設定超大規模資料庫具名複本的隔離式存取

適用於：Azure SQL 資料庫

本文說明如何將存取權授與 Azure SQL 資料庫超大規模資料庫具名複本，而無須將存取權授與主要複本或其他具名複本。 此案例允許使用具名複本的資源和安全性隔離：由於具名複本將會使用自己的計算節點執行，且在需要隔離式唯讀存取 Azure SQL 超大規模資料庫時，也相當實用。 在此情境下，「隔離」表示主要複本和具名複本不會共用 CPU 和記憶體，在具名複本上執行的查詢也不會使用主要或其他任何複本的計算資源，且存取具名複本的主體無法存取其他複本 (含主要複本)。

注意

Microsoft Entra ID 先前稱為 Azure Active Directory (Azure AD)。

在主要伺服器上建立登入

在裝載主要資料庫的邏輯伺服器上，於 master 資料庫執行下列動作來建立新登入。

SQL 驗證

使用您自己的唯一強式密碼，以您的強式密碼取代 strong_password_here。

CREATE LOGIN [third-party-login] WITH PASSWORD = 'strong_password_here';

Microsoft Entra 驗證

CREATE LOGIN [bob@contoso.com] FROM EXTERNAL PROVIDER;

自 sys.sql_logins 系統檢視畫面，擷取所建立登入的 SID 十六進位值：

SQL 驗證

SELECT SID FROM sys.sql_logins WHERE name = 'third-party-login';

Microsoft Entra 驗證

針對 Microsoft Entra 驗證不需要。

停用登入。 如此即可防止此登入存取主要複本所裝載伺服器上的資料庫。

SQL 驗證

ALTER LOGIN [third-party-login] DISABLE;

Microsoft Entra 驗證

ALTER LOGIN [bob@contoso.com] DISABLE;

在主要讀寫資料庫中建立使用者

建立登入後，請連線至資料庫的主要讀寫複本，例如 WideWorldImporters (您可在此處找到用於還原的範例腳本：還原 Azure SQL 中的資料庫)，並為該登入建立資料庫使用者：

SQL 驗證

CREATE USER [third-party-user] FROM LOGIN [third-party-login];

Microsoft Entra 驗證

CREATE USER [bob@contoso.com] FROM LOGIN [bob@contoso.com];

選擇性步驟：如有任何重新啟用登入的考量，在建立資料庫使用者後，您可卸除上一步所建立的伺服器登入。 連線至裝載主要資料庫的邏輯伺服器上的 master 資料庫，並執行下列範例指令碼：

SQL 驗證

DROP LOGIN [third-party-login];

Microsoft Entra 驗證

DROP LOGIN [bob@contoso.com];

在不同的邏輯伺服器上建立具名複本

建立新的 Azure SQL 邏輯伺服器，此伺服器可用於隔離式存取具名複本。 請依循在 Azure SQL Database 中建立和管理伺服器和單一資料庫中的指示。 若要建立具名複本，此伺服器必須位於裝載主要複本的伺服器的相同 Azure 區域。

在下列範例中，以您的強式密碼取代 strong_password_here。 例如使用 Azure CLI：

az sql server create -g MyResourceGroup -n MyNamedReplicaServer -l MyLocation --admin-user MyAdminUser --admin-password strong_password_here

接著為此伺服器上的主要資料庫建立具名複本。 例如使用 Azure CLI：

az sql db replica create -g MyResourceGroup -n WideWorldImporters -s MyPrimaryServer --secondary-type Named --partner-database WideWorldImporters_NR --partner-server MyNamedReplicaServer

在具名複本伺服器上建立登入

SQL 驗證

連線至具名複本所裝載邏輯伺服器的 master 資料庫 (於上一步建立)。 以您的強式密碼取代 strong_password_here。 使用自主要複本擷取的 SID 新增登入：

CREATE LOGIN [third-party-login] WITH PASSWORD = 'strong_password_here', sid = 0x0...1234;

Microsoft Entra 驗證

連線至裝載具名複本的邏輯伺服器上的 master 資料庫 (於上一步建立) 並新增邏輯伺服器。

CREATE LOGIN [bob@contoso.com] FROM EXTERNAL PROVIDER;

此時，使用 third-party-login 或 bob@contoso.com 的使用者和應用程式可連線至具名複本，但無法連至主要複本。

授與資料庫中的物件層級權限

依敘述設定登入驗證後，您可使用一般 GRANT、DENY 和 REVOKE 陳述式管理授權，或資料庫中的物件層級權限。 在這些陳述式中，參考您在資料庫中建立的使用者名稱，或參考將此使用者包含為成員的資料庫角色。 請記得在主要複本上執行這些命令。 這些變更會傳播至所有次要複本，但只會在伺服器層級登入所建立的具名複本上生效。

請記住，系統依預設會授與新建立的使用者一組最低權限 (例如，無法用於存取任何使用者資料表)。 若要允許 third-party-user 或 bob@contoso.com 讀取資料表中的資料，您必須明確授與 SELECT 權限：

SQL 驗證

GRANT SELECT ON [Application].[Cities] to [third-party-user];

Microsoft Entra 驗證

GRANT SELECT ON [Application].[Cities] to [bob@contoso.com];

除了個別授與各資料表的權限外，您也可將使用者新增至 db_datareaders 資料庫角色，允許所有資料表的讀取存取，或者也可使用結構描述來允許存取結構描述中所有現有及新的資料表。

測試存取

您可使用任何用戶端工具來測試此設定，並嘗試連線至主要複本和具名複本。 例如透過使用 sqlcmd，您可嘗試使用 third-party-login 使用者連線至主要複本。 以您的強式密碼取代 strong_password_here。

sqlcmd -S MyPrimaryServer.database.windows.net -U third-party-login -P strong_password_here -d WideWorldImporters

這將會導致錯誤，因為不允許該使用者連線至伺服器：

Sqlcmd: Error: Microsoft ODBC Driver 13 for SQL Server : Login failed for user 'third-party-login'. Reason: The account is disabled.

嘗試連線至具名複本成功。 以您的強式密碼取代 strong_password_here。

sqlcmd -S MyNamedReplicaServer.database.windows.net -U third-party-login -P strong_password_here -d WideWorldImporters_NR

系統不會傳回任何錯誤，且可在具名複本上執行查詢 (授與的物件層級權限所允許)。

相關內容

• Azure SQL 邏輯伺服器，請參閱什麼是 Azure SQL 資料庫的伺服器？
• 如需管理資料庫存取和登入的詳細資訊，請參閱 SQL Database 安全性：管理資料庫存取與登入安全性。
• 資料庫引擎權限，請參閱權限。
• 授與物件權限，請參閱授與物件權限。