Bagikan melalui

Mengoperasikan SQL Server yang diaktifkan oleh Azure Arc dengan hak istimewa paling sedikit (pratinjau)

  • Artikel

Berlaku untuk:SQL Server

Prinsip keamanan informasi dengan hak istimewa paling sedikit menegaskan bahwa akun dan aplikasi hanya memiliki akses ke data dan operasi yang mereka butuhkan. Dengan SQL Server yang diaktifkan oleh Azure Arc, Anda dapat menjalankan layanan ekstensi agen dengan hak istimewa paling rendah. Artikel ini menjelaskan cara menjalankan layanan ekstensi agen dengan hak istimewa paling sedikit.

Untuk mengonfigurasi layanan secara opsional agar berjalan dengan hak istimewa paling sedikit, ikuti langkah-langkah dalam artikel ini. Saat ini, layanan tidak berjalan secara otomatis dengan hak istimewa paling sedikit.

Mengonfigurasi akun dan izin layanan Windows untuk Ekstensi Azure untuk SQL Server menjelaskan izin hak istimewa paling sedikit untuk layanan ekstensi agen.

Catatan

Jika Ekstensi Azure adalah versi 1.1.2594.118 (rilis Februari 2024) atau yang lebih baru, mode hak istimewa paling sedikit akan diaktifkan secara otomatis dalam beberapa bulan mendatang.

Dukungan untuk konfigurasi ini saat ini tersedia untuk pratinjau.

Catatan

Sebagai fitur pratinjau, teknologi yang tersaji dalam artikel ini tunduk pada Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure.

Pembaruan terbaru tersedia dalam catatan Rilis - SQL Server yang diaktifkan oleh Azure Arc.

Setelah Anda mengonfigurasi layanan ekstensi agen untuk berjalan dengan hak istimewa paling sedikit, layanan menggunakan NT Service\SQLServerExtension akun layanan.

Akun ini NT Service\SQLServerExtension adalah akun layanan Windows lokal:

  • Dibuat dan dikelola oleh Ekstensi Azure untuk SQL Server ketika opsi hak istimewa paling sedikit diaktifkan.
  • Memberikan izin dan hak istimewa minimum yang diperlukan untuk menjalankan ekstensi Azure untuk layanan SQL Server pada sistem operasi Windows. Ini hanya memiliki akses ke folder dan direktori yang digunakan untuk membaca dan menyimpan konfigurasi atau menulis log.
  • Diberikan izin untuk menyambungkan dan mengkueri di SQL Server dengan login baru khusus untuk akun layanan tersebut yang memiliki izin minimum yang diperlukan. Izin minimum bergantung pada fitur yang diaktifkan.
  • Diperbarui ketika izin tidak lagi diperlukan. Misalnya, izin dicabut saat Anda menonaktifkan fitur, menonaktifkan konfigurasi hak istimewa paling sedikit, atau menghapus instalan ekstensi Azure untuk SQL Server. Pencabutan memastikan bahwa tidak ada izin yang tersisa setelah tidak lagi diperlukan.

Prasyarat

Bagian ini mengidentifikasi persyaratan sistem dan alat yang Anda butuhkan untuk menyelesaikan contoh dalam artikel ini.

Persyaratan sistem

Konfigurasi dengan hak istimewa paling sedikit memerlukan:

  • Windows Server 2012 atau yang lebih baru
  • SQL Server 2012 atau yang lebih baru

Konfigurasi dengan hak istimewa terkecil saat ini tidak didukung di Linux.

Alat

Untuk menyelesaikan langkah-langkah dalam artikel ini, Anda memerlukan alat berikut:

Aktifkan hak istimewa terkecil

  1. Masuk dengan Azure CLI.

    az login

  2. arcdata Verifikasi versi ekstensi.

    az extension list -o table

    Jika hasilnya menyertakan versi arcdata, lewati ke langkah berikutnya.

    Jika perlu, instal atau perbarui arcdata ekstensi Azure CLI.

    Untuk memasang ekstensi:

    az extension add --name arcdata

    Untuk memperbarui ekstensi:

    az extension update --name arcdata

  3. Aktifkan hak istimewa paling sedikit dengan Azure CLI.

    Untuk mengaktifkan hak istimewa paling sedikit, atur LeastPrivilege bendera fitur ke true. Untuk menyelesaikan tugas ini, jalankan perintah berikut dengan nilai yang <resource-group> diperbarui untuk dan <machine-name>.

    az sql server-arc extension feature-flag set --name LeastPrivilege --enable true --resource-group <resource-group> --machine-name <machine-name>

    Misalnya, perintah berikut memungkinkan hak istimewa paling sedikit untuk server bernama myserver dalam grup sumber daya bernama myrg:

    az sql server-arc extension feature-flag set --name LeastPrivilege --enable true --resource-group myrg --machine-name myserver

Memvalidasi konfigurasi

Untuk memverifikasi bahwa SQL Server Anda yang diaktifkan oleh Azure Arc dikonfigurasi untuk berjalan dengan hak istimewa paling sedikit:

  1. Di layanan Windows, temukan layanan Microsoft SQL Server Extension Service . Verifikasi bahwa layanan berjalan di bawah sebagai akun NT Service\SqlServerExtensionlayanan . 

  2. Buka penjadwal tugas di server dan periksa apakah tugas terjadwal dengan nama SqlServerExtensionPermissionProvider dibuat di bawah Microsoft\SqlServerExtension. Tugas ini berjalan per jam untuk menambahkan atau menghapus izin sesuai kebutuhan berdasarkan fitur mana yang diaktifkan dan dinonaktifkan.

  3. Buka SQL Server Management Studio dan periksa login bernama NT Service\SqlServerExtension. Verifikasi bahwa akun diberi izin ini:

    • Koneksi SQL
    • Tampilkan Status Database
    • Tampilkan Status Server

  4. Validasi izin dengan kueri berikut:

    Untuk memverifikasi izin tingkat server, jalankan kueri berikut:

    EXECUTE AS LOGIN = 'NT Service\SqlServerExtension'  
SELECT * FROM fn_my_permissions (NULL, 'SERVER");

    Untuk memverifikasi izin tingkat database, ganti <database name> dengan nama salah satu database Anda, dan jalankan kueri berikut:

    EXECUTE AS LOGIN = 'NT Service\SqlServerExtension'  
USE <database name>; 
SELECT * FROM fn_my_permissions (NULL, 'database");

Nonaktifkan hak istimewa terkecil

Untuk menonaktifkan hak istimewa paling sedikit, atur LeastPrivilege bendera fitur ke false. Untuk menyelesaikan tugas ini, jalankan perintah berikut dengan nilai yang <resource-group> diperbarui untuk dan <machine-name>:

az sql server-arc extension feature-flag set --name LeastPrivilege --enable false --resource-group <resource-group> --machine-name <machine-name>

Misalnya, perintah berikut menonaktifkan hak istimewa paling sedikit untuk server bernama myserver dalam grup sumber daya bernama myrg:

az sql server-arc extension feature-flag set --name LeastPrivilege --enable false --resource-group myrg --machine-name myserver

Konten terkait