure для SQL Server с минимальными привилегиями, следуйте инструкциям по работе с SQL Server, включенной Azure Arc с минимальными привилегиями (предварительная версия).
В настоящее время минимальная конфигурация привилегий не является стандартной.
Связанный контент
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по