Roles creados por la extensión de Azure para la instalación de SQL Server

  • Artículo

Se aplica a:SQL Server

En este artículo se enumeran los roles de servidor y base de datos y las asignaciones que crea la instalación de la extensión de Azure para SQL Server.

Roles

Cuando se instala la extensión de Azure para SQL Server, la instalación:

  1. Crea un rol de nivel de servidor: SQLArcExtensionServerRole
  2. Crea un rol de nivel de base de datos: SQLArcExtensionUserRole
  3. Agrega la cuenta NT AUTHORITY\SYSTEM a cada rol
  4. Asigna NT AUTHORITY\SYSTEM al nivel de base de datos de cada base de datos
  5. Concede los permisos mínimos para las características habilitadas

Además, la extensión de Azure para SQL Server revoca los permisos de estos roles cuando ya no son necesarios para características específicas.

Una tarea programada de Windows se ejecuta cada hora. Concede o revoca privilegios en SQL Server cuando detecta:

  • Se instala una nueva instancia de SQL Server en el host.
  • Se crea una nueva base de datos
  • Una característica está habilitada o deshabilitada

Para más información, consulte Configuración de las cuentas de servicio de Windows y los permisos para la extensión de Azure para SQL Server.

Si desinstala la extensión de Azure para SQL Server, se quitan los roles de nivel de servidor y base de datos.

Permisos

Característica Permiso Nivel Role
Valor predeterminado VIEW SERVER STATE Nivel de servidor SQLArcExtensionServerRole
CONNECT SQL Nivel de servidor SQLArcExtensionServerRole
VIEW ANY DEFINITION Nivel de servidor SQLArcExtensionServerRole
VIEW ANY DATABASE Nivel de servidor SQLArcExtensionServerRole
CONNECT ANY DATABASE Nivel de servidor SQLArcExtensionServerRole
SELECT dbo.sysjobactivity msdb SQLArcExtensionUserRole
SELECT dbo.sysjobs msdb SQLArcExtensionUserRole
SELECT dbo.syssessions msdb SQLArcExtensionUserRole
SELECT dbo.sysjobHistory msdb SQLArcExtensionUserRole
SELECT dbo.sysjobSteps msdb SQLArcExtensionUserRole
SELECT dbo.syscategories msdb SQLArcExtensionUserRole
SELECT dbo.sysoperators msdb SQLArcExtensionUserRole
SELECT dbo.suspectpages msdb SQLArcExtensionUserRole
SELECT dbo.backupset msdb SQLArcExtensionUserRole
SELECT dbo.backupmediaset msdb SQLArcExtensionUserRole
SELECT dbo.backupmediafamily msdb SQLArcExtensionUserRole
SELECT dbo.backupfile msdb SQLArcExtensionUserRole
Backup CREATE ANY DATABASE Nivel de servidor SQLArcExtensionServerRole
db_backupoperator, rol Todas las bases de datos SQLArcExtensionUserRole
dbcreator Nivel de servidor SQLArcExtensionServerRole
Plano de control de Azure CREATE TABLE msdb SQLArcExtensionUserRole
ALTER ANY SCHEMA msdb SQLArcExtensionUserRole
CREATE TYPE msdb SQLArcExtensionUserRole
Ejecute msdb SQLArcExtensionUserRole
db_datawriter, rol msdb SQLArcExtensionUserRole
db_datareader, rol msdb SQLArcExtensionUserRole
Detección de grupos de disponibilidad VIEW ANY DEFINITION Nivel de servidor SQLArcExtensionServerRole
Purview SELECT Todas las bases de datos SQLArcExtensionUserRole
Ejecute Todas las bases de datos SQLArcExtensionUserRole
Evaluación de la migración EXECUTE dbo.agent_datetime msdb SQLArcExtensionUserRole
SELECT dbo.sysjobs msdb SQLArcExtensionUserRole
SELECT dbo.sysmail_account msdb SQLArcExtensionUserRole
SELECT dbo.sysmail_profile msdb SQLArcExtensionUserRole
SELECT dbo.sysmail_profileaccount msdb SQLArcExtensionUserRole
SELECT dbo.syssubsystems msdb SQLArcExtensionUserRole
SELECT sys.sql_expression_dependencies Todas las bases de datos SQLArcExtensionUserRole

Ejecución con privilegios mínimos

Para ejecutar la extensión de Azure para SQL Server con privilegios mínimos, siga las instrucciones de Funcionamiento de SQL Server habilitado por Azure Arc con privilegios mínimos (versión preliminar).

En este momento, la configuración de privilegios mínimos no es la predeterminada.

Contenido relacionado

Configuración de permisos y cuentas de servicio de Windows