SQL Server용 Azure 확장에 대한 Windows 서비스 계정 및 권한 구성
적용 대상: SQL Server
이 문서에서는 계정에 대해 SQL Server에 대한 Azure 확장이 설정하는 권한을 나열합니다 NT Service\SQLServerExtension
. 이 계정은 최소 권한으로 Azure Arc에서 SQL Server를 사용하도록 설정한 경우에 사용됩니다.
참고 항목
2024년 11월 릴리스 이후의 확장 기능이 있는 기존 서버에는 최소 권한 구성이 자동으로 적용됩니다. 이 애플리케이션은 점진적으로 발생합니다.
최소 권한의 자동 적용을 방지하려면 2024년 11월 릴리즈로 확장 업그레이드를 차단합니다.
에이전트 계정에 대한 사용 권한을 수동으로 설정하는 것은 지원되지 않습니다.
확장은 Azure Portal에서 기능을 사용하도록 설정할 때 사용 권한을 설정합니다. 기능을 사용하도록 설정하지 않으면 확장에서 해당 기능에 대한 사용 권한을 설정하지 않습니다. 기능을 사용하지 않도록 설정하면 확장에서 사용 권한이 제거됩니다.
SQL 권한에는 기능을 사용하도록 설정할 때 확장에서 부여하는 기능에 연결된 사용 권한이 나열됩니다.
참고 항목
NT Authority\System
는 나열된 디렉터리 및 레지스트리 키에 대한 권한을 수정할 수 있는 액세스 권한이 있어야 합니다. 최소 권한 모드를 고려하는 데 필요한 액세스 권한을 부여할 NT Service\SqlServerExtension
수 있도록 NT Authority\System
이 작업이 필요합니다.
디렉터리 권한
디렉터리 경로 | 필요한 사용 권한 | 세부 정보 | 기능 |
---|---|---|---|
<SystemDrive>\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SQLServer |
모든 권한 | 확장 관련 dll 및 exe 파일. | 기본값 |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\RuntimeSettings |
모든 권한 | 확장 설정 파일입니다. | 기본값 |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status |
모든 권한 | 확장 상태 파일입니다. | 기본값 |
C:\ProgramData\GuestConfig\extension_logs\Microsoft.AzureData.WindowsAgent.SqlServer |
모든 권한 | 확장 로그 파일. | 기본값 |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status\HeartBeat.Json |
모든 권한 | 확장자 하트비트 파일입니다. | 기본값 |
%ProgramFiles%\Sql Server Extension |
모든 권한 | 확장 서비스 파일. | 기본값 |
<SystemDrive>\Windows\system32\extensionUpload |
모든 권한 | 청구에 필요한 사용량 파일을 작성하는 데 필요합니다. | 기본값 |
<SystemDrive>\Windows\system32\ExtensionHandler.log |
모든 권한 | 확장에 의해 만들어진 사전 로그 폴더입니다. | 기본값 |
<ProgramData>\AzureConnectedMachineAgent\Config |
읽기 | Arc 구성 파일 디렉터리입니다. | 기본값 |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft SQL Server Extension Agent |
모든 권한 | 평가 보고서 및 상태를 작성하는 데 필요합니다. | 기본값 |
SQL 로그 디렉터리(레지스트리에 설정된 대로) 1:C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\log |
읽기 | SQL 로그에서 SQL vCore 정보를 추출하는 데 필요합니다. | 기본값 |
SQL 백업 디렉터리(레지스트리에 설정된 대로) 1:C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\Backup |
ReadAndExecute/Write /Delete | 백업에 필요 | Backup |
1 자세한 내용은 파일 위치 및 레지스트리 매핑을 참조하세요.
레지스트리 권한
기본 키: HKEY_LOCAL_MACHINE
레지스트리 키 | 필요한 권한 | 세부 정보 | 기능 |
---|---|---|---|
SOFTWARE\Microsoft\Microsoft SQL Server |
읽기 | 와 같은 installedInstances SQL Server 속성을 읽습니다. |
기본값 |
SOFTWARE\Microsoft\Microsoft SQL Server\<InstanceRegistryName>\MSSQLSERVER |
모든 권한 | Microsoft Entra ID 및 Purview. | Microsoft Entra ID Purview |
SOFTWARE\Microsoft\SystemCertificates |
모든 권한 | Microsoft Entra ID에 필요합니다. | Microsoft Entra ID |
SYSTEM\CurrentControlSet\Services |
읽기 | SQL Server 계정 이름입니다. | 기본값 |
SOFTWARE\Microsoft\AzureDefender\SQL |
읽기 | Azure Defender 상태 및 마지막 업데이트 시간입니다. | 기본값 |
SOFTWARE\Microsoft\SqlServerExtension |
모든 권한 | 확장 관련 값입니다. | 기본값 |
SOFTWARE\Policies\Microsoft\Windows |
읽기 및 쓰기 | 확장을 통해 자동 창 업데이트를 사용하도록 설정합니다. | 자동 업데이트 |
그룹 권한
NT Service\SQLServerExtension
는 하이브리드 에이전트 확장 애플리케이션에 추가됩니다. AZURE IMDS(Instance Metadata Service) 핸드셰이크를 지원합니다.
SQL 사용 권한
NT Service\SQLServerExtension
가 추가되었습니다.
- 컴퓨터에 현재 있는 모든 인스턴스에 대한 SQL 로그인으로
- 각 데이터베이스의 사용자로
또한 기능을 사용하도록 설정하면 확장에서 인스턴스 및 데이터베이스 개체에 대한 사용 권한을 부여합니다. 아래 표에서는 세부 정보를 제공합니다.
기능 | Permission | 수준 | 요건 |
---|---|---|---|
기본값 | VIEW DATABASE STATE |
서버 수준 | Essential |
VIEW SERVER STATE |
서버 수준 | Essential | |
CONNECT SQL |
서버 수준 | Essential | |
리소스로서의 데이터베이스 | 기본 공용 역할 | 서버 수준(새로 추가된 로그인에 기본적으로 부여됨) | Essential |
모범 사례 평가 | VIEW ANY DEFINITION |
서버 수준 | 기능 종속 |
VIEW ANY DATABASE |
서버 수준 | 기능 종속 | |
SELECT |
master |
기능 종속 | |
SELECT |
msdb |
기능 종속 | |
EXECUTE ON sys.xp_enumerrorlogs |
master |
기능 종속 | |
EXECUTE ON sys.xp_readerrorlog |
master |
기능 종속 | |
Backup | CREATE ANY DATABASE |
서버 수준 | 기능 종속 |
db_backupoperator 역할 | 모든 데이터베이스 | 기능 종속 | |
dbcreator | 서버 역할 | 기능 종속 | |
Azure 컨트롤 플레인 | CREATE TABLE |
msdb |
Essential |
ALTER ANY SCHEMA |
msdb |
Essential | |
CREATE TYPE |
msdb |
Essential | |
EXECUTE |
msdb |
Essential | |
db_datawriter 역할 | msdb |
기능 종속 | |
db_datareader 역할 | msdb |
기능 종속 | |
가용성 그룹 검색 | VIEW ANY DEFINITION |
서버 수준 | Essential |
Purview | SELECT |
모든 데이터베이스 | 기능 종속 |
EXECUTE |
모든 데이터베이스 | 기능 종속 | |
CONNECT ANY DATABASE |
서버 수준 | 기능 종속 | |
VIEW ANY DATABASE |
서버 수준 | 기능 종속 | |
Monitoring | SELECT dbo.sysjobactivity |
msdb |
Essential |
SELECT dbo.sysjobs |
msdb |
Essential | |
SELECT dbo.syssessions |
msdb |
Essential | |
SELECT dbo.sysjobHistory |
msdb |
Essential | |
SELECT dbo.sysjobSteps |
msdb |
Essential | |
SELECT dbo.syscategories |
msdb |
Essential | |
SELECT dbo.sysoperators |
msdb |
Essential | |
SELECT dbo.suspectpages |
msdb |
Essential | |
SELECT dbo.backupset |
msdb |
Essential | |
SELECT dbo.backupmediaset |
msdb |
Essential | |
SELECT dbo.backupmediafamily |
msdb |
Essential | |
SELECT dbo.backupfile |
msdb |
Essential | |
CONNECT ANY DATABASE |
서버 수준 | Essential | |
VIEW ANY DATABASE |
서버 수준 | Essential | |
VIEW ANY DEFINITION |
서버 수준 | Essential | |
마이그레이션 평가 | EXECUTE dbo.agent_datetime |
msdb |
Essential |
SELECT dbo.syscategories |
msdb |
Essential | |
SELECT dbo.sysjobHistory |
msdb |
Essential | |
SELECT dbo.sysjobs |
msdb |
Essential | |
SELECT dbo.sysjobSteps |
msdb |
Essential | |
SELECT dbo.sysmail_account |
msdb |
Essential | |
SELECT dbo.sysmail_profile |
msdb |
Essential | |
SELECT dbo.sysmail_profileaccount |
msdb |
Essential | |
SELECT dbo.syssubsystems |
msdb |
Essential | |
SELECT sys.sql_expression_dependencies |
모든 데이터베이스 | Essential |
참고 항목
최소 권한은 사용 가능한 기능에 따라 달라집니다. 사용 권한은 더 이상 필요하지 않은 경우 업데이트됩니다. 기능을 사용하도록 설정하면 필요한 권한이 부여됩니다.
추가 권한
- 확장 서비스에 액세스하고 자동 복구를 구성하는 서비스 계정에 대한 권한입니다.
- 서비스 계정에 대한 서비스로 로그온 권한입니다.