Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplica-se a:
SQL Server
Este artigo lista as funções de servidor e banco de dados e mapeamentos que a instalação da extensão Azure para SQL Server cria.
Funções
Quando você instala Azure Extension para SQL Server no modo sem privilégios mínimos, a instalação:
- Cria uma função no nível do servidor:
SQLArcExtensionServerRole - Cria uma função no nível do banco de dados:
SQLArcExtensionUserRole - Adiciona a
NT AUTHORITY\SYSTEMconta a cada função - Mapas
NT AUTHORITY\SYSTEMno nível do banco de dados para cada banco de dados - Concede permissões mínimas para os recursos habilitados
Como alternativa, você pode configurar SQL Server habilitado por Azure Arc para execução no modo de privilégio mínimo. Para obter mais informações, consulte Operar SQL Server habilitado por Azure Arc com privilégios mínimos.
Além disso, Azure Extensão para SQL Server revoga permissões para essas funções quando elas não são mais necessárias para recursos específicos.
Observação
As ações descritas anteriormente exigem que o Implantador se conecte a SQL Server como NT AUTHORITY\SYSTEM. Se o logon NT AUTHORITY\SYSTEM for removido, desabilitado ou negado CONNECT SQL permissão, o Implantador não poderá executar nenhuma dessas ações e a Extensão Azure para SQL Server não será provisionada. Consulte os pré-requisitos para ver as etapas para verificar e restaurar esse logon.
SqlServerExtensionPermissionProvider é uma tarefa Windows. Ele executa Deployer.exe para conceder ou revogar privilégios em SQL Server quando detecta:
- Uma nova instância de SQL Server é instalada no host
- Uma instância de SQL Server é desinstalada do host
- Um recurso de nível de instância está habilitado ou desabilitado ou as configurações são atualizadas
- O serviço de extensão é reiniciado
- As permissões JIT (Just-In-Time) estão habilitadas ou desabilitadas
Observação
Antes do lançamento de julho de 2024, SqlServerExtensionPermissionProvider era uma tarefa agendada que era executada por hora.
Para obter detalhes, examine as contas de serviço Configurar Windows e permissões para Azure Extension para SQL Server.
Se você desinstalar Azure Extension para SQL Server, as funções no nível do servidor e do banco de dados serão removidas.
Permissões
| Recurso | Permissão | Nível | Função |
|---|---|---|---|
| Padrão | VIEW SERVER STATE |
Nível do servidor | SQLArcExtensionServerRole |
CONNECT SQL |
Nível do servidor | SQLArcExtensionServerRole | |
VIEW ANY DEFINITION |
Nível do servidor | SQLArcExtensionServerRole | |
VIEW ANY DATABASE |
Nível do servidor | SQLArcExtensionServerRole | |
CONNECT ANY DATABASE |
Nível do servidor | SQLArcExtensionServerRole | |
SELECT dbo.sysjobactivity |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysjobs |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.syssessions |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysjobHistory |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysjobSteps |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.syscategories |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysoperators |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.suspectpages |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.backupset |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.backupmediaset |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.backupmediafamily |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.backupfile |
msdb |
SQLArcExtensionUserRole | |
| Backup | CREATE ANY DATABASE |
Nível do servidor | SQLArcExtensionServerRole |
| função db_backupoperator | Todos os bancos de dados | SQLArcExtensionUserRole | |
| dbcreator | Nível do servidor | SQLArcExtensionServerRole | |
| plano de controle Azure | CREATE TABLE |
msdb |
SQLArcExtensionUserRole |
ALTER ANY SCHEMA |
msdb |
SQLArcExtensionUserRole | |
CREATE TYPE |
msdb |
SQLArcExtensionUserRole | |
EXECUTE |
msdb |
SQLArcExtensionUserRole | |
| função db_datawriter | msdb |
SQLArcExtensionUserRole | |
| função db_datareader | msdb |
SQLArcExtensionUserRole | |
| Descoberta de grupo de disponibilidade | VIEW ANY DEFINITION |
Nível do servidor | SQLArcExtensionServerRole |
| Failover do Grupo de Disponibilidade | ALTER ANY AVAILABILITY GROUP |
Nível do servidor | SQLArcExtensionServerRole |
| Purview | SELECT |
Todos os bancos de dados | SQLArcExtensionUserRole |
EXECUTE |
Todos os bancos de dados | SQLArcExtensionUserRole | |
| Avaliação de migração | EXECUTE dbo.agent_datetime |
msdb |
SQLArcExtensionUserRole |
SELECT dbo.sysjobs |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysmail_account |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysmail_profile |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysmail_profileaccount |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.syssubsystems |
msdb |
SQLArcExtensionUserRole | |
SELECT sys.sql_expression_dependencies |
Todos os bancos de dados | SQLArcExtensionUserRole |
Executar com privilégios mínimos
Para executar Azure extensão para SQL Server com privilégios mínimos, siga as instruções em Operar SQL Server habilitado por Azure Arc com privilégios mínimos.
No momento, a configuração de privilégio mínimo não é o padrão.