Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a:
SQL Server
En este artículo se enumeran los roles y asignaciones de servidor y base de datos que crea la instalación de Azure extensión para SQL Server.
Roles
Al instalar Azure extensión para SQL Server en modo sin privilegios mínimos, la instalación:
- Crea un rol de nivel de servidor:
SQLArcExtensionServerRole - Crea un rol de nivel de base de datos:
SQLArcExtensionUserRole - Agrega la
NT AUTHORITY\SYSTEMcuenta a cada rol - Asignaciones
NT AUTHORITY\SYSTEMen el nivel de base de datos para cada base de datos - Concede los permisos mínimos para las características habilitadas
Como alternativa, puede configurar SQL Server habilitados Azure Arc para ejecutarse en modo de privilegios mínimos. Para obtener más información, consulte Operate SQL Server habilitado por Azure Arc con privilegios mínimos.
Además, Azure extensión para SQL Server revoca los permisos de estos roles cuando ya no son necesarios para características específicas.
Nota:
Las acciones descritas anteriormente requieren que el implementador se conecte a SQL Server como NT AUTHORITY\SYSTEM. Si el inicio de sesión de NT AUTHORITY\SYSTEM se quita, deshabilita o deniega CONNECT SQL, el implementador no puede realizar ninguna de estas acciones y la extensión de Azure para SQL Server no se puede aprovisionar. Consulte Requisitos previos para conocer los pasos para comprobar y restaurar este inicio de sesión.
SqlServerExtensionPermissionProvider es una tarea de Windows. Ejecuta Deployer.exe para conceder o revocar privilegios en SQL Server cuando detecta:
- Se instala una nueva instancia de SQL Server en el host.
- Se desinstala una instancia de SQL Server del host.
- Una característica de nivel de instancia está habilitada o deshabilitada, o se actualiza la configuración.
- Se reinicia el servicio de extensión.
- Los permisos Just-In-Time (JIT) están habilitados o deshabilitados
Nota:
Antes de la versión de julio de 2024, SqlServerExtensionPermissionProvider era una tarea programada que se ejecutó cada hora.
Para obtener más información, revise Configurar las cuentas de servicio y los permisos de Windows Azure extensión para SQL Server.
Si desinstala Azure extensión para SQL Server, se quitan los roles de nivel de servidor y de base de datos.
Permisos
| Característica | Permiso | Nivel | Role |
|---|---|---|---|
| Valor predeterminado | VIEW SERVER STATE |
Nivel de servidor | SQLArcExtensionServerRole |
CONNECT SQL |
Nivel de servidor | SQLArcExtensionServerRole | |
VIEW ANY DEFINITION |
Nivel de servidor | SQLArcExtensionServerRole | |
VIEW ANY DATABASE |
Nivel de servidor | SQLArcExtensionServerRole | |
CONNECT ANY DATABASE |
Nivel de servidor | SQLArcExtensionServerRole | |
SELECT dbo.sysjobactivity |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysjobs |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.syssessions |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysjobHistory |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysjobSteps |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.syscategories |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysoperators |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.suspectpages |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.backupset |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.backupmediaset |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.backupmediafamily |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.backupfile |
msdb |
SQLArcExtensionUserRole | |
| Backup | CREATE ANY DATABASE |
Nivel de servidor | SQLArcExtensionServerRole |
| db_backupoperator, rol | Todas las bases de datos | SQLArcExtensionUserRole | |
| dbcreator | Nivel de servidor | SQLArcExtensionServerRole | |
| plano de control de Azure | CREATE TABLE |
msdb |
SQLArcExtensionUserRole |
ALTER ANY SCHEMA |
msdb |
SQLArcExtensionUserRole | |
CREATE TYPE |
msdb |
SQLArcExtensionUserRole | |
EXECUTE |
msdb |
SQLArcExtensionUserRole | |
| db_datawriter, rol | msdb |
SQLArcExtensionUserRole | |
| db_datareader, rol | msdb |
SQLArcExtensionUserRole | |
| Detección de grupos de disponibilidad | VIEW ANY DEFINITION |
Nivel de servidor | SQLArcExtensionServerRole |
| Conmutación por error del grupo de disponibilidad | ALTER ANY AVAILABILITY GROUP |
Nivel de servidor | SQLArcExtensionServerRole |
| Purview | SELECT |
Todas las bases de datos | SQLArcExtensionUserRole |
EXECUTE |
Todas las bases de datos | SQLArcExtensionUserRole | |
| Evaluación de la migración | EXECUTE dbo.agent_datetime |
msdb |
SQLArcExtensionUserRole |
SELECT dbo.sysjobs |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysmail_account |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysmail_profile |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysmail_profileaccount |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.syssubsystems |
msdb |
SQLArcExtensionUserRole | |
SELECT sys.sql_expression_dependencies |
Todas las bases de datos | SQLArcExtensionUserRole |
Ejecución con privilegios mínimos
Para ejecutar Azure extensión para SQL Server con privilegios mínimos, siga las instrucciones de Operate SQL Server habilitadas por Azure Arc con privilegios mínimos.
En este momento, la configuración de privilegios mínimos no es la predeterminada.