Общие сведения о доступе суперпользователя
Первый пользователь, который создается после создания сервера Базы данных Azure для MySQL, — это администратор служб. Эта учетная запись пользователя имеет суперпользователей доступ ко всем ресурсам в подписке, включая создание новых пользователей, мониторинг сервера и т. д.
Так как у учетной записи администратора есть полный доступ ко всем ресурсам, следует ограничить и отслеживать учетные записи администратора. В частности:
- Ведите учет всех назначенных учетных записей администраторов.
- Назначьте соадминистратора для предоставления доступа, когда первый администратор занят.
- Назначьте минимальное количество учетных записей администраторов, необходимых для оптимальной работы. Если учетная запись администратора будет скомпрометирована, у злоумышленника появится полный доступ к серверу.
- Отслеживайте поведение учетных записей и проверяйте любое подозрительное действие.
- Назначайте дополнительные учетные записи администраторов только на время, необходимое для выполнения задачи.
Примечание.
Администраторы добавляются на уровне подписки, а не сервера. В портал Azure перейдите к правильной подписке. В меню слева выберите Управление доступом (IAM). Выберите +Добавить, а затем Добавить соадминистратора.
Сведения об управлении учетными записями администрирования и управлении ими см. в разделе Центр безопасности Azure "Управление доступом и разрешениями".
Примечание.
Эта статья содержит упоминания термина slave (ведомый) . Корпорация Майкрософт больше не использует его. Когда этот термин будет удален из программного обеспечения, мы удалим его из статьи.
У этого администратора сервера есть следующие разрешения:
SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, RELOAD, PROCESS, REFERENCES,
INDEX, ALTER, SHOW DATABASES, CREATE TEMPORARY TABLES, LOCK TABLES, EXECUTE,
REPLICATION SLAVE, REPLICATION CLIENT, CREATE VIEW, SHOW VIEW, CREATE ROUTINE,
ALTER ROUTINE, CREATE USER, EVENT, TRIGGER
Вы можете использовать первую учетную запись администратора сервера для создания дополнительных пользователей и предоставления им доступа администратора. Кроме того, учетную запись администратора сервера можно использовать для создания менее привилегированных пользователей с доступом к отдельным схемам базы данных.
База данных Azure для MySQL — это служба, а не все роли поддерживаются, в частности:
- Роль DBA ограничена. Используйте учетную запись администратора, созданную с сервером. Это позволит выполнять большинство инструкций на языках DDL и DML.
- Разрешение SUPER ограничено. Используйте учетную запись администратора, созданную с сервером.
- В Базе данных Azure для MySQL нет роли привилегированного пользователя. Вместо этого используйте роль пользователя Администратор или Владелец.
Примечание.
Для создания DEFINER требуются привилегированные разрешения, а также она ограничена. При импорте данных с помощью резервной копии удалите команды CREATE DEFINER вручную или с помощью команды -skip-definer при выполнении mysqlpump.