適用於:
SQL Server
本文列出安裝適用於 SQL Server 的 Azure 延伸模組的伺服器和資料庫角色和對應。
角色
當您安裝適用於 SQL Server 的 Azure 擴充功能時,安裝:
建立伺服器層級角色:SQLArcExtensionServerRole
建立資料庫層級角色:SQLArcExtensionUserRole
將 NT AUTHORITY\SYSTEM* 帳戶新增至每個角色
在每個資料庫的資料庫層級對應 NT AUTHORITY\SYSTEM*
為已啟用功能授與最低權限
*您也可以設定 Azure Arc 啟用的 SQL Server,以最低權限模式執行 (預覽版中提供)。 如需最低權限模式的詳細資料,請參閱<以最低權限執行透過 Azure Arc 啟用的 SQL Server (預覽版)>。
此外,當特定功能不再需要這些角色時,SQL Server 的 Azure 擴充功能會撤銷這些角色的權限。
SqlServerExtensionPermissionProvider 是 Windows 工作。 它會在偵測到 SQL Server 時授與或撤銷權限:
- 主機上已安裝新的 SQL Server 執行個體
- 不會解除安裝 SQL Server 執行個體。
- 執行個體層級功能已啟用或停用,或更新設定
- 延伸項目服務已重新啟動
注意
在 2024 年 7 月發佈之前,SqlServerExtensionPermissionProvider 是排程的工作。 每小時執行一次。
如需詳細資訊,請參閱設定適用於 SQL Server 的 Azure 延伸模組之 Windows 服務帳戶和權限。
如果您卸載適用於 SQL Server 的 Azure 擴充功能,則會移除伺服器和資料庫層級角色。
權限
| 功能 | 權限 | 層級 | 角色 |
|---|---|---|---|
| 預設 | VIEW SERVER STATE | 伺服器層級 | SQLArcExtensionServerRole |
| CONNECT SQL | 伺服器層級 | SQLArcExtensionServerRole | |
| VIEW ANY DEFINITION | 伺服器層級 | SQLArcExtensionServerRole | |
| VIEW ANY DATABASE | 伺服器層級 | SQLArcExtensionServerRole | |
| CONNECT ANY DATABASE | 伺服器層級 | SQLArcExtensionServerRole | |
| SELECT dbo.sysjobactivity | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.sysjobs | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.syssessions | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.sysjobHistory | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.sysjobSteps | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.syscategories | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.sysoperators | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.suspectpages | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.backupset | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.backupmediaset | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.backupmediafamily | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.backupfile | msdb | SQLArcExtensionUserRole | |
| Backup | CREATE ANY DATABASE | 伺服器層級 | SQLArcExtensionServerRole |
| db_backupoperator角色 | 所有資料庫 | SQLArcExtensionUserRole | |
| dbcreator | 伺服器層級 | SQLArcExtensionServerRole | |
| Azure 控制平面 | CREATE TABLE | msdb | SQLArcExtensionUserRole |
| ALTER ANY SCHEMA | msdb | SQLArcExtensionUserRole | |
| 建立類型 | msdb | SQLArcExtensionUserRole | |
| 執行 CREATE 陳述式之前,請先執行 | msdb | SQLArcExtensionUserRole | |
| db_datawriter角色 | msdb | SQLArcExtensionUserRole | |
| db_datareader角色 | msdb | SQLArcExtensionUserRole | |
| 可用性群組探索 | VIEW ANY DEFINITION | 伺服器層級 | SQLArcExtensionServerRole |
| 可用性群組故障轉移 | ALTER ANY AVAILABILITY GROUP | 伺服器層級 | SQLArcExtensionServerRole |
| Purview | SELECT | 所有資料庫 | SQLArcExtensionUserRole |
| 執行 CREATE 陳述式之前,請先執行 | 所有資料庫 | SQLArcExtensionUserRole | |
| 移轉評估 | EXECUTE dbo.agent_datetime | msdb | SQLArcExtensionUserRole |
| SELECT dbo.sysjobs | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.sysmail_account | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.sysmail_profile | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.sysmail_profileaccount | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.syssubsystems | msdb | SQLArcExtensionUserRole | |
| SELECT sys.sql_expression_dependencies | 所有資料庫 | SQLArcExtensionUserRole |
使用最低權限執行
若要以最低許可權執行適用於 SQL Server 的 Azure 擴充功能,請遵循以最低許可權操作 Azure Arc 所啟用 SQL Server 的指示。
目前,最低許可權設定不是預設值。