Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Применимо к:
SQL Server
В этой статье перечислены роли сервера и базы данных и сопоставления, которые создает установка расширения Azure для SQL Server.
Роли
При установке расширения Azure для SQL Server в режиме без минимальных привилегий установка:
- Создает роль уровня сервера:
SQLArcExtensionServerRole - Создает роль уровня базы данных:
SQLArcExtensionUserRole -
NT AUTHORITY\SYSTEMДобавляет учетную запись в каждую роль - Карты
NT AUTHORITY\SYSTEMна уровне базы данных для каждой базы данных - Предоставляет минимальные разрешения для включенных функций
Кроме того, можно настроить SQL Server, включив Azure Arc для выполнения в режиме наименьших привилегий. Дополнительные сведения см. в разделе Operate SQL Server включено Azure Arc с минимальными привилегиями.
Кроме того, расширение Azure для SQL Server отменяет разрешения для этих ролей, когда они больше не требуются для определенных функций.
Примечание.
Описанные ранее действия требуют, чтобы средство развертывания подключалось к SQL Server как NT AUTHORITY\SYSTEM. Если имя входа NT AUTHORITY\SYSTEM удалено, отключено или запрещено разрешение CONNECT SQL, средство развертывания не может выполнить какие-либо из этих действий, а расширение Azure для SQL Server не удается подготовить. Предварительные требования для проверки и восстановления этого имени входа см. в разделе "Предварительные требования ".
SqlServerExtensionPermissionProvider — это задача Windows. Он выполняет Deployer.exe для предоставления или отзыва привилегий в SQL Server при обнаружении:
- Новый экземпляр SQL Server устанавливается на узле
- Экземпляр SQL Server удаляется с узла
- Функция уровня экземпляра включена или отключена, или обновляются параметры.
- Служба расширений перезапускается
- Разрешения JIT включены или отключены
Примечание.
До выпуска за июль 2024 года была запланированная задача, SqlServerExtensionPermissionProvider которая выполнялась почасово.
Дополнительные сведения см. в разделе Configure Windows учетных записей служб и разрешений для расширения Azure для SQL Server.
Если удалить расширение Azure для SQL Server, роли уровня сервера и уровня базы данных удаляются.
Разрешения
| Функция | Разрешение | Уровень | Роль |
|---|---|---|---|
| По умолчанию. | VIEW SERVER STATE |
Уровень сервера | SQLArcExtensionServerRole |
CONNECT SQL |
Уровень сервера | SQLArcExtensionServerRole | |
VIEW ANY DEFINITION |
Уровень сервера | SQLArcExtensionServerRole | |
VIEW ANY DATABASE |
Уровень сервера | SQLArcExtensionServerRole | |
CONNECT ANY DATABASE |
Уровень сервера | SQLArcExtensionServerRole | |
SELECT dbo.sysjobactivity |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysjobs |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.syssessions |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysjobHistory |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysjobSteps |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.syscategories |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysoperators |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.suspectpages |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.backupset |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.backupmediaset |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.backupmediafamily |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.backupfile |
msdb |
SQLArcExtensionUserRole | |
| Резервное копирование | CREATE ANY DATABASE |
Уровень сервера | SQLArcExtensionServerRole |
| роль db_backupoperator | Все базы данных | SQLArcExtensionUserRole | |
| dbcreator | Уровень сервера | SQLArcExtensionServerRole | |
| уровень управления Azure | CREATE TABLE |
msdb |
SQLArcExtensionUserRole |
ALTER ANY SCHEMA |
msdb |
SQLArcExtensionUserRole | |
CREATE TYPE |
msdb |
SQLArcExtensionUserRole | |
EXECUTE |
msdb |
SQLArcExtensionUserRole | |
| db_datawriter, роль | msdb |
SQLArcExtensionUserRole | |
| db_datareader, роль | msdb |
SQLArcExtensionUserRole | |
| Обнаружение группы доступности | VIEW ANY DEFINITION |
Уровень сервера | SQLArcExtensionServerRole |
| Отработка отказа группы доступности | ALTER ANY AVAILABILITY GROUP |
Уровень сервера | SQLArcExtensionServerRole |
| Purview | SELECT |
Все базы данных | SQLArcExtensionUserRole |
EXECUTE |
Все базы данных | SQLArcExtensionUserRole | |
| Оценка миграции | EXECUTE dbo.agent_datetime |
msdb |
SQLArcExtensionUserRole |
SELECT dbo.sysjobs |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysmail_account |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysmail_profile |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysmail_profileaccount |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.syssubsystems |
msdb |
SQLArcExtensionUserRole | |
SELECT sys.sql_expression_dependencies |
Все базы данных | SQLArcExtensionUserRole |
Запуск с минимальными привилегиями
Чтобы запустить расширение Azure для SQL Server с минимальными привилегиями, следуйте инструкциям Operate SQL Server, включенным Azure Arc с минимальными привилегиями.
В настоящее время минимальная конфигурация привилегий не является стандартной.