Azure 扩展为 SQL Server 安装创建的角色
适用于:
SQL Server
本文列出了安装适用于 SQL Server 的 Azure 扩展的服务器和数据库角色和映射。
角色
在安装适用于 SQL Server 的 Azure 扩展时,该安装将会:
- 创建一个服务器级别的角色:SQLArcExtensionServerRole
- 创建一个数据库级别的角色:SQLArcExtensionUserRole
- 将 NT AUTHORITY\SYSTEM 帐户添加到每个角色
- 在每个数据库的数据库级别映射 NT AUTHORITY\SYSTEM
- 为启用的功能授予最低权限
此外,当特定功能不再需要这些角色时,SQL Server 的 Azure 扩展将撤销这些角色的权限。
Windows 计划的任务每小时运行一次。 检测到 SQL Server 时,它会授予或撤销 SQL Server 中的特权:
- 主机上安装了新的 SQL Server 实例
- 创建新数据库
- 已启用或禁用功能
有关详细信息,请查看 配置适用于 SQL Server 的 Azure 扩展的 Windows 服务帐户和权限。
如果卸载适用于 SQL Server 的 Azure 扩展,则会移除服务器级别和数据库级别的角色。
权限
| 功能 | 权限 | Level | 角色 |
|---|---|---|---|
| 默认 | VIEW SERVER STATE | 服务器级别 | SQLArcExtensionServerRole |
| CONNECT SQL | 服务器级别 | SQLArcExtensionServerRole | |
| VIEW ANY DEFINITION | 服务器级别 | SQLArcExtensionServerRole | |
| VIEW ANY DATABASE | 服务器级别 | SQLArcExtensionServerRole | |
| CONNECT ANY DATABASE | 服务器级别 | SQLArcExtensionServerRole | |
| 标准版LECT dbo.sysjobactivity | msdb | SQLArcExtensionUserRole | |
| 标准版LECT dbo.sysjobs | msdb | SQLArcExtensionUserRole | |
| 标准版LECT dbo.syssessions | msdb | SQLArcExtensionUserRole | |
| 标准版LECT dbo.sysjobHistory | msdb | SQLArcExtensionUserRole | |
| 标准版LECT dbo.sysjobSteps | msdb | SQLArcExtensionUserRole | |
| 标准版LECT dbo.syscategories | msdb | SQLArcExtensionUserRole | |
| 标准版LECT dbo.sysoperators | msdb | SQLArcExtensionUserRole | |
| 标准版LECT dbo.suspectpages | msdb | SQLArcExtensionUserRole | |
| 标准版LECT dbo.backupset | msdb | SQLArcExtensionUserRole | |
| 标准版LECT dbo.backupmediaset | msdb | SQLArcExtensionUserRole | |
| 标准版LECT dbo.backupmediafamily | msdb | SQLArcExtensionUserRole | |
| 标准版LECT dbo.backupfile | msdb | SQLArcExtensionUserRole | |
| Backup | CREATE ANY DATABASE | 服务器级别 | SQLArcExtensionServerRole |
| db_backupoperator 角色 | “所有数据库” | SQLArcExtensionUserRole | |
| dbcreator | 服务器级别 | SQLArcExtensionServerRole | |
| Azure 控制平面 | CREATE TABLE | msdb | SQLArcExtensionUserRole |
| ALTER ANY SCHEMA | msdb | SQLArcExtensionUserRole | |
| 创建类型 | msdb | SQLArcExtensionUserRole | |
| EXECUTE | msdb | SQLArcExtensionUserRole | |
| db_datawriter 角色 | msdb | SQLArcExtensionUserRole | |
| db_datareader 角色 | msdb | SQLArcExtensionUserRole | |
| 可用性组发现 | VIEW ANY DEFINITION | 服务器级别 | SQLArcExtensionServerRole |
| Purview | SELECT | “所有数据库” | SQLArcExtensionUserRole |
| EXECUTE | “所有数据库” | SQLArcExtensionUserRole | |
| 迁移评估 | EXECUTE dbo.agent_datetime | msdb | SQLArcExtensionUserRole |
| 标准版LECT dbo.sysjobs | msdb | SQLArcExtensionUserRole | |
| 标准版LECT dbo.sysmail_account | msdb | SQLArcExtensionUserRole | |
| 标准版LECT dbo.sysmail_profile | msdb | SQLArcExtensionUserRole | |
| 标准版LECT dbo.sysmail_profileaccount | msdb | SQLArcExtensionUserRole | |
| 标准版LECT dbo.syssubsystems | msdb | SQLArcExtensionUserRole | |
| 标准版LECT sys.sql_expression_dependencies | “所有数据库” | SQLArcExtensionUserRole |
以最低权限运行
若要运行具有最低特权的 SQL Server 的 Azure 扩展,请按照 Azure Arc 启用的、具有最低特权(预览版)的操作 SQL Server 中的说明进行操作。
目前,最低特权配置不是默认值。
相关内容
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈