Configurar contas de serviço e permissões do Windows para a extensão do Azure para SQL Server
Aplica-se:
SQL Server
Este artigo lista as permissões da extensão do Azure para conjuntos do SQL Server para a NT Service\SQLServerExtension conta. Essa conta é usada quando você opera o SQL Server habilitado pelo Azure Arc com privilégios mínimos.
Observação
Os servidores existentes com a extensão da versão de novembro de 2024 ou posterior terão a configuração com privilégios mínimos aplicada. A aplicação acontecerá de forma gradual.
Bloqueie as atualizações de extensão para a versão de novembro de 2024 ou posterior para evitar a aplicação automática de privilégios mínimos.
Não há suporte para a configuração manual das permissões para a conta do agente.
A extensão define permissões quando você habilita recursos no portal do Azure. Se você não habilitar um recurso, a extensão não definirá as permissões para esse recurso. Se você desabilitar um recurso, a extensão removerá as permissões.
As permissões do SQL listam as permissões vinculadas aos recursos que a extensão concede quando os recursos estão habilitados.
Observação
NT Authority\System Deve ter acesso para modificar permissões em diretórios listados e chaves do Registro. Isso é necessário para que NT Authority\System possa conceder o acesso necessário à NT Service\SqlServerExtension conta para o modo de privilégios mínimos.
Permissões do diretório
| Caminho do diretório | Permissões necessárias | Detalhes | Recurso |
|---|---|---|---|
<SystemDrive>\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SQLServer |
Controle total | Arquivos dlls e exe relacionados à extensão. | Padrão |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\RuntimeSettings |
Controle total | Arquivo de configurações de extensão. | Padrão |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status |
Controle total | Arquivo de status da extensão. | Padrão |
C:\ProgramData\GuestConfig\extension_logs\Microsoft.AzureData.WindowsAgent.SqlServer |
Controle total | Arquivos de log de extensão. | Padrão |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status\HeartBeat.Json |
Controle total | Arquivo de pulsação de extensão. | Padrão |
%ProgramFiles%\Sql Server Extension |
Controle total | Arquivos de serviço de extensão. | Padrão |
<SystemDrive>\Windows\system32\extensionUpload |
Controle total | Necessário para gravar o arquivo de uso necessário para o faturamento. | Padrão |
<SystemDrive>\Windows\system32\ExtensionHandler.log |
Controle total | Pasta de pré-log criada por extensão. | Padrão |
<ProgramData>\AzureConnectedMachineAgent\Config |
Ler | Diretório de arquivos de configuração do Arc. | Padrão |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft SQL Server Extension Agent |
Controle total | Necessário para escrever relatórios de avaliação e status. | Padrão |
Diretório de log SQL (conforme definido no registro) 1:C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\log |
Ler | Necessário para extrair informações do SQL vCores dos logs do SQL. | Padrão |
Diretório de backup SQL (conforme definido no registro) 1:C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\Backup |
Ler e Executar/Gravar / Excluir | Necessário para backups | Backup |
1 Para obter mais informações, consulte Locais de arquivos e mapeamento do Registro.
Permissões de Registro
Chave base: HKEY_LOCAL_MACHINE
| Chave do Registro | Permissão necessária | Detalhes | Recurso |
|---|---|---|---|
SOFTWARE\Microsoft\Microsoft SQL Server |
Ler | Leia as propriedades do SQL Server como installedInstances. |
Padrão |
SOFTWARE\Microsoft\Microsoft SQL Server\<InstanceRegistryName>\MSSQLSERVER |
Controle total | ID e Purview do Microsoft Entra. | ID do Microsoft Entra Purview |
SOFTWARE\Microsoft\SystemCertificates |
Controle total | Necessário para a ID do Microsoft Entra. | ID do Microsoft Entra |
SYSTEM\CurrentControlSet\Services |
Ler | Nome da conta do SQL Server. | Padrão |
SOFTWARE\Microsoft\AzureDefender\SQL |
Ler | Status do Azure Defender e hora da última atualização. | Padrão |
SOFTWARE\Microsoft\SqlServerExtension |
Controle total | Valores relacionados à extensão. | Padrão |
SOFTWARE\Policies\Microsoft\Windows |
Ler e Gravar | Habilitando a atualização automática do Windows via extensão. | Atualizações automáticas |
Permissões de grupo
NT Service\SQLServerExtension é adicionado aos aplicativos de extensão de agente híbrido. Isso permite que o handshake do Serviço de Metadados de Instância do Azure (IMDS) recupere o token de identidade gerenciada do recurso machine necessário para se comunicar com os serviços do plano de dados do Azure, como o DPS (Serviço de Processamento de Dados) e o ponto de extremidade de telemetria para uso de cobrança, logs de extensão e coleta de dados do painel de monitoramento.
Permissões de SQL
NT Service\SQLServerExtension É aditado o seguinte:
- Como um login SQL para todas as instâncias presentes atualmente na máquina
- Como usuário em cada banco de dados
A extensão também concede permissões para objetos de instância e banco de dados à medida que os recursos são habilitados. A tabela abaixo fornece detalhes.
Observação
As permissões mínimas dependem dos recursos habilitados. As permissões são atualizadas quando não são mais necessárias. As permissões necessárias são concedidas quando os recursos são habilitados.
Privilégios do SQL por recurso
Requisitos mínimos do sistema
Essas permissões são necessárias para o nível básico de funcionalidade fornecido pela Extensão do Azure para SQL Server e devem ser aplicadas.
| Tipo de objeto | Nome do banco de dados ou objeto | Privilégio |
|---|---|---|
| Base de dados | Senhor | VIEW DATABASE STATE |
| Base de dados | Msdb | ALTER ANY SCHEMA |
| Base de dados | Msdb | CREATE TABLE |
| Base de dados | Msdb | CREATE TYPE |
| Base de dados | Msdb | DB DATA READER |
| Base de dados | Msdb | DB DATA WRITER |
| Base de dados | Msdb | EXECUTE |
| Base de dados | Msdb | SELECT dbo.backupfile |
| Base de dados | Msdb | SELECT dbo.backupmediaset |
| Base de dados | Msdb | SELECT dbo.backupmediafamily |
| Base de dados | Msdb | SELECT dbo.backupset |
| Base de dados | Msdb | SELECT dbo.syscategories |
| Base de dados | Msdb | SELECT dbo.sysjobactivity |
| Base de dados | Msdb | SELECT dbo.sysjobhistory |
| Base de dados | Msdb | SELECT dbo.sysjobs |
| Base de dados | Msdb | SELECT dbo.sysjobsteps |
| Base de dados | Msdb | SELECT dbo.syssessions |
| Base de dados | Msdb | SELECT dbo.sysoperators |
| Base de dados | Msdb | SELECT dbo.suspectpages |
| Servidor | CONNECT ANY DATABASE |
|
| Servidor | CONNECT SQL |
|
| Servidor | VIEW ANY DATABASE |
|
| Servidor | VIEW ANY DEFINITION |
|
| Servidor | VIEW SERVER STATE |
Avaliação de práticas recomendadas
A avaliação de práticas recomendadas é desabilitada por padrão. Se estiver habilitado, essas permissões serão concedidas automaticamente se ainda não forem concedidas.
| Tipo de objeto | Nome do banco de dados ou objeto | Privilégio |
|---|---|---|
| Base de dados | Senhor | SELECT |
| Base de dados | Senhor | VIEW DATABASE STATE |
| Base de dados | Msdb | SELECT |
| Servidor | VIEW ANY DATABASE |
|
| Servidor | VIEW ANY DEFINITION |
|
| Servidor | VIEW SERVER STATE |
|
| StoredProcedure | EnumErrorLogsSP | EXECUTE |
| StoredProcedure | ReadErrorLogsSP | EXECUTE |
Backup
Os backups automatizados são desabilitados por padrão. As permissões de backup serão concedidas a qualquer banco de dados para o qual os backups estão habilitados. Habilitar o recurso de backup também habilita o recurso de restauração pontual, portanto, a permissão para criar um banco de dados também é concedida.
| Tipo de objeto | Nome do banco de dados ou objeto | Privilégio |
|---|---|---|
| Base de dados | Todos os bancos de dados | DB BACKUP OPERATOR |
| Servidor | CREATE ANY DATABASE |
|
| Servidor | Senhor | DB CREATOR |
Grupos de Disponibilidade
Os recursos de descoberta e gerenciamento do Grupo de Disponibilidade, como failover, são habilitados por padrão, mas podem ser desabilitados por meio do sinalizador de recurso AvailabilityGroupDiscovery.
| Tipo de objeto | Nome do banco de dados ou objeto | Privilégio |
|---|---|---|
| Servidor | ALTER ANY AVAILABILITY GROUP |
|
| Servidor | VIEW ANY DEFINITION |
Purview
Os recursos do Purview são desabilitados por padrão.
| Tipo de objeto | Nome do banco de dados ou objeto | Privilégio |
|---|---|---|
| Base de dados | Todos os bancos de dados | EXECUTE |
| Base de dados | Todos os bancos de dados | SELECT |
| Servidor | CONNECT ANY DATABASE |
|
| Servidor | VIEW ANY DATABASE |
Avaliação de Migração
As Avaliações de Migração são habilitadas por padrão. Se o recurso estiver desabilitado, as permissões abaixo serão removidas, a menos que outros recursos habilitados exijam.
| Tipo de objeto | Nome do banco de dados ou objeto | Privilégio |
|---|---|---|
| Base de dados | Todos os bancos de dados | SELECT sys.sqlexpressiondependencies |
| Base de dados | Msdb | EXECUTE dbo.agentdatetime |
| Base de dados | Msdb | SELECT dbo.syscategories |
| Base de dados | Msdb | SELECT dbo.sysjobhistory |
| Base de dados | Msdb | SELECT dbo.sysjobs |
| Base de dados | Msdb | SELECT dbo.sysjobsteps |
| Base de dados | Msdb | SELECT dbo.sysmailaccount |
| Base de dados | Msdb | SELECT dbo.sysmailprofile |
| Base de dados | Msdb | SELECT dbo.sysmailprofileaccount |
| Base de dados | Msdb | SELECT dbo.syssubsystems |
Permissões adicionais
- Permissões para a conta de serviço para acessar o serviço de extensão e configurar a recuperação automática.
- Direitos de logon como serviço para a conta de serviço.