Veri Toplayıcı güvenlik
Veri toplayıcısı tarafından uygulanan rol tabanlı güvenlik modeli kullanır. SQL Server Agent. Bu model, veritabanı yöneticisi çeşitli veri toplayıcı görevleri yalnızca bu görevi gerçekleştirmek için gereken izinlere sahip bir güvenlik bağlamında çalıştırılmasına olanak verir.Bu yaklaşım ayrıca, bir saklı yordam veya görünümü kullanarak yalnızca erişilebilen iç tablolar ilgili operasyonlar için kullanılır.Iç tablolar için hiçbir izin verilir.Bunun yerine, saklı yordam veya bir tablo erişmek için kullanılan görünüm kullanıcı izinlerini kontrol edilir.
Important Note: |
---|
Bu güvenlik modeli başka bir anahtar durumuyla eşmerkezli izinleridir.Eşmerkezli izinleri altında daha ayrıcalıklı roller daha az ayrıcalıklı roller (uyarılar, işleçleri, işler, Çizelgeler ve proxy'ler dahil) nesnelerinde izinleri devralır.Daha fazla bilgi için bkz:SQL Server Agent Database Roles sabit. |
Aşağıdaki bölümlerde veri koleksiyon güvenlik genel olarak, yaný sýra, kullanıcılara vermeniz gerekir, bunlar yapılandırabilir ve veri toplayıcıyı kullanın ve ilişkili görevleri gerçekleştirmek için rolleri açıklayan yönetim verileri ambarı.
Genel güvenlik
Veri toplayıcıyı belirtilen belgelenen standartları göre yüklenir SQL Server 2008. Daha fazla bilgi için bkz:Dağıtım (Veritabanı Altyapısı) güvenli.
Ağ güvenliği
Hassas bilgilerin, ilişkisel örnek yapılandırma sunucusu çalıştıran koleksiyon ayarlar ve yönetim veri ambarı barındıran sunucu ile ilişkili hedef örnekler arasında geçirilebilir.
Bir ağ üzerinden aktarılan verileri korumak için , standart güvenlik mekanizmaları, protokol şifrelemesi için gibi uygulanır Transact-SQL.
Izinler, yapılandırma ve veri toplayıcıyı kullanma
Göreve bağlı olarak, kullanıcıların bir veya daha fazla veri toplayıcının sağlanan sabit veritabanı rolü üyesi olması gerekir.En az ayrıcalıklı çoğu ayrıcalıklı erişim sırasına rollerini aşağıdaki gibidir:
dc_admin
dc_operator
dc_proxy
Bu roller msdb veritabanını depolanır.Varsayılan olarak, kullanıcı, bu veritabanı rolleri bir üye.Bu roller, kullanıcı üyeliği açıklıkla verilmesi gerekir.
Üyeleri olan kullanıcılar, sysadmin sabit sunucu rolü tam erişime sahipSQL Server Aracı nesneler ve veri toplayıcı görünümler. Ancak, veri toplayıcı roller için açıkça eklenmesi gerekir.
Important Note: |
---|
Db_ssisadmin rolünü ve dc_admin rolünün üyeleri için sysadmin ayrıcalık yükseltmesine mümkün olabilir.Bu roller değiştirebilirsiniz, çünkü bu bir ayrýcalýk yükseltmesi oluşabilir Integration Services paketleri ve Integration Services paketleri tarafından çalıştırılan SQL Server Sistem Yöneticisi güvenlik içeriğini kullanarak SQL Server Aracı. Bakım planları, veri koleksiyon kümesi ve diğer çalıştırırken bu ayrıcalık yükselmesine karşı korumak için Integration Services paketleri, yapılandırma SQL Server Bir proxy kullanacak biçimde paketleri çalışan Aracısı işleri sınırlı ayrıcalıklara sahip hesabı ya da yalnızca sysadmin üyeleri, db_ssisadmin ve dc_admin rollere ekleyin. |
dc_admin rolü
Atanan kullanıcılar dc_admin role sahip (oluşturma, okuma, güncelleştirme ve silme) tam yönetici erişim için bir veri toplayıcıyı yapılandırma bir sunucu örneğinde.Bu rolün üyelerine, aşağıdaki işlemleri gerçekleştirebilirsiniz:
küme Toplayıcı düzeyinde özellikler.
Yeni koleksiyon kümeleri ekleyin.
Yeni koleksiyon türleri'ni yükleyin.
Operasyonlar, izin verilen tüm gerçekleştirmek dc_operator roldür.
The dc_admin role is a üye of the following roles:
SQLAgentUserRole.Bu rolün zamanlamaları oluşturup işleri çalıştırmak için gereklidir.
Not
Veri toplayıcının oluşturulan proxy'ler için erişim vermeniz gerekir dc_admin oluşturup bunları proxy gerektiren tüm iş adımları kullanın.
dc_operator.Üyeleri dc_admin için verilen izinleri devralmadc_operator.
dc_operator rolü
Üyeleri dc_operator role okuma ve erişim güncelleştir.Bu rolün işlemlerini destekleyen koleksiyon kümelerini yapılandırma ve çalıştıran görevleri ilgili.Bu rolün üyelerine, aşağıdaki işlemleri gerçekleştirebilirsiniz:
Başlat veya bir koleksiyon durdur küme.
Varolan koleksiyon kümesi numaralandırılamıyor.
Bir grup ile ilişkili ayrıntılı bilgileri (örneğin, koleksiyon öğeleri ve tahsilat sıklığı) görüntülemek küme.
Varolan koleksiyon kümesi için karşıya yükleme sıklığını değiştirin.
Varolan bir koleksiyonu bir parçası olan öğelerin koleksiyonu tahsilat sıklığını değiştirmek küme.
The dc_operator role is a üye of the following role:
- db_ssisltduser.Üyelik, bu rolün üyeleri numaralandırılamıyor ve veri toplayıcı paketleri görüntülemek için gereklidir.Daha fazla bilgi için bkz:Tümleştirme Hizmetleri rollerini kullanma.
dc_proxy rolü
Üyeleri dc_proxy rolünü, veri toplayıcı koleksiyon kümeleri ve Düzey Toplayıcı özelliklerini okuma erişimi vardır.Bu rolün üyeleri de sahip ve oluşturma işlerini yürütebileceği iş varolan bir yetkili hesap çalışan adımları.
Bu rolün üyelerine, aşağıdaki işlemleri gerçekleştirebilirsiniz:
Tahsilat görüntülemek küme yapılandırma bilgileri (örneğin, Giriş parametreleri koleksiyon öğeleri için) ve bu öğeler için tahsilat sıklığı.
Yalnızca imzalı bir saklı yordam (veri karşıya yüklemeleri için kullanılanveri ambarı bağlantı bilgilerini) tarafından erişilebilen iç şifrelenmiş bilgi edinin.
Tahsilat-CVE-2006-oturum küme çalışma anı olaylarının.
The dc_proxy role is a üye of the following role:
- db_ssisltduser.Üyelik, bu rolün üyeleri numaralandırılamıyor ve veri toplayıcı paketleri görüntülemek için gereklidir.Daha fazla bilgi için bkz:Tümleştirme Hizmetleri rollerini kullanma.
Yapılandırma ve yönetimini kullanma izinleri veri ambarı
Göreve bağlı olarak, kullanıcılar, aşağıdakilerden bir veya daha fazla e-posta yönetimi erişmek için sağlanan sabit veritabanı rolü üyeleri olmalıdır veri ambarı.En az ayrıcalıklı çoğu ayrıcalıklı erişim sırasına rollerini aşağıdaki gibidir:
mdw_admin
mdw_writer
mdw_reader
Bu roller msdb veritabanını depolanır.Varsayılan olarak, kullanıcı, bu veritabanı rolleri bir üye.Bu roller, kullanıcı üyeliği açıklıkla verilmesi gerekir.
Üyeleri olan kullanıcılar, sysadmin sabit sunucu rolü, veri toplayıcı görünümleri tam erişimi vardır.Ancak, diğer işlemleri gerçekleştirmek için veritabanı rollerine açıkça eklenmesi gerekir.
mdw_admin rolü
Üyeleri mdw_admin rolünü okuma, yazma, Update ve erişim yönetimi Sil veri ambarı.
Bu rolün üyelerine, aşağıdaki işlemleri gerçekleştirebilirsiniz:
Yönetimi değiştirme veri ambarı (örneğin, yeni bir koleksiyon türü yüklü olduğunda, yeni bir tablo ekleme) gerektiğinde şema.
Not
Kullanıcı, bir şema değişikliği olduğunda da olmalıdır bir üye, dc_admin rolünü yeni Toplayıcı türü bu eylem veri toplayıcı yapılandırmada msdb güncelleştirmeye izin gerektirdiğinden yüklenecek.
Bakım işlerini yönetimine ilişkin çalıştırmak veri ambarı arşiv veya temizlik gibi.
mdw_writer rolü
Üyeleri mdw_writer rolünü yükleme ve yönetimi için veri yazma veri ambarı.Yönetiminde veri depolayan bir veri toplayıcıyı veri ambarı Bu rolün bir üyesi olması gerekir.
mdw_reader rolü
Üyeleri mdw_reader rol yönetimi için okuma erişimi olması veri ambarı.Bu rolün amacı geçmiş verilerine erişim sağlayarak sorun giderme desteği olduğundan, bu rolün verileri ambar yönetimi şemasının diğer öğeleri görüntüleyemezsiniz.