Funções criadas pela extensão do Azure para instalação do SQL Server
Aplica-se a:
SQL Server
Este artigo lista as funções e mapeamentos de servidor e banco de dados que a instalação da extensão do Azure para SQL Server cria.
Funções
Quando você instala a extensão do Azure para SQL Server, a instalação:
Cria uma função de nível de servidor: SQLArcExtensionServerRole
Cria uma função de nível de banco de dados: SQLArcExtensionUserRole
Adiciona a conta de* NT AUTHORITY\SYSTEM a cada função
Mapas NT AUTHORITY\SYSTEM* no nível do banco de dados para cada banco de dados
Concede permissões mínimas para os recursos habilitados
*Como alternativa, você pode configurar o SQL Server habilitado pelo Azure Arc para ser executado no modo de privilégios mínimos (disponível na visualização). Para obter detalhes, consulte Operar o SQL Server habilitado pelo Azure Arc com menor privilégio (visualização).
Além disso, a extensão do Azure para SQL Server revoga permissões para essas funções quando elas não são mais necessárias para recursos específicos.
SqlServerExtensionPermissionProvider é uma tarefa do Windows. Ele concede ou revoga privilégios no SQL Server quando deteta:
- Uma nova instância do SQL Server é instalada no host
- A instância do SQL Server é desinstalada do host
- Um recurso de nível de instância está habilitado ou desabilitado ou as configurações são atualizadas
- O serviço de extensão é reiniciado
Observação
Antes da versão de julho de 2024, SqlServerExtensionPermissionProvider é uma tarefa agendada. Funciona de hora em hora.
Para obter detalhes, consulte Configurar contas de serviço do Windows e permissões para a extensão do Azure para SQL Server.
Se você desinstalar a extensão do Azure para SQL Server, as funções de nível de servidor e banco de dados serão removidas.
Permissões
| Funcionalidade | Permissão | Nível | Funções |
|---|---|---|---|
| Inadimplência | VER ESTADO DO SERVIDOR | Nível do servidor | SQLArcExtensionServerRole |
| CONECTAR SQL | Nível do servidor | SQLArcExtensionServerRole | |
| VER QUALQUER DEFINIÇÃO | Nível do servidor | SQLArcExtensionServerRole | |
| VER QUALQUER BASE DE DADOS | Nível do servidor | SQLArcExtensionServerRole | |
| CONECTE QUALQUER BANCO DE DADOS | Nível do servidor | SQLArcExtensionServerRole | |
| SELECIONAR dbo.sysjobactivity | msdb | SQLArcExtensionUserRole | |
| SELECIONAR dbo.sysjobs | msdb | SQLArcExtensionUserRole | |
| SELECIONAR dbo.syssessions | msdb | SQLArcExtensionUserRole | |
| SELECIONAR dbo.sysjobHistory | msdb | SQLArcExtensionUserRole | |
| SELECIONE dbo.sysjobSteps | msdb | SQLArcExtensionUserRole | |
| SELECIONAR dbo.syscategories | msdb | SQLArcExtensionUserRole | |
| SELECIONAR dbo.sysoperators | msdb | SQLArcExtensionUserRole | |
| SELECIONAR dbo.suspectpages | msdb | SQLArcExtensionUserRole | |
| SELECIONE dbo.backupset | msdb | SQLArcExtensionUserRole | |
| SELECIONE dbo.backupmediaset | msdb | SQLArcExtensionUserRole | |
| SELECIONE dbo.backupmediafamily | msdb | SQLArcExtensionUserRole | |
| SELECIONE dbo.backupfile | msdb | SQLArcExtensionUserRole | |
| Backup | CRIAR QUALQUER BASE DE DADOS | Nível do servidor | SQLArcExtensionServerRole |
| db_backupoperator papel | Todas as bases de dados | SQLArcExtensionUserRole | |
| dbcreator | Nível do servidor | SQLArcExtensionServerRole | |
| Plano de Controle do Azure | CRIAR TABELA | msdb | SQLArcExtensionUserRole |
| ALTERAR QUALQUER ESQUEMA | msdb | SQLArcExtensionUserRole | |
| CRIAR TIPO | msdb | SQLArcExtensionUserRole | |
| EXECUTAR | msdb | SQLArcExtensionUserRole | |
| db_datawriter papel | msdb | SQLArcExtensionUserRole | |
| db_datareader papel | msdb | SQLArcExtensionUserRole | |
| Deteção de Grupo de Disponibilidade | VER QUALQUER DEFINIÇÃO | Nível do servidor | SQLArcExtensionServerRole |
| Failover do Grupo de Disponibilidade | ALTERAR QUALQUER GRUPO DE DISPONIBILIDADE | Nível do servidor | SQLArcExtensionServerRole |
| Âmbito | SELECIONAR | Todas as bases de dados | SQLArcExtensionUserRole |
| EXECUTAR | Todas as bases de dados | SQLArcExtensionUserRole | |
| Avaliação da migração | EXECUTAR dbo.agent_datetime | msdb | SQLArcExtensionUserRole |
| SELECIONAR dbo.sysjobs | msdb | SQLArcExtensionUserRole | |
| SELECIONAR dbo.sysmail_account | msdb | SQLArcExtensionUserRole | |
| SELECIONAR dbo.sysmail_profile | msdb | SQLArcExtensionUserRole | |
| SELECIONAR dbo.sysmail_profileaccount | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.syssubsystems | msdb | SQLArcExtensionUserRole | |
| SELECIONAR sys.sql_expression_dependencies | Todas as bases de dados | SQLArcExtensionUserRole |
Executar com o menor privilégio
Para executar a extensão do Azure para SQL Server com menos privilégio, siga as instruções em Operar SQL Server habilitado pelo Azure Arc com menor privilégio.
Neste momento, a configuração de menor privilégio não é o padrão.