Funções criadas pela extensão do Azure para instalação do SQL Server

  • Artigo

Aplica-se a:SQL Server

Este artigo lista as funções e mapeamentos de servidor e banco de dados criados pela instalação da extensão do Azure para SQL Server.

Funções

Quando você instala a extensão do Azure para o SQL Server, a instalação:

  1. Cria uma função de nível de servidor: SQLArcExtensionServerRole
  2. Cria uma função no nível do banco de dados: SQLArcExtensionUserRole
  3. Adiciona conta NT AUTHORITY\SYSTEM a cada função
  4. Mapeia NT AUTHORITY\SYSTEM no nível do banco de dados para cada banco de dados
  5. Concede permissões mínimas para os recursos habilitados

Além disso, a extensão do Azure para SQL Server revoga permissões para essas funções quando elas não são mais necessárias para recursos específicos.

Uma tarefa agendada do Windows é executada de hora em hora. Ele concede ou revoga privilégios no SQL Server quando detecta:

  • Uma nova instância do SQL Server é instalada no host
  • Um novo banco de dados é criado
  • Um recurso está habilitado ou desabilitado

Para obter detalhes, consulte Configurar contas de serviço do Windows e permissões para a extensão do Azure para SQL Server.

Se você desinstalar a extensão do Azure para SQL Server, funções de nível de servidor e banco de dados serão removidas.

Permissões

Recurso Permissão Nível Função
Padrão VIEW SERVER STATE Nível do servidor SQLArcExtensionServerRole
CONNECT SQL Nível do servidor SQLArcExtensionServerRole
VIEW ANY DEFINITION Nível do servidor SQLArcExtensionServerRole
VIEW ANY DATABASE Nível do servidor SQLArcExtensionServerRole
CONNECT ANY DATABASE Nível do servidor SQLArcExtensionServerRole
SELECT dbo.sysjobactivity msdb SQLArcExtensionUserRole
SELECT dbo.sysjobs msdb SQLArcExtensionUserRole
SELECT dbo.syssessions msdb SQLArcExtensionUserRole
SELECT dbo.sysjobHistory msdb SQLArcExtensionUserRole
SELECT dbo.sysjobSteps msdb SQLArcExtensionUserRole
SELECIONAR dbo.syscategorias msdb SQLArcExtensionUserRole
SELECT dbo.sysoperators msdb SQLArcExtensionUserRole
SELECT dbo.suspectpages msdb SQLArcExtensionUserRole
SELECT dbo.backupset msdb SQLArcExtensionUserRole
SELECT dbo.backupmediaset msdb SQLArcExtensionUserRole
SELECT dbo.backupmediafamily msdb SQLArcExtensionUserRole
SELECT dbo.backupfile msdb SQLArcExtensionUserRole
Backup CREATE ANY DATABASE Nível do servidor SQLArcExtensionServerRole
função db_backupoperator Todos os bancos de dados SQLArcExtensionUserRole
dbcreator Nível do servidor SQLArcExtensionServerRole
Plano de Controle do Azure CREATE TABLE msdb SQLArcExtensionUserRole
ALTER ANY SCHEMA msdb SQLArcExtensionUserRole
CRIAR TIPO msdb SQLArcExtensionUserRole
Execute msdb SQLArcExtensionUserRole
função db_datawriter msdb SQLArcExtensionUserRole
função db_datareader msdb SQLArcExtensionUserRole
Descoberta de grupo de disponibilidade VIEW ANY DEFINITION Nível do servidor SQLArcExtensionServerRole
Purview SELECT Todos os bancos de dados SQLArcExtensionUserRole
Execute Todos os bancos de dados SQLArcExtensionUserRole
Avaliação da migração EXECUTE dbo.agent_datetime msdb SQLArcExtensionUserRole
SELECT dbo.sysjobs msdb SQLArcExtensionUserRole
SELECIONE dbo.sysmail_account msdb SQLArcExtensionUserRole
SELECIONE dbo.sysmail_profile msdb SQLArcExtensionUserRole
SELECIONE dbo.sysmail_profileaccount msdb SQLArcExtensionUserRole
SELECT dbo.syssubsystems msdb SQLArcExtensionUserRole
SELECIONE sys.sql_dependência_de_expressão Todos os bancos de dados SQLArcExtensionUserRole

Executar com o mínimo de privilégio

Para executar a extensão do Azure para SQL Server com menos privilégio, siga as instruções em Operar o SQL Server habilitado pelo Azure Arc com menos privilégio (visualização).

No momento, a configuração de privilégio mínimo não é o padrão.

Conteúdo relacionado

Configurar contas e permissões de serviço Windows