Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Aplica-se a: 
SQL Server
Este artigo lista os papéis e mapeamentos do servidor e da base de dados que a instalação da extensão Azure para o SQL Server cria.
Funções
Quando instala a Azure Extension for SQL Server em modo sem privilégio mínimo, a instalação:
- Cria um papel ao nível do servidor:
SQLArcExtensionServerRole - Cria um papel ao nível da base de dados:
SQLArcExtensionUserRole - Adiciona a
NT AUTHORITY\SYSTEMconta a cada função - Mapas
NT AUTHORITY\SYSTEMao nível da base de dados para cada base de dados - Concede permissões mínimas para os recursos habilitados
Em alternativa, pode configurar o SQL Server ativado pelo Azure Arc para correr em modo de mínimo privilégio. Para mais informações, veja Operar SQL Server ativado por Azure Arc com menor privilégio.
Além disso, o Azure Extension for SQL Server revoga permissões para estas funções quando já não são necessárias para funcionalidades específicas.
Observação
As ações anteriormente descritas exigem que o Deployer se ligue a SQL Server como NT AUTHORITY\SYSTEM. Se o login NT AUTHORITY\SYSTEM for removido, desativado ou negado CONNECT SQL permissão, o Deployer não pode realizar nenhuma destas ações, e a Extensão Azure para SQL Server falha no provisionamento. Consulte Pré-requisitos para os passos para verificar e restaurar este login.
SqlServerExtensionPermissionProvider é uma tarefa Windows. Executa Deployer.exe para conceder ou revogar privilégios em SQL Server quando detecta:
- Uma nova instância do SQL Server é instalada no host
- Uma instância do SQL Server é desinstalada do host
- Uma funcionalidade ao nível da instância é ativada ou desativada, ou as definições são atualizadas
- O serviço de extensão é reiniciado
- As permissões just-in-time (JIT) estão ativadas ou desativadas
Observação
Antes do lançamento em julho de 2024, SqlServerExtensionPermissionProvider havia uma tarefa agendada que decorria a cada hora.
Para mais detalhes, consulte Configure Windows contas de serviço e permissões para Azure Extensão para SQL Server.
Se desinstalar a Extensão Azure para SQL Server, os papéis ao nível do servidor e da base de dados são removidos.
Permissões
| Funcionalidade | Permissão | Nível | Funções |
|---|---|---|---|
| Inadimplência | VIEW SERVER STATE |
Nível do servidor | SQLArcExtensionServerRole |
CONNECT SQL |
Nível do servidor | SQLArcExtensionServerRole | |
VIEW ANY DEFINITION |
Nível do servidor | SQLArcExtensionServerRole | |
VIEW ANY DATABASE |
Nível do servidor | SQLArcExtensionServerRole | |
CONNECT ANY DATABASE |
Nível do servidor | SQLArcExtensionServerRole | |
SELECT dbo.sysjobactivity |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysjobs |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.syssessions |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysjobHistory |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysjobSteps |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.syscategories |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysoperators |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.suspectpages |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.backupset |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.backupmediaset |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.backupmediafamily |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.backupfile |
msdb |
SQLArcExtensionUserRole | |
| Backup | CREATE ANY DATABASE |
Nível do servidor | SQLArcExtensionServerRole |
| db_backupoperator papel | Todas as bases de dados | SQLArcExtensionUserRole | |
| dbcreator | Nível do servidor | SQLArcExtensionServerRole | |
| Azure Control Plane | CREATE TABLE |
msdb |
SQLArcExtensionUserRole |
ALTER ANY SCHEMA |
msdb |
SQLArcExtensionUserRole | |
CREATE TYPE |
msdb |
SQLArcExtensionUserRole | |
EXECUTE |
msdb |
SQLArcExtensionUserRole | |
| db_datawriter papel | msdb |
SQLArcExtensionUserRole | |
| db_datareader papel | msdb |
SQLArcExtensionUserRole | |
| Deteção de Grupo de Disponibilidade | VIEW ANY DEFINITION |
Nível do servidor | SQLArcExtensionServerRole |
| Failover do Grupo de Disponibilidade | ALTER ANY AVAILABILITY GROUP |
Nível do servidor | SQLArcExtensionServerRole |
| Purview | SELECT |
Todas as bases de dados | SQLArcExtensionUserRole |
EXECUTE |
Todas as bases de dados | SQLArcExtensionUserRole | |
| Avaliação da migração | EXECUTE dbo.agent_datetime |
msdb |
SQLArcExtensionUserRole |
SELECT dbo.sysjobs |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysmail_account |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysmail_profile |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysmail_profileaccount |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.syssubsystems |
msdb |
SQLArcExtensionUserRole | |
SELECT sys.sql_expression_dependencies |
Todas as bases de dados | SQLArcExtensionUserRole |
Executar com o menor privilégio
Para executar Azure extensão para SQL Server com menor privilégio, siga as instruções em Operar SQL Server ativadas por Azure Arc com menor privilégio.
Neste momento, a configuração de privilégios mínimos não é a padrão.