Azure 扩展为 SQL Server 安装创建的角色
适用于:SQL Server
本文列出了安装适用于 SQL Server 的 Azure 扩展的服务器和数据库角色和映射。
角色
在安装适用于 SQL Server 的 Azure 扩展时,该安装将会:
- 创建一个服务器级别的角色:SQLArcExtensionServerRole
- 创建一个数据库级别的角色:SQLArcExtensionUserRole
- 将 NT AUTHORITY\SYSTEM 帐户添加到每个角色
- 在每个数据库的数据库级别映射 NT AUTHORITY\SYSTEM
- 为启用的功能授予最低权限
此外,当特定功能不再需要这些角色时,适用于 SQL Server 的 Azure 扩展将会撤销其权限。
SqlServerExtensionPermissionProvider
是 Windows 计划的任务。 它每小时运行一次。 当检测到以下情况时,它会授予或撤销 SQL Server 中的特权:
- 主机上安装了新的 SQL Server 实例
- 创建一个新的数据库
- 启用还是禁用功能
有关详细信息,请查看为适用于 SQL Server 的 Azure Extension 配置 Windows 服务帐户和权限。
如果卸载适用于 SQL Server 的 Azure 扩展,则会移除服务器级别和数据库级别的角色。
权限
功能 | 权限 | Level | 角色 |
---|---|---|---|
默认 | VIEW SERVER STATE | 服务器级别 | SQLArcExtensionServerRole |
CONNECT SQL | 服务器级别 | SQLArcExtensionServerRole | |
VIEW ANY DEFINITION | 服务器级别 | SQLArcExtensionServerRole | |
VIEW ANY DATABASE | 服务器级别 | SQLArcExtensionServerRole | |
CONNECT ANY DATABASE | 服务器级别 | SQLArcExtensionServerRole | |
标准版LECT dbo.sysjobactivity | msdb | SQLArcExtensionUserRole | |
标准版LECT dbo.sysjobs | msdb | SQLArcExtensionUserRole | |
标准版LECT dbo.syssessions | msdb | SQLArcExtensionUserRole | |
标准版LECT dbo.sysjobHistory | msdb | SQLArcExtensionUserRole | |
标准版LECT dbo.sysjobSteps | msdb | SQLArcExtensionUserRole | |
标准版LECT dbo.syscategories | msdb | SQLArcExtensionUserRole | |
标准版LECT dbo.sysoperators | msdb | SQLArcExtensionUserRole | |
标准版LECT dbo.suspectpages | msdb | SQLArcExtensionUserRole | |
标准版LECT dbo.backupset | msdb | SQLArcExtensionUserRole | |
标准版LECT dbo.backupmediaset | msdb | SQLArcExtensionUserRole | |
标准版LECT dbo.backupmediafamily | msdb | SQLArcExtensionUserRole | |
标准版LECT dbo.backupfile | msdb | SQLArcExtensionUserRole | |
Backup | CREATE ANY DATABASE | 服务器级别 | SQLArcExtensionServerRole |
db_backupoperator 角色 | “所有数据库” | SQLArcExtensionUserRole | |
dbcreator | 服务器级别 | SQLArcExtensionServerRole | |
Azure 控制平面 | CREATE TABLE | msdb | SQLArcExtensionUserRole |
ALTER ANY SCHEMA | msdb | SQLArcExtensionUserRole | |
创建类型 | msdb | SQLArcExtensionUserRole | |
EXECUTE | msdb | SQLArcExtensionUserRole | |
db_datawriter 角色 | msdb | SQLArcExtensionUserRole | |
db_datareader 角色 | msdb | SQLArcExtensionUserRole | |
可用性组发现 | VIEW ANY DEFINITION | 服务器级别 | SQLArcExtensionServerRole |
Purview | SELECT | “所有数据库” | SQLArcExtensionUserRole |
EXECUTE | “所有数据库” | SQLArcExtensionUserRole | |
迁移评估 | EXECUTE dbo.agent_datetime | msdb | SQLArcExtensionUserRole |
标准版LECT dbo.sysjobs | msdb | SQLArcExtensionUserRole | |
标准版LECT dbo.sysmail_account | msdb | SQLArcExtensionUserRole | |
标准版LECT dbo.sysmail_profile | msdb | SQLArcExtensionUserRole | |
标准版LECT dbo.sysmail_profileaccount | msdb | SQLArcExtensionUserRole | |
标准版LECT dbo.syssubsystems | msdb | SQLArcExtensionUserRole | |
标准版LECT sys.sql_expression_dependencies | “所有数据库” | SQLArcExtensionUserRole |
以最低权限运行
若要运行具有最低特权的 SQL Server 的 Azure 扩展,请按照 Azure Arc 启用的、具有最低特权(预览版)的操作 SQL Server 中的说明进行操作。
目前,最低特权配置不是默认值。
相关内容
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈