Roles creados por la extensión de Azure para la instalación de SQL Server
Se aplica a:SQL Server
En este artículo se enumeran los roles de servidor y base de datos y las asignaciones que crea la instalación de la extensión de Azure para SQL Server.
Roles
Cuando se instala la extensión de Azure para SQL Server, la instalación:
- Crea un rol de nivel de servidor: SQLArcExtensionServerRole
- Crea un rol de nivel de base de datos: SQLArcExtensionUserRole
- Agrega la cuenta NT AUTHORITY\SYSTEM a cada rol
- Asigna NT AUTHORITY\SYSTEM al nivel de base de datos de cada base de datos
- Concede los permisos mínimos para las características habilitadas
Además, la extensión de Azure para SQL Server revoca los permisos de estos roles cuando ya no son necesarios para características específicas.
Una tarea programada de Windows se ejecuta cada hora. Concede o revoca privilegios en SQL Server cuando detecta:
- Se instala una nueva instancia de SQL Server en el host.
- Se crea una nueva base de datos
- Una característica está habilitada o deshabilitada
Para más información, consulte Configuración de las cuentas de servicio de Windows y los permisos para la extensión de Azure para SQL Server.
Si desinstala la extensión de Azure para SQL Server, se quitan los roles de nivel de servidor y base de datos.
Permisos
Característica | Permiso | Nivel | Role |
---|---|---|---|
Valor predeterminado | VIEW SERVER STATE | Nivel de servidor | SQLArcExtensionServerRole |
CONNECT SQL | Nivel de servidor | SQLArcExtensionServerRole | |
VIEW ANY DEFINITION | Nivel de servidor | SQLArcExtensionServerRole | |
VIEW ANY DATABASE | Nivel de servidor | SQLArcExtensionServerRole | |
CONNECT ANY DATABASE | Nivel de servidor | SQLArcExtensionServerRole | |
SELECT dbo.sysjobactivity | msdb | SQLArcExtensionUserRole | |
SELECT dbo.sysjobs | msdb | SQLArcExtensionUserRole | |
SELECT dbo.syssessions | msdb | SQLArcExtensionUserRole | |
SELECT dbo.sysjobHistory | msdb | SQLArcExtensionUserRole | |
SELECT dbo.sysjobSteps | msdb | SQLArcExtensionUserRole | |
SELECT dbo.syscategories | msdb | SQLArcExtensionUserRole | |
SELECT dbo.sysoperators | msdb | SQLArcExtensionUserRole | |
SELECT dbo.suspectpages | msdb | SQLArcExtensionUserRole | |
SELECT dbo.backupset | msdb | SQLArcExtensionUserRole | |
SELECT dbo.backupmediaset | msdb | SQLArcExtensionUserRole | |
SELECT dbo.backupmediafamily | msdb | SQLArcExtensionUserRole | |
SELECT dbo.backupfile | msdb | SQLArcExtensionUserRole | |
Backup | CREATE ANY DATABASE | Nivel de servidor | SQLArcExtensionServerRole |
db_backupoperator, rol | Todas las bases de datos | SQLArcExtensionUserRole | |
dbcreator | Nivel de servidor | SQLArcExtensionServerRole | |
Plano de control de Azure | CREATE TABLE | msdb | SQLArcExtensionUserRole |
ALTER ANY SCHEMA | msdb | SQLArcExtensionUserRole | |
CREATE TYPE | msdb | SQLArcExtensionUserRole | |
Ejecute | msdb | SQLArcExtensionUserRole | |
db_datawriter, rol | msdb | SQLArcExtensionUserRole | |
db_datareader, rol | msdb | SQLArcExtensionUserRole | |
Detección de grupos de disponibilidad | VIEW ANY DEFINITION | Nivel de servidor | SQLArcExtensionServerRole |
Purview | SELECT | Todas las bases de datos | SQLArcExtensionUserRole |
Ejecute | Todas las bases de datos | SQLArcExtensionUserRole | |
Evaluación de la migración | EXECUTE dbo.agent_datetime | msdb | SQLArcExtensionUserRole |
SELECT dbo.sysjobs | msdb | SQLArcExtensionUserRole | |
SELECT dbo.sysmail_account | msdb | SQLArcExtensionUserRole | |
SELECT dbo.sysmail_profile | msdb | SQLArcExtensionUserRole | |
SELECT dbo.sysmail_profileaccount | msdb | SQLArcExtensionUserRole | |
SELECT dbo.syssubsystems | msdb | SQLArcExtensionUserRole | |
SELECT sys.sql_expression_dependencies | Todas las bases de datos | SQLArcExtensionUserRole |
Ejecución con privilegios mínimos
Para ejecutar la extensión de Azure para SQL Server con privilegios mínimos, siga las instrucciones de Funcionamiento de SQL Server habilitado por Azure Arc con privilegios mínimos (versión preliminar).
En este momento, la configuración de privilegios mínimos no es la predeterminada.
Contenido relacionado
Comentarios
https://aka.ms/ContentUserFeedback.
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea:Enviar y ver comentarios de