SQL Server용 Azure 확장에 대한 Windows 서비스 계정 및 권한 구성
적용 대상:
SQL Server
이 문서에서는 계정에 대해 SQL Server에 대한 Azure 확장이 설정하는 권한을 나열합니다 NT Service\SQLServerExtension . 이 계정은 최소 권한으로 Azure Arc에서 SQL Server를 사용하도록 설정한 경우에 사용됩니다.
참고 항목
2024년 11월 릴리스 이후의 확장 기능이 있는 기존 서버에는 최소 권한 구성이 자동으로 적용됩니다. 이 애플리케이션은 점진적으로 발생합니다.
최소 권한의 자동 적용을 방지하려면 2024년 11월 릴리즈로 확장 업그레이드를 차단합니다.
에이전트 계정에 대한 사용 권한을 수동으로 설정하는 것은 지원되지 않습니다.
확장은 Azure Portal에서 기능을 사용하도록 설정할 때 사용 권한을 설정합니다. 기능을 사용하도록 설정하지 않으면 확장에서 해당 기능에 대한 사용 권한을 설정하지 않습니다. 기능을 사용하지 않도록 설정하면 확장에서 사용 권한이 제거됩니다.
SQL 권한에는 기능을 사용하도록 설정할 때 확장에서 부여하는 기능에 연결된 사용 권한이 나열됩니다.
참고 항목
NT Authority\System 는 나열된 디렉터리 및 레지스트리 키에 대한 권한을 수정할 수 있는 액세스 권한이 있어야 합니다. 최소 권한 모드를 고려하는 데 필요한 액세스 권한을 부여할 NT Authority\System 수 있도록 NT Service\SqlServerExtension 이 작업이 필요합니다.
디렉터리 권한
| 디렉터리 경로 | 필요한 사용 권한 | 세부 정보 | 기능 |
|---|---|---|---|
<SystemDrive>\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SQLServer |
모든 권한 | 확장 관련 dll 및 exe 파일. | 기본값 |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\RuntimeSettings |
모든 권한 | 확장 설정 파일입니다. | 기본값 |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status |
모든 권한 | 확장 상태 파일입니다. | 기본값 |
C:\ProgramData\GuestConfig\extension_logs\Microsoft.AzureData.WindowsAgent.SqlServer |
모든 권한 | 확장 로그 파일. | 기본값 |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status\HeartBeat.Json |
모든 권한 | 확장자 하트비트 파일입니다. | 기본값 |
%ProgramFiles%\Sql Server Extension |
모든 권한 | 확장 서비스 파일. | 기본값 |
<SystemDrive>\Windows\system32\extensionUpload |
모든 권한 | 청구에 필요한 사용량 파일을 작성하는 데 필요합니다. | 기본값 |
<SystemDrive>\Windows\system32\ExtensionHandler.log |
모든 권한 | 확장에 의해 만들어진 사전 로그 폴더입니다. | 기본값 |
<ProgramData>\AzureConnectedMachineAgent\Config |
읽기 | Arc 구성 파일 디렉터리입니다. | 기본값 |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft SQL Server Extension Agent |
모든 권한 | 평가 보고서 및 상태를 작성하는 데 필요합니다. | 기본값 |
SQL 로그 디렉터리(레지스트리에 설정된 대로) 1:C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\log |
읽기 | SQL 로그에서 SQL vCore 정보를 추출하는 데 필요합니다. | 기본값 |
SQL 백업 디렉터리(레지스트리에 설정된 대로) 1:C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\Backup |
ReadAndExecute/Write /Delete | 백업에 필요 | Backup |
1 자세한 내용은 파일 위치 및 레지스트리 매핑을 참조하세요.
레지스트리 권한
기본 키: HKEY_LOCAL_MACHINE
| 레지스트리 키 | 필요한 권한 | 세부 정보 | 기능 |
|---|---|---|---|
SOFTWARE\Microsoft\Microsoft SQL Server |
읽기 | 와 같은 installedInstancesSQL Server 속성을 읽습니다. |
기본값 |
SOFTWARE\Microsoft\Microsoft SQL Server\<InstanceRegistryName>\MSSQLSERVER |
모든 권한 | Microsoft Entra ID 및 Purview. | Microsoft Entra ID Purview |
SOFTWARE\Microsoft\SystemCertificates |
모든 권한 | Microsoft Entra ID에 필요합니다. | Microsoft Entra ID |
SYSTEM\CurrentControlSet\Services |
읽기 | SQL Server 계정 이름입니다. | 기본값 |
SOFTWARE\Microsoft\AzureDefender\SQL |
읽기 | Azure Defender 상태 및 마지막 업데이트 시간입니다. | 기본값 |
SOFTWARE\Microsoft\SqlServerExtension |
모든 권한 | 확장 관련 값입니다. | 기본값 |
SOFTWARE\Policies\Microsoft\Windows |
읽기 및 쓰기 | 확장을 통해 자동 창 업데이트를 사용하도록 설정합니다. | 자동 업데이트 |
그룹 권한
NT Service\SQLServerExtension 는 하이브리드 에이전트 확장 애플리케이션에 추가됩니다. 이렇게 하면 AZURE IMDS(Instance Metadata Service) 핸드셰이크를 통해 DPS(데이터 처리 서비스) 및 청구 사용량, 확장 로그 및 모니터링 대시보드 데이터 수집을 위한 원격 분석 엔드포인트와 같은 Azure 데이터 평면 서비스와 통신하는 데 필요한 Machine 리소스 관리 ID 토큰을 검색할 수 있습니다.
SQL 사용 권한
NT Service\SQLServerExtension 가 추가되었습니다.
- 컴퓨터에 현재 있는 모든 인스턴스에 대한 SQL 로그인으로
- 각 데이터베이스의 사용자로
또한 기능을 사용하도록 설정하면 확장에서 인스턴스 및 데이터베이스 개체에 대한 사용 권한을 부여합니다. 아래 표에서는 세부 정보를 제공합니다.
참고 항목
최소 권한은 사용 가능한 기능에 따라 달라집니다. 사용 권한은 더 이상 필요하지 않은 경우 업데이트됩니다. 기능을 사용하도록 설정하면 필요한 권한이 부여됩니다.
기능별 SQL 권한
최소 시스템 요구 사항
이러한 권한은 AZURE Extension for SQL Server에서 제공하는 기본 기능 수준에 필요하며 적용해야 합니다.
| 개체 형식 | 데이터베이스 또는 개체 이름 | 특권 |
|---|---|---|
| 데이터베이스 | 주 | VIEW DATABASE STATE |
| 데이터베이스 | Msdb | ALTER ANY SCHEMA |
| 데이터베이스 | Msdb | CREATE TABLE |
| 데이터베이스 | Msdb | CREATE TYPE |
| 데이터베이스 | Msdb | DB DATA READER |
| 데이터베이스 | Msdb | DB DATA WRITER |
| 데이터베이스 | Msdb | EXECUTE |
| 데이터베이스 | Msdb | SELECT dbo.backupfile |
| 데이터베이스 | Msdb | SELECT dbo.backupmediaset |
| 데이터베이스 | Msdb | SELECT dbo.backupmediafamily |
| 데이터베이스 | Msdb | SELECT dbo.backupset |
| 데이터베이스 | Msdb | SELECT dbo.syscategories |
| 데이터베이스 | Msdb | SELECT dbo.sysjobactivity |
| 데이터베이스 | Msdb | SELECT dbo.sysjobhistory |
| 데이터베이스 | Msdb | SELECT dbo.sysjobs |
| 데이터베이스 | Msdb | SELECT dbo.sysjobsteps |
| 데이터베이스 | Msdb | SELECT dbo.syssessions |
| 데이터베이스 | Msdb | SELECT dbo.sysoperators |
| 데이터베이스 | Msdb | SELECT dbo.suspectpages |
| 서버 | CONNECT ANY DATABASE |
|
| 서버 | CONNECT SQL |
|
| 서버 | VIEW ANY DATABASE |
|
| 서버 | VIEW ANY DEFINITION |
|
| 서버 | VIEW SERVER STATE |
모범 사례 평가
모범 사례 평가는 기본적으로 사용하지 않도록 설정됩니다. 활성화된 경우 이러한 권한은 아직 부여되지 않은 경우 자동으로 부여됩니다.
| 개체 형식 | 데이터베이스 또는 개체 이름 | 특권 |
|---|---|---|
| 데이터베이스 | 주 | SELECT |
| 데이터베이스 | 주 | VIEW DATABASE STATE |
| 데이터베이스 | Msdb | SELECT |
| 서버 | VIEW ANY DATABASE |
|
| 서버 | VIEW ANY DEFINITION |
|
| 서버 | VIEW SERVER STATE |
|
| StoredProcedure | EnumErrorLogsSP | EXECUTE |
| StoredProcedure | ReadErrorLogsSP | EXECUTE |
Backup
자동화된 백업은 기본적으로 사용하지 않도록 설정됩니다. 백업을 사용하도록 설정된 모든 데이터베이스에 백업 권한이 부여됩니다. 백업 기능을 사용하도록 설정하면 지정 시간 복원 기능도 사용할 수 있으므로 데이터베이스를 만들 수 있는 권한도 부여됩니다.
| 개체 형식 | 데이터베이스 또는 개체 이름 | 특권 |
|---|---|---|
| 데이터베이스 | 모든 데이터베이스 | DB BACKUP OPERATOR |
| 서버 | CREATE ANY DATABASE |
|
| 서버 | 주 | DB CREATOR |
가용성 그룹
가용성 그룹 검색 및 장애 조치(failover)와 같은 관리 기능은 기본적으로 사용하도록 설정되어 있지만 AvailabilityGroupDiscovery 기능 플래그를 통해 사용하지 않도록 설정할 수 있습니다.
| 개체 형식 | 데이터베이스 또는 개체 이름 | 특권 |
|---|---|---|
| 서버 | ALTER ANY AVAILABILITY GROUP |
|
| 서버 | VIEW ANY DEFINITION |
Purview
Purview 기능은 기본적으로 사용하지 않도록 설정됩니다.
| 개체 형식 | 데이터베이스 또는 개체 이름 | 특권 |
|---|---|---|
| 데이터베이스 | 모든 데이터베이스 | EXECUTE |
| 데이터베이스 | 모든 데이터베이스 | SELECT |
| 서버 | CONNECT ANY DATABASE |
|
| 서버 | VIEW ANY DATABASE |
마이그레이션 평가
마이그레이션 평가는 기본적으로 사용하도록 설정됩니다. 기능을 사용하지 않도록 설정하면 사용 가능한 다른 기능이 필요하지 않으면 아래 권한이 제거됩니다.
| 개체 형식 | 데이터베이스 또는 개체 이름 | 특권 |
|---|---|---|
| 데이터베이스 | 모든 데이터베이스 | SELECT sys.sqlexpressiondependencies |
| 데이터베이스 | Msdb | EXECUTE dbo.agentdatetime |
| 데이터베이스 | Msdb | SELECT dbo.syscategories |
| 데이터베이스 | Msdb | SELECT dbo.sysjobhistory |
| 데이터베이스 | Msdb | SELECT dbo.sysjobs |
| 데이터베이스 | Msdb | SELECT dbo.sysjobsteps |
| 데이터베이스 | Msdb | SELECT dbo.sysmailaccount |
| 데이터베이스 | Msdb | SELECT dbo.sysmailprofile |
| 데이터베이스 | Msdb | SELECT dbo.sysmailprofileaccount |
| 데이터베이스 | Msdb | SELECT dbo.syssubsystems |
추가 권한
- 확장 서비스에 액세스하고 자동 복구를 구성하는 서비스 계정에 대한 권한입니다.
- 서비스 계정에 대한 서비스로 로그온 권한입니다.