Configuración de cuentas y permisos de servicio de Windows para la extensión de Azure para SQL Server
Se aplica a:
SQL Server
En este artículo se enumeran los permisos de extensión de Azure para los conjuntos de SQL Server para la NT Service\SQLServerExtension cuenta. Esta cuenta se usa al operar CON SQL Server habilitado por Azure Arc con privilegios mínimos.
Nota:
Los servidores existentes con la extensión de la versión de noviembre de 2024 o posterior tendrán aplicada automáticamente la configuración de privilegios mínimos. Esta aplicación se realizará gradualmente.
Para evitar la aplicación automática de privilegios mínimos, bloquee las actualizaciones de extensión a la versión de noviembre de 2024.
No se admite la configuración manual de los permisos de la cuenta del agente.
La extensión establece permisos al habilitar características en Azure Portal. Si no habilita una característica, la extensión no establece los permisos para esa característica. Si deshabilita una característica, la extensión quita los permisos.
Los permisos de SQL enumeran los permisos asociados a las características que concede la extensión cuando se habilitan las características.
Nota:
NT Authority\System debe tener acceso para modificar permisos en directorios enumerados y claves del Registro. Esto es necesario para que NT Authority\System pueda conceder acceso necesario para NT Service\SqlServerExtension tener en cuenta el modo de privilegios mínimos.
Permisos del directorio
| Ruta de acceso del directorio | Permisos necesarios | Detalles | Característica |
|---|---|---|---|
<SystemDrive>\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SQLServer |
Control total | Archivos DLL y exe relacionados con la extensión. | Valor predeterminado |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\RuntimeSettings |
Control total | Archivo de configuración de extensión. | Valor predeterminado |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status |
Control total | Archivo de estado de extensión. | Valor predeterminado |
C:\ProgramData\GuestConfig\extension_logs\Microsoft.AzureData.WindowsAgent.SqlServer |
Control total | Archivos de registro de extensión. | Valor predeterminado |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status\HeartBeat.Json |
Control total | Archivo de latido de extensión. | Valor predeterminado |
%ProgramFiles%\Sql Server Extension |
Control total | Archivos de servicio de extensión. | Valor predeterminado |
<SystemDrive>\Windows\system32\extensionUpload |
Control total | Necesario para escribir el archivo de uso necesario para la facturación. | Valor predeterminado |
<SystemDrive>\Windows\system32\ExtensionHandler.log |
Control total | Carpeta anterior al registro creada por extensión. | Valor predeterminado |
<ProgramData>\AzureConnectedMachineAgent\Config |
Lectura | Directorio de archivos de configuración de Arc. | Valor predeterminado |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft SQL Server Extension Agent |
Control total | Necesario para escribir informes de evaluación y estado. | Valor predeterminado |
Directorio de registro de SQL (como se establece en el Registro) 1:C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\log |
Lectura | Necesario para extraer información de núcleos virtuales de SQL de los registros de SQL. | Valor predeterminado |
Directorio de copia de seguridad de SQL (como se establece en el Registro) 1:C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\Backup |
ReadAndExecute/Write /Delete | Necesario para las copias de seguridad | Backup |
1 Para obtener más información, vea Ubicaciones de archivos y asignación del Registro.
Permisos del Registro
Clave base: HKEY_LOCAL_MACHINE
| Clave del Registro | Permiso necesario | Detalles | Característica |
|---|---|---|---|
SOFTWARE\Microsoft\Microsoft SQL Server |
Lectura | Lea las propiedades de SQL Server como installedInstances. |
Valor predeterminado |
SOFTWARE\Microsoft\Microsoft SQL Server\<InstanceRegistryName>\MSSQLSERVER |
Control total | Microsoft Entra ID y Purview. | Microsoft Entra ID Purview |
SOFTWARE\Microsoft\SystemCertificates |
Control total | Se requiere para el identificador de Entra de Microsoft. | Microsoft Entra ID |
SYSTEM\CurrentControlSet\Services |
Lectura | Nombre de la cuenta de SQL Server. | Valor predeterminado |
SOFTWARE\Microsoft\AzureDefender\SQL |
Lectura | Estado de Azure Defender y hora de última actualización. | Valor predeterminado |
SOFTWARE\Microsoft\SqlServerExtension |
Control total | Valores relacionados con la extensión. | Valor predeterminado |
SOFTWARE\Policies\Microsoft\Windows |
Lectura y escritura | Habilitación de la actualización automática de Windows a través de la extensión. | Actualizaciones automáticas |
Permisos de grupo
NT Service\SQLServerExtension se agrega a las aplicaciones de extensión del agente híbrido. Esto permite que el protocolo de enlace de Azure Instance Metadata Service (IMDS) recupere el token de identidad administrada de recursos de máquina necesario para comunicarse con los servicios del plano de datos de Azure, como el servicio de procesamiento de datos (DPS) y el punto de conexión de telemetría para el uso de facturación, los registros de extensión y la recopilación de datos del panel de supervisión.
Permisos de SQL
NT Service\SQLServerExtension se agrega:
- Como inicio de sesión de SQL en todas las instancias presentes actualmente en la máquina
- Como usuario de cada base de datos
La extensión también concede permisos a los objetos de instancia y de base de datos a medida que se habilitan las características. En la tabla siguiente se proporcionan detalles.
Nota:
Los permisos mínimos dependen de las características habilitadas. Los permisos se actualizan cuando ya no son necesarios. Se conceden permisos necesarios cuando se habilitan las características.
Privilegios de SQL por característica
Requisitos mínimos del sistema
Estos permisos son necesarios para el nivel básico de funcionalidad que proporciona la extensión de Azure para SQL Server y se debe aplicar.
| Tipo de objeto | Nombre de base de datos o objeto | Privilegio |
|---|---|---|
| Base de datos | Maestro | VIEW DATABASE STATE |
| Base de datos | Msdb | ALTER ANY SCHEMA |
| Base de datos | Msdb | CREATE TABLE |
| Base de datos | Msdb | CREATE TYPE |
| Base de datos | Msdb | DB DATA READER |
| Base de datos | Msdb | DB DATA WRITER |
| Base de datos | Msdb | EXECUTE |
| Base de datos | Msdb | SELECT dbo.backupfile |
| Base de datos | Msdb | SELECT dbo.backupmediaset |
| Base de datos | Msdb | SELECT dbo.backupmediafamily |
| Base de datos | Msdb | SELECT dbo.backupset |
| Base de datos | Msdb | SELECT dbo.syscategories |
| Base de datos | Msdb | SELECT dbo.sysjobactivity |
| Base de datos | Msdb | SELECT dbo.sysjobhistory |
| Base de datos | Msdb | SELECT dbo.sysjobs |
| Base de datos | Msdb | SELECT dbo.sysjobsteps |
| Base de datos | Msdb | SELECT dbo.syssessions |
| Base de datos | Msdb | SELECT dbo.sysoperators |
| Base de datos | Msdb | SELECT dbo.suspectpages |
| Servidor | CONNECT ANY DATABASE |
|
| Servidor | CONNECT SQL |
|
| Servidor | VIEW ANY DATABASE |
|
| Servidor | VIEW ANY DEFINITION |
|
| Servidor | VIEW SERVER STATE |
Evaluación de procedimientos recomendados
La evaluación de procedimientos recomendados está deshabilitada de forma predeterminada. Si está habilitado, estos permisos se concederán automáticamente si aún no se les conceden.
| Tipo de objeto | Nombre de base de datos o objeto | Privilegio |
|---|---|---|
| Base de datos | Maestro | SELECT |
| Base de datos | Maestro | VIEW DATABASE STATE |
| Base de datos | Msdb | SELECT |
| Servidor | VIEW ANY DATABASE |
|
| Servidor | VIEW ANY DEFINITION |
|
| Servidor | VIEW SERVER STATE |
|
| StoredProcedure | EnumErrorLogsSP | EXECUTE |
| StoredProcedure | ReadErrorLogsSP | EXECUTE |
Backup
Las copias de seguridad automatizadas están deshabilitadas de forma predeterminada. Se concederán permisos de copia de seguridad a cualquier base de datos para la que estén habilitadas las copias de seguridad. La habilitación de la característica de copia de seguridad también habilita la característica de restauración a un momento dado, por lo que también se concede el permiso para crear una base de datos.
| Tipo de objeto | Nombre de base de datos o objeto | Privilegio |
|---|---|---|
| Base de datos | Todas las bases de datos | DB BACKUP OPERATOR |
| Servidor | CREATE ANY DATABASE |
|
| Servidor | Maestro | DB CREATOR |
Grupos de disponibilidad
Las características de administración y detección de grupos de disponibilidad, como la conmutación por error, están habilitadas de forma predeterminada, pero se pueden deshabilitar a través de la marca de característica de AvailabilityGroupDiscovery.
| Tipo de objeto | Nombre de base de datos o objeto | Privilegio |
|---|---|---|
| Servidor | ALTER ANY AVAILABILITY GROUP |
|
| Servidor | VIEW ANY DEFINITION |
Purview
Las características de Purview están deshabilitadas de forma predeterminada.
| Tipo de objeto | Nombre de base de datos o objeto | Privilegio |
|---|---|---|
| Base de datos | Todas las bases de datos | EXECUTE |
| Base de datos | Todas las bases de datos | SELECT |
| Servidor | CONNECT ANY DATABASE |
|
| Servidor | VIEW ANY DATABASE |
Evaluación de la migración
Las evaluaciones de migración están habilitadas de forma predeterminada. Si la característica está deshabilitada, los permisos siguientes se quitarán a menos que otras características habilitadas las requieran.
| Tipo de objeto | Nombre de base de datos o objeto | Privilegio |
|---|---|---|
| Base de datos | Todas las bases de datos | SELECT sys.sqlexpressiondependencies |
| Base de datos | Msdb | EXECUTE dbo.agentdatetime |
| Base de datos | Msdb | SELECT dbo.syscategories |
| Base de datos | Msdb | SELECT dbo.sysjobhistory |
| Base de datos | Msdb | SELECT dbo.sysjobs |
| Base de datos | Msdb | SELECT dbo.sysjobsteps |
| Base de datos | Msdb | SELECT dbo.sysmailaccount |
| Base de datos | Msdb | SELECT dbo.sysmailprofile |
| Base de datos | Msdb | SELECT dbo.sysmailprofileaccount |
| Base de datos | Msdb | SELECT dbo.syssubsystems |
Permisos adicionales
- Permisos para la cuenta de servicio para acceder al servicio de extensión y configurar la conmutación automática.
- Derechos de inicio de sesión como servicio para la cuenta de servicio.