Sicurezza agente di raccolta datiData Collector Security

L'agente di raccolta dati usano il modello di sicurezza basato sui ruoli implementato da SQL ServerSQL Server Agent.The data collector uses the role-based security model implemented by SQL ServerSQL Server Agent. Questo modello consente all'amministratore del database di eseguire le varie attività dell'agente di raccolta dati in un contesto di sicurezza che ha solo le autorizzazioni necessarie per eseguire quell'attività.This model lets the database administrator run the various data collector tasks in a security context that has only the permissions required to perform that task. Questo approccio è usato anche per operazioni con tabelle interne, a cui è possibile accedere solo mediante una stored procedure o una vista.This approach is also used for operations involving internal tables, which can only be accessed by using a stored procedure or view. Per le tabelle interne non vengono concesse autorizzazioni.No permissions are granted to internal tables. Le autorizzazioni vengono invece controllate sull'utente della stored procedure o della vista usata per accedere a una tabella.Instead, permissions are checked on the user of the stored procedure or view that is used to access a table.

Importante

Un altro aspetto chiave di questo modello di sicurezza è costituito dalle autorizzazioni concentriche.Another key aspect of this security model is concentric permissions. Nelle autorizzazioni concentriche i ruoli con privilegi di livello più alto ereditano le autorizzazioni dei ruoli con privilegi di livello più basso su oggetti (compresi avvisi, operatori, processi, pianificazioni e proxy).Under concentric permissions, more privileged roles inherit the permissions of less privileged roles on objects (including alerts, operators, jobs, schedules, and proxies). Per altre informazioni, vedere SQL Server Agent Fixed Database Roles.For more information, see SQL Server Agent Fixed Database Roles.

Nelle sezioni seguenti vengono descritte la sicurezza della raccolta di dati in generale, nonché i ruoli che è necessario concedere agli utenti affinché possano configurare e usare l'agente di raccolta dati ed eseguire attività associate al data warehouse di gestione.The following sections describe data collection security in general, as well as the roles you must grant to users so they can configure and use the data collector, and carry out tasks associated with the management data warehouse.

Sicurezza generaleGeneral Security

L'agente di raccolta dati viene installato secondo gli standard documentati specificati per SQL Server 2017SQL Server 2017.The data collector is installed according to the documented standards specified for SQL Server 2017SQL Server 2017.

Sicurezza di reteNetwork Security

Le informazioni riservate possono essere passate tra le istanze di destinazione, l'istanza relazionale associata al server di configurazione, i set di raccolta in esecuzione ed il server che ospita il data warehouse di gestione.Sensitive information can be passed between target instances, the relational instance associated with the configuration server, the collection sets that are running, and the server that hosts the management data warehouse.

Per proteggere i dati trasferiti su una rete vengono implementati i meccanismi di sicurezza standard, ad esempio la crittografia del protocollo per Transact-SQLTransact-SQL.To protect any data that is transferred over a network, the standard security mechanisms are implemented, such as protocol encryption for Transact-SQLTransact-SQL.

Autorizzazioni per la configurazione e l'utilizzo dell'agente di raccolta datiPermissions for Configuring and Using the Data Collector

A seconda dell'attività, gli utenti devono essere membri di uno o più ruoli predefiniti del database forniti per l'agente di raccolta dati.Depending on the task, users must be members of one or more of the fixed database roles provided for the data collector. I ruoli sono i seguenti, elencati a partire dall'accesso con privilegi di livello più alto fino a quello con privilegi minimi:In order of most-privileged to least-privileged access, the roles are as follows:

  • dc_admindc_admin

  • dc_operatordc_operator

  • dc_proxydc_proxy

    Questi ruoli sono archiviati nel database msdb.These roles are stored in the msdb database. Per impostazione predefinita, nessun utente è membro di questi ruoli di database.By default, no user is a member of these database roles. L'appartenenza dell'utente a questi ruoli deve essere concessa esplicitamente.User membership in these roles must be granted explicitly.

    Gli utenti membri del ruolo predefinito del server sysadmin hanno accesso completo agli oggetti di SQL ServerSQL Server Agent e alle viste dell'agente di raccolta dati.Users who are members of the sysadmin fixed server role have full access to SQL ServerSQL Server Agent objects and data collector views. Tuttavia è necessario che vengano aggiunti esplicitamente ai ruoli dell'agente di raccolta dati.However, they need to be explicitly added to data collector roles.

Importante

I membri dei ruoli db_ssisadmin e dc_admin potrebbero essere in grado di elevare i loro privilegi a sysadmin.Members of the db_ssisadmin role and the dc_admin role may be able to elevate their privileges to sysadmin. Questa elevazione dei privilegi può verificarsi perché tali ruoli possono modificare i pacchetti Integration ServicesIntegration Services e i pacchetti Integration ServicesIntegration Services possono essere eseguiti da SQL ServerSQL Server utilizzando il contesto di sicurezza sysadmin di SQL ServerSQL Server Agent.This elevation of privilege can occur because these roles can modify Integration ServicesIntegration Services packages and Integration ServicesIntegration Services packages can be executed by SQL ServerSQL Server using the sysadmin security context of SQL ServerSQL Server Agent. Per impedire questa elevazione dei privilegi durante l'esecuzione dei piani di manutenzione, set di raccolta dati e altri pacchetti Integration ServicesIntegration Services , configurare i processi di SQL ServerSQL Server Agent che eseguono pacchetti in modo da utilizzare un account proxy con privilegi limitati o aggiungere solo i membri sysadmin ai ruoli db_ssisadmin e dc_admin.To guard against this elevation of privilege when running maintenance plans, data collection sets, and other Integration ServicesIntegration Services packages, configure SQL ServerSQL Server Agent jobs that run packages to use a proxy account with limited privileges or only add sysadmin members to the db_ssisadmin and dc_admin roles.

Ruolo dc_admindc_admin Role

Gli utenti assegnati al ruolo dc_admin hanno accesso completo di amministratore (creazione, lettura, aggiornamento ed eliminazione) alla configurazione dell'agente di raccolta dati su un'istanza del server.Users assigned to the dc_admin role have full administrator access (Create, Read, Update, and Delete) to the data collector configuration on a server instance. I membri di questo ruolo possono eseguire le seguenti operazioni:Members of this role can perform the following operations:

  • Impostare proprietà a livello di agente di raccoltaSet collector-level properties.

  • Aggiungere nuovi set di raccoltaAdd new collection sets.

  • Installare nuovi tipi di raccoltaInstall new collection types.

  • Eseguire tutte le operazioni consentite al ruolo dc_operator .Perform all the operations permitted to the dc_operator role.

    Il ruolo dc_admin è un membro dei seguenti ruoli:The dc_admin role is a member of the following roles:

  • SQLAgentUserRole.SQLAgentUserRole. Questo ruolo è necessario per creare pianificazioni ed eseguire processi.This role is required to create schedules and run jobs.

    Nota

    I proxy creati per l'agente di raccolta dati devono concedere l'accesso a dc_admin affinché possano essere creati e usati in ogni passaggio di processo che richiede un proxy.Proxies created for the data collector must grant access to dc_admin to create them and use them in any job steps that require a proxy.

  • dc_operator.dc_operator. I membri di dc_admin ereditano le autorizzazioni concesse a dc_operator.Members of dc_admin inherit the permissions given to dc_operator.

Ruolo dc_operatordc_operator Role

I membri del ruolo dc_operator hanno accesso in lettura e aggiornamento.Members of the dc_operator role have Read and Update access. Tale ruolo supporta le attività di operazioni relative all'esecuzione e alla configurazione dei set di raccolta.This role supports operations tasks related to running and configuring collection sets. I membri di questo ruolo possono eseguire le seguenti operazioni:Members of this role can perform the following operations:

  • Avviare o arrestare un set di raccolta.Start or stop a collection set.

  • Enumerare set di raccolta esistenti.Enumerate existing collection sets.

  • Visualizzare le informazioni dettagliate (ad esempio elementi della raccolta e frequenza di raccolta) associate ad un set di raccolta.View the detailed information (for example, collection items, and collection frequency) associated with a collection set.

  • Modificare la frequenza di caricamento per i set di raccolta esistenti.Change the upload frequency for existing collection sets.

  • Modificare la frequenza di raccolta per gli elementi della raccolta appartenenti a un set di raccolta esistente.Change the collection frequency for collection items that are part of an existing collection set.

    Il ruolo dc_operator è un membro dei seguenti ruoli richiesti per l'enumerazione e la visualizzazione dei pacchetti dell'agente di raccolta dati:The dc_operator role is a member of the following roles that are required for enumerating and viewing data collector packages:

  • db_ssisltduserdb_ssisltduser

  • db_ssisoperatordb_ssisoperator

    Per altre informazioni, vedere Ruoli Integration Services (servizio SSIS).For more information, see Integration Services Roles (SSIS Service).

Ruolo dc_proxydc_proxy Role

I membri del ruolo dc_proxy hanno accesso in lettura ai set di raccolta dell'agente di raccolta dati e alle proprietà a livello di agente di raccolta.Members of the dc_proxy role have Read access to data collector collection sets and collector-level properties. I membri di questo ruolo possono inoltre eseguire processi di cui sono proprietari e creare passaggi di processo eseguibili come un account proxy esistente.Members of this role can also execute jobs that they own and create job steps that run as an existing proxy account.

I membri di questo ruolo possono eseguire le seguenti operazioni:Members of this role can perform the following operations:

  • Visualizzare informazioni di configurazione del set di raccolta (ad esempio parametri di input per elementi della raccolta e la frequenza di raccolta per questi elementi).View collection set configuration information (for example, input parameters for collection items, and the collection frequency for these items).

  • Ottenere informazioni crittografate interne a cui è possibile accedere soltanto mediante una stored procedure firmata, ad esempio informazioni di connessione al data warehouse usate per il caricamento dei dati.Obtain internal encrypted information that can only be accessed by a signed stored procedure (for example, data warehouse connection information used for data uploads).

  • Registrare eventi di runtime del set di raccolta.Log collection-set run-time events.

    Il ruolo dc_proxy è un membro dei seguenti ruoli richiesti per l'enumerazione e la visualizzazione dei pacchetti dell'agente di raccolta dati:The dc_proxy role is a member of the following roles that are required for enumerating and viewing data collector packages:

  • db_ssisltduser.db_ssisltduser.

  • db_ssisoperatordb_ssisoperator

    Per altre informazioni, vedere Ruoli Integration Services (servizio SSIS).For more information, see Integration Services Roles (SSIS Service).

Autorizzazioni per la configurazione e l'utilizzo del data warehouse di gestionePermissions for Configuring and Using the Management Data Warehouse

A seconda dell'attività, gli utenti devono essere membri di uno o più ruoli predefiniti del database forniti per accedere al data warehouse di gestione.Depending on the task, users must be members of one or more of the fixed database roles provided for accessing the management data warehouse. I ruoli sono i seguenti, elencati a partire dall'accesso con privilegi di livello più alto fino a quello con privilegi minimi:In order of most-privileged to least-privileged access, the roles are as follows:

  • mdw_adminmdw_admin

  • mdw_writermdw_writer

  • mdw_readermdw_reader

    Questi ruoli sono archiviati nel database msdb.These roles are stored in the msdb database. Per impostazione predefinita, nessun utente è membro di questi ruoli di database.By default, no user is a member of these database roles. L'appartenenza dell'utente a questi ruoli deve essere concessa esplicitamente.User membership in these roles must be granted explicitly.

    Gli utenti membri del ruolo predefinito del server sysadmin hanno accesso completo alle viste dell'agente di raccolta dati.Users who are members of the sysadmin fixed server role have full access to data collector views. Tuttavia è necessario che vengano aggiunti esplicitamente ai ruoli del database per eseguire altre operazioni.However, they need to be explicitly added to database roles to perform other operations.

Ruolo mdw_adminmdw_admin Role

I membri del ruolo mdw_admin hanno accesso in lettura, scrittura, aggiornamento ed eliminazione al data warehouse di gestione.Members of the mdw_admin role have Read, Write, Update, and Delete access to the management data warehouse.

I membri di questo ruolo possono eseguire le seguenti operazioni:Members of this role can perform the following operations:

  • Modificare lo schema del data warehouse di gestione se necessario (ad esempio per aggiungere una nuova tabella quando viene installato un nuovo tipo di raccolta).Change the management data warehouse schema when required (for example, adding a new table when a new collection type is installed).

    Nota

    In caso di modifica dello schema l'utente deve essere anche membro del ruolo dc_admin per installare un nuovo tipo di agente di raccolta, in quanto tale azione richiede un'autorizzazione per aggiornare la configurazione dell'agente di raccolta dati in msdb.Where there is a schema change, the user must also be a member of the dc_admin role to install a new collector type, since this action requires permission to update the data collector configuration in msdb.

  • Eseguire processi di manutenzione sul data warehouse di gestione, ad esempio archiviazione o pulizia.Run maintenance jobs on the management data warehouse, such as archive or cleanup.

Ruolo mdw_writermdw_writer Role

I membri del ruolo mdw_writer possono caricare e scrivere dati nel data warehouse di gestione.Members of the mdw_writer role can upload and write data to the management data warehouse. Gli agenti di raccolta dati che archiviano dati nel data warehouse di gestione devono essere membri di questo ruolo.Any data collector that stores data in the management data warehouse has to be a member of this role.

Ruolo mdw_readermdw_reader Role

I membri del ruolo mdw_reader hanno accesso in lettura al data warehouse di gestione.Members of the mdw_reader role have Read access to the management data warehouse. Poiché lo scopo di questo ruolo è supportare la risoluzione dei problemi fornendo accesso ai dati della cronologia, i membri di questo ruolo non possono visualizzare gli altri elementi dello schema del data warehouse di gestione.Because the purpose of this role is to support troubleshooting by providing access to historical data, members of this role cannot view other elements of the management data warehouse schema.

Vedere ancheSee Also

Implementazione della sicurezza di SQL Server AgentImplement SQL Server Agent Security