Ruoli a livello di database

Si applica a: sìSQL Server (tutte le versioni supportate) Sìdatabase SQL di Azure SìIstanza gestita di SQL di Azure sìAzure Synapse Analytics sìParallel Data Warehouse

Per gestire facilmente le autorizzazioni nei database, fornisce diversi *ruoli che sono entità di SQL Server sicurezza che raggruppano altre entità. I ruoli sono analoghi ai gruppi nel sistema operativo Microsoft Windows. L'ambito delle autorizzazioni dei ruoli a livello di database è l'intero database.

Per aggiungere e rimuovere utenti a un ruolo del database, usare le opzioni ADD MEMBER e DROP MEMBER dell'istruzione ALTER ROLE . Piattaforma di strumenti analitici (PDW) e Azure Synapse non supportano l'uso di ALTER ROLE . Usare invece le stored procedure sp_addrolemember e sp_droprolemember .

Esistono due tipi di ruoli a livello di database: i ruoli predefiniti del database , che sono predefiniti nel database, e i ruoli del database definiti dall'utente , che possono essere creati.

I ruoli predefiniti del database vengono definiti a livello di database e sono presenti in ogni database. I membri del ruolo del database db_owner possono gestire l'appartenenza ai ruoli predefiniti del database. Nel database msdb sono presenti anche alcuni ruoli predefiniti del database per scopi specifici.

È possibile aggiungere qualsiasi account del database e altri ruoli SQL Server ai ruoli a livello di database.

Suggerimento

Evitare di aggiungere ruoli del database definiti dall'utente come membri dei ruoli predefiniti, poiché in tal modo si potrebbe provocare un'imprevista intensificazione dei privilegi.

Le autorizzazioni dei ruoli del database definiti dall'utente possono essere personalizzate tramite le istruzioni GRANT, DENYe REVOKE. Per altre informazioni, vedere Autorizzazioni (motore di database).

Per un elenco di tutte le autorizzazioni, vedere il poster Autorizzazioni del motore di database . Non è possibile concedere autorizzazioni a livello di server ai ruoli del database. Gli account di accesso e altre entità a livello di server (come i ruoli del server) non possono essere aggiunti ai ruoli del database. Per sicurezza a livello di server in SQL Server, usare invece i ruoli del server . Non è possibile concedere autorizzazioni a livello di server tramite ruoli in Database SQL e Azure Synapse.

Ruoli predefiniti del database

La tabella seguente contiene i ruoli predefiniti del database e le rispettive caratteristiche. Questi ruoli esistono in tutti i database. Fatta eccezione per il ruolo del database pubblico, non è possibile modificare le autorizzazioni concesse ai ruoli predefiniti del database.

Nome del ruolo predefinito del database Descrizione
db_owner I membri del db_owner ruolo predefinito del database possono eseguire tutte le attività di configurazione e manutenzione nel database e anche drop il database in SQL Server . In Database SQL e Azure Synapse alcune attività di manutenzione richiedono autorizzazioni a livello di server e non possono essere eseguite da ruoli db_owners.
db_securityadmin I membri del ruolo predefinito del database db_securityadmin possono modificare le appartenenze al ruolo solo per i ruoli personalizzati e gestire le autorizzazioni. I membri di questo ruolo possono potenzialmente elevare i propri privilegi ed è consigliabile monitorarne le azioni.
db_accessadmin I membri del ruolo predefinito del database db_accessadmin possono aggiungere o rimuovere le autorizzazioni di accesso al database per gli account di accesso di Windows, i gruppi di Windows e gli account di accesso di SQL Server .
db_backupoperator I membri del ruolo predefinito del database db_backupoperator possono eseguire il backup del database.
db_ddladmin I membri del ruolo predefinito del database db_ddladmin possono eseguire qualsiasi comando DDL (Data Definition Language) in un database.
db_datawriter I membri del ruolo predefinito del database db_datawriter possono aggiungere, eliminare o modificare i dati di tutte le tabelle utente.
db_datareader I membri del db_datareader predefinito del database possono leggere tutti i dati da tutte le tabelle e viste utente. Gli oggetti utente possono esistere in qualsiasi schema, ad eccezione di sys e INFORMATION_SCHEMA.
db_denydatawriter I membri del ruolo predefinito del database db_denydatawriter non possono aggiungere, modificare o eliminare dati delle tabelle utente contenute in un database.
db_denydatareader I membri del db_denydatareader ruolo predefinito del database non possono leggere dati dalle tabelle utente e dalle viste all'interno di un database.

Non è possibile modificare le autorizzazioni concesse ai ruoli predefiniti del database. La figura seguente mostra le autorizzazioni assegnate ai ruoli predefiniti del database:

fixed_database_role_permissions

Ruoli speciali per Database SQL e Azure Synapse

Questi ruoli del database si trovano solo nel database master virtuale. Le autorizzazioni di questi ruoli sono limitate alle azioni eseguite nel database master. Solo gli utenti di database nel database master possono essere aggiunti a questi ruoli. Gli account di accesso non possono essere aggiunti a questi ruoli, ma è possibile creare utenti in base agli account di accesso e quindi aggiungere questi utenti ai ruoli. Anche gli utenti di database indipendenti nel database master possono essere aggiunti a questi ruoli. Gli utenti di database indipendenti aggiunti al ruolo dbmanager non possono essere tuttavia usati per creare nuovi database.

Nome del ruolo Descrizione
dbmanager Può creare ed eliminare database. Un membro del ruolo dbmanager che crea un database diventa il proprietario del database, che consente all'utente di connettersi a tale database come utente dbo. L'utente dbo ha tutte le autorizzazioni database nel database. I membri del ruolo dbmanager non hanno necessariamente l'autorizzazione per accedere ai database di cui non sono proprietari.
db_exporter Si applica solo Azure Synapse Analytics pool SQL dedicati (in precedenza SQL DW).
I membri del ruolo predefinito db_exporter database predefinito possono eseguire tutte le attività di esportazione dei dati. Le autorizzazioni concesse tramite questo ruolo sono CREATE TABLE, ALTER ANY SCHEMA, ALTER ANY EXTERNAL DATA SOURCE, ALTER ANY EXTERNAL FILE FORMAT.
loginmanager Può creare ed eliminare account di accesso nel database master virtuale.

Nota

L'entità di livello di server e l'amministratore di Azure Active Directory (se configurato) hanno tutte le autorizzazioni in Database SQL e Azure Synapse senza dover essere membri di alcun ruolo. Per altre informazioni, vedere Autenticazione e autorizzazione del database SQL: concessione dell'accesso.

Alcuni ruoli del database non sono applicabili ad Azure SQL o Azure Synapse:

  • db_backupoperator non è applicabile nel database di Azure SQL (non nell'istanza gestita) e nel pool serverless Azure Synapse perché i comandi T-SQL di backup e ripristino non sono disponibili.
  • db_datawriter e db_denydatawriter non sono applicabili Azure Synapse serverless perché legge solo dati esterni.

Ruoli msdb

Il database msdb contiene ruoli specifici per uno scopo illustrati nella tabella seguente.

Nome del ruolo in msdb Descrizione
db_ssisadmin

db_ssisoperator

db_ssisltduser
I membri di tali ruoli del database possono amministrare e utilizzare SSIS. Le istanze di SQL Server aggiornate da una versione precedente potrebbero contenere una versione precedente del ruolo che era stata denominata usando Data Transformation Services (DTS) anziché SSIS. Per altre informazioni, vedere Ruoli Integration Services (servizio SSIS).
dc_admin

dc_operator

dc_proxy
I membri di tali ruoli del database possono amministrare e utilizzare l'agente di raccolta dati. Per altre informazioni, vedere Data Collection.
PolicyAdministratorRole I membri del ruolo del database db_ PolicyAdministratorRole possono eseguire tutte le attività di configurazione e manutenzione su criteri e condizioni della gestione basata su criteri. Per altre informazioni, vedere Amministrare server usando la gestione basata su criteri.
ServerGroupAdministratorRole

ServerGroupReaderRole
I membri di questi ruoli del database possono amministrare e utilizzare gruppi di server registrati.
dbm_monitor Creato nel database msdb quando il primo database viene registrato in Monitoraggio mirroring del database. Il ruolo dbm_monitor non include alcun membro fino a quando un amministratore di sistema non provvede all'assegnazione di utenti al ruolo stesso.

Importante

I membri dei ruoli db_ssisadmin e dc_admin possono essere in grado di elevare i propri privilegi a sysadmin. Questa elevazione dei privilegi può verificarsi perché tali ruoli possono modificare i pacchetti Integration Services e i pacchetti Integration Services possono essere eseguiti da SQL Server utilizzando il contesto di sicurezza sysadmin di SQL Server Agent. Per impedire questa elevazione dei privilegi durante l'esecuzione di piani di manutenzione, set di raccolta dati e altri pacchetti di Integration Services , configurare i processi di SQL Server Agent che eseguono pacchetti in modo che usino un account proxy con privilegi limitati o aggiungere solo i membri sysadmin ai ruoli db_ssisadmin e dc_admin .

Uso dei ruoli a livello di database

Nella tabella seguente vengono illustrati i comandi, le viste e le funzioni per l'uso dei ruoli a livello di database.

Funzionalità Type Descrizione
sp_helpdbfixedrole (Transact-SQL) Metadati Restituisce un elenco dei ruoli predefiniti del database.
sp_dbfixedrolepermission (Transact-SQL) Metadati Visualizza le autorizzazioni di un ruolo predefinito del database.
sp_helprole (Transact-SQL) Metadati Restituisce informazioni sui ruoli del database corrente.
sp_helprolemember (Transact-SQL) Metadati Restituisce informazioni sui membri di un ruolo del database corrente.
sys.database_role_members (Transact-SQL) Metadati Restituisce una riga per ogni membro di ogni ruolo del database.
IS_MEMBER (Transact-SQL) Metadati Indica se l'utente corrente è membro del gruppo di Microsoft Windows o del ruolo di database di Microsoft SQL Server specificato.
CREATE ROLE (Transact-SQL) Comando Crea un nuovo ruolo di database nel database corrente.
ALTER ROLE (Transact-SQL) Comando Modifica il nome o l'appartenenza di un ruolo del database.
DROP ROLE (Transact-SQL) Comando Rimuove un ruolo dal database.
sp_addrole (Transact-SQL) Comando Crea un nuovo ruolo di database nel database corrente.
sp_droprole (Transact-SQL) Comando Rimuove un ruolo del database dal database corrente.
sp_addrolemember (Transact-SQL) Comando Aggiunge un utente del database, un ruolo del database, un account di accesso di Windows o un gruppo di Windows a un ruolo del database nel database corrente. Tutte le piattaforme ad accezione di Piattaforma di strumenti analitici (PDW) e Azure Synapse devono usare invece ALTER ROLE.
sp_droprolemember (Transact-SQL) Comando Rimuove un account di sicurezza da un ruolo di SQL Server nel database corrente. Tutte le piattaforme ad accezione di Piattaforma di strumenti analitici (PDW) e Azure Synapse devono usare invece ALTER ROLE.
GRANT Autorizzazioni Aggiunge autorizzazioni a un ruolo.
DENY Autorizzazioni Nega un'autorizzazione a un ruolo.
REVOKE Autorizzazioni Rimuove le autorizzazioni precedentemente concesse o negate.

Ruolo del database pubblico

Ogni utente di database appartiene al ruolo di database public . Quando a un utente non sono state concesse o negate autorizzazioni specifiche per un oggetto a protezione diretta, l'utente eredita le autorizzazioni concesse a public per tale oggetto. Gli utenti di database non possono essere rimossi dal ruolo public .

Esempi

Gli esempi in questa sezione illustrano come usare i ruoli a livello di database.

A. Aggiunta di un utente a un ruolo a livello di database

Nell'esempio seguente viene aggiunto l'utente "Ben" al ruolo predefinito a livello di database db_datareader .

ALTER ROLE db_datareader
    ADD MEMBER Ben;  
GO

B. Elenco di tutte le entità di database che sono membri di un ruolo a livello di database

L'istruzione seguente restituisce tutti i membri di qualsiasi ruolo del database.

SELECT    roles.principal_id                            AS RolePrincipalID
    ,    roles.name                                    AS RolePrincipalName
    ,    database_role_members.member_principal_id    AS MemberPrincipalID
    ,    members.name                                AS MemberPrincipalName
FROM sys.database_role_members AS database_role_members  
JOIN sys.database_principals AS roles  
    ON database_role_members.role_principal_id = roles.principal_id  
JOIN sys.database_principals AS members  
    ON database_role_members.member_principal_id = members.principal_id;  
GO