Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Применимо к:
SQL Server
В этой статье перечислены роли сервера и базы данных и сопоставления, которые создает установка расширения Azure для SQL Server.
Роли
При установке расширения Azure для SQL Server установка:
Создает роль уровня сервера: SQLArcExtensionServerRole
Создает роль уровня базы данных: SQLArcExtensionUserRole
Добавление учетной записи NT AUTHORITY\SYSTEM* в каждую роль
Карты NT AUTHORITY\SYSTEM* на уровне базы данных для каждой базы данных
Предоставляет минимальные разрешения для включенных функций
*Alternatively можно настроить SQL Server, включив Azure Arc для выполнения в режиме наименьших привилегий (доступно в предварительной версии). Дополнительные сведения см. в Operate SQL Server, включенные Azure Arc с минимальными привилегиями (предварительная версия).
Кроме того, расширение Azure для SQL Server отменяет разрешения для этих ролей, если они больше не нужны для определенных функций.
SqlServerExtensionPermissionProvider — это задача Windows. Он предоставляет или отменяет привилегии в SQL Server при обнаружении:
- Новый экземпляр SQL Server устанавливается на узле
- SQL Server экземпляр удаляется с узла
- Функция уровня экземпляра включена или отключена, или обновляются параметры.
- Служба расширений перезапускается
Примечание.
До выпуска SqlServerExtensionPermissionProvider за июль 2024 г. запланирована задача. Она выполняется почасово.
Дополнительные сведения см. в статье Configure Windows учетные записи службы и разрешения для расширения Azure для SQL Server.
Если удалить расширение Azure для SQL Server, роли сервера и уровня базы данных удаляются.
Разрешения
| Функция | Разрешение | Уровень | Роль |
|---|---|---|---|
| По умолчанию. | VIEW SERVER STATE |
Уровень сервера | SQLArcExtensionServerRole |
CONNECT SQL |
Уровень сервера | SQLArcExtensionServerRole | |
VIEW ANY DEFINITION |
Уровень сервера | SQLArcExtensionServerRole | |
VIEW ANY DATABASE |
Уровень сервера | SQLArcExtensionServerRole | |
CONNECT ANY DATABASE |
Уровень сервера | SQLArcExtensionServerRole | |
SELECT dbo.sysjobactivity |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysjobs |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.syssessions |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysjobHistory |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysjobSteps |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.syscategories |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysoperators |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.suspectpages |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.backupset |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.backupmediaset |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.backupmediafamily |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.backupfile |
msdb |
SQLArcExtensionUserRole | |
| Резервное копирование | CREATE ANY DATABASE |
Уровень сервера | SQLArcExtensionServerRole |
| роль db_backupoperator | Все базы данных | SQLArcExtensionUserRole | |
| dbcreator | Уровень сервера | SQLArcExtensionServerRole | |
| уровень управления Azure | CREATE TABLE |
msdb |
SQLArcExtensionUserRole |
ALTER ANY SCHEMA |
msdb |
SQLArcExtensionUserRole | |
CREATE TYPE |
msdb |
SQLArcExtensionUserRole | |
EXECUTE |
msdb |
SQLArcExtensionUserRole | |
| db_datawriter, роль | msdb |
SQLArcExtensionUserRole | |
| db_datareader, роль | msdb |
SQLArcExtensionUserRole | |
| Обнаружение группы доступности | VIEW ANY DEFINITION |
Уровень сервера | SQLArcExtensionServerRole |
| Отработка отказа группы доступности | ALTER ANY AVAILABILITY GROUP |
Уровень сервера | SQLArcExtensionServerRole |
| Purview | SELECT |
Все базы данных | SQLArcExtensionUserRole |
EXECUTE |
Все базы данных | SQLArcExtensionUserRole | |
| Оценка миграции | EXECUTE dbo.agent_datetime |
msdb |
SQLArcExtensionUserRole |
SELECT dbo.sysjobs |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysmail_account |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysmail_profile |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysmail_profileaccount |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.syssubsystems |
msdb |
SQLArcExtensionUserRole | |
SELECT sys.sql_expression_dependencies |
Все базы данных | SQLArcExtensionUserRole |
Запуск с минимальными привилегиями
Чтобы запустить расширение Azure для SQL Server с минимальными привилегиями, следуйте инструкциям Operate SQL Server, включенным Azure Arc с минимальными привилегиями.
В настоящее время минимальная конфигурация привилегий не является стандартной.