Role vytvořené rozšířením Azure pro instalaci SQL Serveru
platí pro:
SQL Server
Tento článek obsahuje seznam rolí serveru a databází a mapování, které instalace rozšíření Azure pro SQL Server vytvoří.
Role
Když nainstalujete rozšíření Azure pro SQL Server, instalace:
Vytvoří roli na úrovni serveru: SQLArcExtensionServerRole
Vytvoří roli na úrovni databáze: SQLArcExtensionUserRole
Přidá účet NT AUTHORITY\SYSTEM* ke každé roli.
Mapuje NT AUTHORITY\SYSTEM* na úrovni databáze pro každou databázi.
Uděluje minimální oprávnění pro povolené funkce.
*alternativně můžete nakonfigurovat SQL Server povolený službou Azure Arc tak, aby běžel v režimu s nejnižšími oprávněními (k dispozici ve verzi Preview). Podrobnosti najdete v tématu Provoz SQL Serveru povoleného službou Azure Arc s nejnižšími oprávněními (Preview).
Rozšíření Azure pro SQL Server navíc odvolá oprávnění pro tyto role, pokud už nejsou potřeba pro konkrétní funkce.
SqlServerExtensionPermissionProvider je úloha systému Windows. Když zjistí, uděluje nebo odvolá oprávnění v SQL Serveru:
- Na hostiteli se nainstaluje nová instance SQL Serveru.
- Instance SQL Serveru se odinstaluje z hostitele.
- Je povolená nebo zakázaná funkce na úrovni instance nebo se aktualizují nastavení.
- Služba rozšíření se restartuje.
Poznámka
Před verzí z července 2024 je SqlServerExtensionPermissionProvider naplánovanou úlohou. Běží každou hodinu.
Podrobnosti najdete v tématu Konfigurace účtů a oprávnění služby Windows pro rozšíření Azure pro SQL Server.
Pokud odinstalujete rozšíření Azure pro SQL Server, role na úrovni serveru a databáze se odeberou.
Dovolení
| Rys | Povolení | Úroveň | Role |
|---|---|---|---|
| Výchozí | ZOBRAZIT STAV SERVERU | Úroveň serveru | SQLArcExtensionServerRole |
| CONNECT SQL | Úroveň serveru | SQLArcExtensionServerRole | |
| ZOBRAZIT JAKOUKOLI DEFINICI | Úroveň serveru | SQLArcExtensionServerRole | |
| ZOBRAZIT LIBOVOLNOU DATABÁZI | Úroveň serveru | SQLArcExtensionServerRole | |
| PŘIPOJENÍ JAKÉKOLI DATABÁZE | Úroveň serveru | SQLArcExtensionServerRole | |
| SELECT dbo.sysjobactivity | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.sysjobs | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.syssessions | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.sysjobHistory | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.sysjobSteps | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.syscategories | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.sysoperators | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.suspectpages | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.backupset | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.backupmediaset | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.backupmediafamily | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.backupfile | msdb | SQLArcExtensionUserRole | |
| Zálohování | VYTVOŘENÍ JAKÉKOLI DATABÁZE | Úroveň serveru | SQLArcExtensionServerRole |
| role db_backupoperator | Všechny databáze | SQLArcExtensionUserRole | |
| dbcreator | Úroveň serveru | SQLArcExtensionServerRole | |
| Řídicí rovina Azure | CREATE TABLE | msdb | SQLArcExtensionUserRole |
| ALTER ANY SCHEMA | msdb | SQLArcExtensionUserRole | |
| VYTVOŘIT TYP | msdb | SQLArcExtensionUserRole | |
| PROVÉST | msdb | SQLArcExtensionUserRole | |
| role db_datawriter | msdb | SQLArcExtensionUserRole | |
| role db_datareader | msdb | SQLArcExtensionUserRole | |
| Zjišťování skupin dostupnosti | ZOBRAZIT JAKOUKOLI DEFINICI | Úroveň serveru | SQLArcExtensionServerRole |
| Převzetí služeb při selhání skupiny dostupnosti | ALTER ANY AVAILABILITY GROUP | Úroveň serveru | SQLArcExtensionServerRole |
| Kompetence | VYBRAT | Všechny databáze | SQLArcExtensionUserRole |
| PROVÉST | Všechny databáze | SQLArcExtensionUserRole | |
| Posouzení migrace | EXECUTE dbo.agent_datetime | msdb | SQLArcExtensionUserRole |
| SELECT dbo.sysjobs | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.sysmail_account | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.sysmail_profile | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.sysmail_profileaccount | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.syssubsystems | msdb | SQLArcExtensionUserRole | |
| SELECT sys.sql_expression_dependencies | Všechny databáze | SQLArcExtensionUserRole |
Spuštění s nejnižšími oprávněními
Pokud chcete spustit rozšíření Azure pro SQL Server s nejnižšími oprávněními, postupujte podle pokynů v tématu Provoz SQL Serveru povoleného službou Azure Arc s nejnižšími oprávněními.
V tuto chvíli není výchozí konfigurace nejnižších oprávnění.