SQL Server インストール用に Azure 拡張機能によって作成されたロール
適用対象:
SQL Server
この記事では、SQL Server 用 Azure 拡張機能のインストールによって作成されるサーバーとデータベースのロールとマッピングの一覧を示します。
ロール
SQL Server 用 Azure 拡張機能をインストールすると、インストールは次のようになります。
- サーバー レベルのロールを作成します: SQLArcExtensionServerRole
- データベース レベルのロールを作成します: SQLArcExtensionUserRole
- 各ロールに NT AUTHORITY\SYSTEM アカウントを追加する
- 各データベースのデータベース レベルで NT AUTHORITY\SYSTEM をマップする
- 有効な機能に最小アクセス許可を付与する
さらに、SQL Server 用 Azure 拡張機能は、特定の機能でこれらのロールが不要になった場合、これらのロールのアクセス許可を取り消します。
SqlServerExtensionPermissionProvider は、Windows のスケジュールされたタスクです。 1 時間ごとに実行されます。 次のイベントが検出されると、SQL Server の権限が付与または取り消されます。
- 新しい SQL Server インスタンスがホストにインストールされた
- 新しいデータベースが作成された
- 機能が有効化された、または無効化された
詳細については、「Azure Extension for SQL Server の Windows サービス アカウントとアクセス許可を構成する」を参照してください。
SQL Server 用 Azure 拡張機能をアンインストールすると、サーバーとデータベース レベルのロールが削除されます。
アクセス許可
| 機能 | 権限 | Level | ロール |
|---|---|---|---|
| 既定値 | VIEW SERVER STATE | サーバー レベル | SQLArcExtensionServerRole |
| CONNECT SQL | サーバー レベル | SQLArcExtensionServerRole | |
| VIEW ANY DEFINITION | サーバー レベル | SQLArcExtensionServerRole | |
| VIEW ANY DATABASE | サーバー レベル | SQLArcExtensionServerRole | |
| CONNECT ANY DATABASE | サーバー レベル | SQLArcExtensionServerRole | |
| Standard Edition LECT dbo.sysjobactivity | msdb | SQLArcExtensionUserRole | |
| Standard Edition LECT dbo.sysjobs | msdb | SQLArcExtensionUserRole | |
| Standard Edition LECT dbo.syssessions | msdb | SQLArcExtensionUserRole | |
| Standard Edition LECT dbo.sysjobHistory | msdb | SQLArcExtensionUserRole | |
| Standard Edition LECT dbo.sysjobSteps | msdb | SQLArcExtensionUserRole | |
| Standard Edition LECT dbo.syscategories | msdb | SQLArcExtensionUserRole | |
| Standard Edition LECT dbo.sysoperators | msdb | SQLArcExtensionUserRole | |
| Standard Edition LECT dbo.suspectpages | msdb | SQLArcExtensionUserRole | |
| Standard Edition LECT dbo.backupset | msdb | SQLArcExtensionUserRole | |
| Standard Edition LECT dbo.backupmediaset | msdb | SQLArcExtensionUserRole | |
| Standard Edition LECT dbo.backupmediafamily | msdb | SQLArcExtensionUserRole | |
| Standard Edition LECT dbo.backupfile | msdb | SQLArcExtensionUserRole | |
| バックアップ | CREATE ANY DATABASE | サーバー レベル | SQLArcExtensionServerRole |
| db_backupoperator ロール | [すべてのデータベース] | SQLArcExtensionUserRole | |
| dbcreator | サーバー レベル | SQLArcExtensionServerRole | |
| Azure コントロール プレーン | CREATE TABLE | msdb | SQLArcExtensionUserRole |
| ALTER ANY SCHEMA | msdb | SQLArcExtensionUserRole | |
| CREATE TYPE | msdb | SQLArcExtensionUserRole | |
| EXECUTE | msdb | SQLArcExtensionUserRole | |
| db_datawriter ロール | msdb | SQLArcExtensionUserRole | |
| db_datareader ロール | msdb | SQLArcExtensionUserRole | |
| 可用性グループの検出 | VIEW ANY DEFINITION | サーバー レベル | SQLArcExtensionServerRole |
| Purview | 選択 | [すべてのデータベース] | SQLArcExtensionUserRole |
| EXECUTE | [すべてのデータベース] | SQLArcExtensionUserRole | |
| 移行の評価 | EXECUTE dbo.agent_datetime | msdb | SQLArcExtensionUserRole |
| Standard Edition LECT dbo.sysjobs | msdb | SQLArcExtensionUserRole | |
| Standard Edition LECT dbo.sysmail_account | msdb | SQLArcExtensionUserRole | |
| Standard Edition LECT dbo.sysmail_profile | msdb | SQLArcExtensionUserRole | |
| Standard Edition LECT dbo.sysmail_profileaccount | msdb | SQLArcExtensionUserRole | |
| Standard Edition LECT dbo.syssubsystems | msdb | SQLArcExtensionUserRole | |
| Standard Edition LECT sys.sql_expression_dependencies | [すべてのデータベース] | SQLArcExtensionUserRole |
最小限の特権で実行する
最小限の特権で SQL Server 用の Azure 拡張機能を実行するには、Azure Arc で有効になっている SQL Server の操作 (プレビュー) に関するページの手順に従います。
現時点では、最小特権の構成は既定ではありません。
関連するコンテンツ
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示