Sicurezza dell'agente di raccolta dati
Si applica a:
SQL Server
L'agente di raccolta dati usa il modello di sicurezza basata sui ruoli implementato da SQL Server Agent. Questo modello consente all'amministratore del database di eseguire le varie attività dell'agente di raccolta dati in un contesto di sicurezza che ha solo le autorizzazioni necessarie per eseguire quell'attività. Questo approccio è usato anche per operazioni con tabelle interne, a cui è possibile accedere solo mediante una stored procedure o una vista. Per le tabelle interne non vengono concesse autorizzazioni. Le autorizzazioni vengono invece controllate sull'utente della stored procedure o della vista usata per accedere a una tabella.
Importante
Un altro aspetto chiave di questo modello di sicurezza è costituito dalle autorizzazioni concentriche. Nelle autorizzazioni concentriche i ruoli con privilegi di livello più alto ereditano le autorizzazioni dei ruoli con privilegi di livello più basso su oggetti (compresi avvisi, operatori, processi, pianificazioni e proxy). Per altre informazioni, vedere SQL Server Agent Fixed Database Roles.
Nelle sezioni seguenti vengono descritte la sicurezza della raccolta di dati in generale, nonché i ruoli che è necessario concedere agli utenti affinché possano configurare e usare l'agente di raccolta dati ed eseguire attività associate al data warehouse di gestione.
Sicurezza generale
L'agente di raccolta dati viene installato secondo gli standard documentati specificati per SQL Server.
Sicurezza di rete
Le informazioni riservate possono essere passate tra le istanze di destinazione, l'istanza relazionale associata al server di configurazione, i set di raccolta in esecuzione ed il server che ospita il data warehouse di gestione.
Per proteggere i dati trasferiti su una rete vengono implementati i meccanismi di sicurezza standard, ad esempio la crittografia del protocollo per Transact-SQL.
Autorizzazioni per la configurazione e l'uso dell'agente di raccolta dati
A seconda dell'attività, gli utenti devono essere membri di uno o più ruoli predefiniti del database forniti per l'agente di raccolta dati. I ruoli sono i seguenti, elencati a partire dall'accesso con privilegi di livello più alto fino a quello con privilegi minimi:
- dc_admin
- dc_operator
- dc_proxy
Questi ruoli sono archiviati nel database msdb. Per impostazione predefinita, nessun utente è membro di questi ruoli di database. L'appartenenza dell'utente a questi ruoli deve essere concessa esplicitamente.
Gli utenti membri del ruolo predefinito del server amministratore di sistema hanno accesso completo agli oggetti di SQL Server Agent e alle viste dell'agente di raccolta dati. Tuttavia è necessario che vengano aggiunti esplicitamente ai ruoli dell'agente di raccolta dati.
Importante
I membri dei ruoli db_ssisadmin e dc_admin possono essere in grado di elevare i propri privilegi ad amministratore di sistema. Questa elevazione dei privilegi può verificarsi perché tali ruoli possono modificare i pacchetti Integration Services e questi ultimi possono essere eseguiti da SQL Server usando il contesto di sicurezza sysadmin di SQL Server Agent. Per impedire questa elevazione dei privilegi durante l'esecuzione di piani di manutenzione, set di raccolta di dati e altri pacchetti di servizi di integrazione, configura i processi di SQL Server Agent che eseguono pacchetti in modo che usino un account proxy con privilegi limitati o aggiungi solo i membri amministratore di sistema ai ruoli db_ssisadmin e dc_admin.
Ruolo dc_admin
Gli utenti assegnati al ruolo dc_admin hanno accesso completo di amministratore (creazione, lettura, aggiornamento ed eliminazione) alla configurazione dell'agente di raccolta dati su un'istanza del server. I membri di questo ruolo possono eseguire le seguenti operazioni:
- Impostare proprietà a livello di agente di raccolta
- Aggiungere nuovi set di raccolta
- Installare nuovi tipi di raccolta
- Eseguire tutte le operazioni consentite al ruolo dc_operator .
Il ruolo dc_admin è un membro dei seguenti ruoli:
SQLAgentUserRole. Questo ruolo è necessario per creare pianificazioni ed eseguire processi.
Nota
I proxy creati per l'agente di raccolta dati devono concedere l'accesso a dc_admin affinché possano essere creati e usati in ogni passaggio di processo che richiede un proxy.
dc_operator. I membri di dc_admin ereditano le autorizzazioni concesse a dc_operator.
Ruolo dc_operator
I membri del ruolo dc_operator hanno accesso in lettura e aggiornamento. Tale ruolo supporta le attività di operazioni relative all'esecuzione e alla configurazione dei set di raccolta. I membri di questo ruolo possono eseguire le seguenti operazioni:
Avviare o arrestare un set di raccolta.
Enumerare set di raccolta esistenti.
Visualizzare le informazioni dettagliate (ad esempio elementi della raccolta e frequenza di raccolta) associate ad un set di raccolta.
Modificare la frequenza di caricamento per i set di raccolta esistenti.
Modificare la frequenza di raccolta per gli elementi della raccolta appartenenti a un set di raccolta esistente.
Il ruolo dc_operator è un membro dei seguenti ruoli richiesti per l'enumerazione e la visualizzazione dei pacchetti dell'agente di raccolta dati:
- db_ssisltduser
- db_ssisoperator
Per altre informazioni, vedere Ruoli di Integration Services (servizio SSIS).
Ruolo dc_proxy
I membri del ruolo dc_proxy hanno accesso in lettura ai set di raccolta dell'agente di raccolta dati e alle proprietà a livello di agente di raccolta. I membri di questo ruolo possono inoltre eseguire processi di cui sono proprietari e creare passaggi di processo eseguibili come un account proxy esistente.
I membri di questo ruolo possono eseguire le seguenti operazioni:
Visualizzare informazioni di configurazione del set di raccolta (ad esempio parametri di input per elementi della raccolta e la frequenza di raccolta per questi elementi).
Ottenere informazioni crittografate interne a cui è possibile accedere soltanto mediante una stored procedure firmata, ad esempio informazioni di connessione al data warehouse usate per il caricamento dei dati.
Registrare eventi di runtime del set di raccolta.
Il ruolo dc_proxy è un membro dei seguenti ruoli richiesti per l'enumerazione e la visualizzazione dei pacchetti dell'agente di raccolta dati:
- db_ssisltduser.
- db_ssisoperator
Per altre informazioni, vedere Ruoli di Integration Services (servizio SSIS).
Autorizzazioni per la configurazione e l'uso del data warehouse di gestione
A seconda dell'attività, gli utenti devono essere membri di uno o più ruoli predefiniti del database forniti per accedere al data warehouse di gestione. I ruoli sono i seguenti, elencati a partire dall'accesso con privilegi di livello più alto fino a quello con privilegi minimi:
- mdw_admin
- mdw_writer
- mdw_reader
Questi ruoli sono archiviati nel database msdb. Per impostazione predefinita, nessun utente è membro di questi ruoli di database. L'appartenenza dell'utente a questi ruoli deve essere concessa esplicitamente.
Gli utenti membri del ruolo predefinito del server sysadmin hanno accesso completo alle viste dell'agente di raccolta dati. Tuttavia è necessario che vengano aggiunti esplicitamente ai ruoli del database per eseguire altre operazioni.
Ruolo mdw_admin
I membri del ruolo mdw_admin hanno accesso in lettura, scrittura, aggiornamento ed eliminazione al data warehouse di gestione.
I membri di questo ruolo possono eseguire le seguenti operazioni:
Modificare lo schema del data warehouse di gestione se necessario (ad esempio per aggiungere una nuova tabella quando viene installato un nuovo tipo di raccolta).
In caso di modifica dello schema l'utente deve essere anche membro del ruolo dc_admin per installare un nuovo tipo agente di raccolta, in quanto tale azione richiede un'autorizzazione per aggiornare la configurazione dell'agente di raccolta dati in
msdb.Eseguire processi di manutenzione sul data warehouse di gestione, ad esempio archiviazione o pulizia.
Ruolo mdw_writer
I membri del ruolo mdw_writer possono caricare e scrivere dati nel data warehouse di gestione. Gli agenti di raccolta dati che archiviano dati nel data warehouse di gestione devono essere membri di questo ruolo.
Ruolo mdw_reader
I membri del ruolo mdw_reader hanno accesso in lettura al data warehouse di gestione. Poiché lo scopo di questo ruolo è supportare la risoluzione dei problemi fornendo accesso ai dati storici, i membri di questo ruolo non possono visualizzare gli altri elementi dello schema del data warehouse di gestione.
Contenuto correlato
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per