SQL Veritabanı’na, SQL Yönetilen Örneği’ne ve Azure Synapse Analytics’e veritabanı erişimini yetkilendirme

  • Makale
  • Okumak için 8 dakika

AŞAĞıDAKILER IÇIN GEÇERLIDIR: Azure SQL Veritabanı Azure SQL Yönetilen Örneği Azure Synapse Analytics

Bu makalede şunları öğrenirsiniz:

  • Kullanıcıların yönetim görevlerini Azure SQL Veritabanı ve bu veritabanlarında depolanan verilere erişmelerini sağlamak için Azure SQL Veritabanı, Azure SQL Yönetilen Örneği ve Azure Synapse Analytics'yi yapılandırma seçenekleri.
  • Başlangıçta yeni bir sunucu oluşturduk sonra erişim ve yetkilendirme yapılandırması.
  • Ana veritabanına ve kullanıcı hesaplarına oturum açma bilgileri ve kullanıcı hesapları ekleme ve ardından bu hesaplara yönetim izinleri atama.
  • Kullanıcı veritabanlarına kullanıcı hesapları ekleme (oturum açma bilgileriyle ilişkili veya içinde bulunan kullanıcı hesapları olarak).
  • Veritabanı rollerini ve açık izinleri kullanarak kullanıcı veritabanlarında izinlere sahip kullanıcı hesaplarını yapılandırma.

Önemli

Azure SQL Veritabanı, Azure SQL Yönetilen Örneği ve Azure Synapse'daki veritabanları, bu makalenin geri kalanında topluca veritabanı olarak, sunucu ise Azure SQL Veritabanı ve Azure Synapse için veritabanlarını yöneten sunucuya başvurur.

Azure performansını geliştirmek için SQL!

Kimlik doğrulaması ve yetkilendirme

Kimlik doğrulaması, kullanıcının iddia ettiği kişi olduğunu kanıtlama işlemidir. Kullanıcı, kullanıcı hesabı kullanarak veritabanına bağlanır. Kullanıcı bir veritabanına bağlanmayı denemesi, bir kullanıcı hesabı ve kimlik doğrulama bilgileri sağlar. Kullanıcının kimliği aşağıdaki iki kimlik doğrulama yöntemi kullanılarak doğrulanır:

  • SQL doğrulaması.

    Bu kimlik doğrulama yöntemiyle, kullanıcı bağlantı kurmak için bir kullanıcı hesabı adı ve ilişkili parolayı göndermektedir. Bu parola, oturum açma bilgilerine bağlı kullanıcı hesapları için ana veritabanında depolanır veya oturum açma bilgilerine bağlı değil kullanıcı hesaplarını içeren veritabanında depolanır.

  • Azure Active Directory Kimlik Doğrulaması

    Bu kimlik doğrulama yöntemiyle, kullanıcı bir kullanıcı hesabı adı göndermektedir ve hizmetin Azure Active Directory (Azure AD) içinde depolanan kimlik bilgilerini kullanmasını istenir.

Oturum açma bilgileri ve kullanıcılar: Veritabanındaki bir kullanıcı hesabı ana veritabanında depolanan oturumla ilişkilendirilebilir veya ayrı bir veritabanında depolanan kullanıcı adı olabilir.

  • Oturum açma bilgileri, bir veya birden fazla veritabanındaki kullanıcı hesabının bağlanabileceği, ana veritabanında yer alan ayrı bir hesaptır. Oturum açma hesabında, kullanıcı hesabının kimlik bilgileri oturum açma hesabıyla depolanır.
  • Kullanıcı hesabı, herhangi bir veritabanında oturum açma hesabıyla bağlantılı olabilen ama bağlantılı olması gerekli olmayan bireysel bir hesaptır. Oturum açmaya bağlantılı olmayan bir kullanıcı hesabında kimlik bilgileri kullanıcı hesabında depolanır.

Verilere erişme ve çeşitli eylemler gerçekleştirme yetkisi, veritabanı rolleri ve açık izinler kullanılarak yönetilir. Yetkilendirme, bir kullanıcıya atanan izinleri ifade eder ve kullanıcının ne yapma izni olduğunu belirler. Yetkilendirme, kullanıcı hesabının veritabanı rolü üyelikleri ve nesne düzeyi izinleri tarafından denetlenmektedir. En iyi uygulama olarak, kullanıcılarınıza gerekli olan en düşük ayrıcalıkları tanımanız gerekir.

Yeni veritabanı oluşturdukta mevcut oturum açma bilgileri ve kullanıcı hesapları

Azure SQL'yi ilk kez dağıtarak bir yönetici oturum açma adı ve ilgili oturum açma bilgileri için ilişkili bir parola belirtirsiniz. Bu yönetim hesabı Sunucu yöneticisi olarak adlandırılan bir hesaptır. Ana ve kullanıcı veritabanlarında oturum açma bilgileri ve kullanıcılar için aşağıdaki yapılandırma dağıtım sırasında gerçekleşir:

  • Belirttiğiniz SQL yönetici ayrıcalıklarına sahip bir oturum açma kimliği oluşturulur. Oturum açma, yönetilen örnekte, yönetilen örnekte ve SQL Veritabanı oturum SQL bireysel bir Azure Synapse.
  • Bu oturum açma, tüm veritabanlarında sunucu düzeyinde sorumlu olarak tam yönetim izinleri verir. Oturum açma tüm kullanılabilir izinlere sahip ve sınırlı değildir. Yönetilen SQL, bu oturum açma bilgileri sysadmin sabit sunucu rolüne eklenir (bu rol Azure SQL Veritabanı).
  • Her kullanıcı veritabanında bu oturum açma için adlı bir kullanıcı hesabı dbo oluşturulur. Dbo kullanıcısı veritabanındaki tüm veritabanı izinlerine sahip ve sabit veritabanı db_owner rolüyle eşlenmiş. Ek sabit veritabanı rolleri bu makalenin devamlarında ele alınmıştır.

Bir veritabanının yönetici hesaplarını belirlemek için Azure portal açın ve sunucunuz veya yönetilen örneğinizin Özellikler sekmesine gidin.

SQL Server Yöneticileri

Özellikler menü seçeneğini vurgulayan ekran görüntüsü.

Önemli

Yönetici oturum açma adı oluşturulduktan sonra değiştirilemez. Sunucu yöneticisinin parolasını sıfırlamak için, Azure portal'a gidin,SQL Sunucular'a tıklayın, listeden sunucuyu seçin ve ardından Parolayı Sıfırla'ya tıklayın. SQL Yönetilen Örneği'nin parolasını sıfırlamak için Azure portal örneğine tıklayın ve Parolayı sıfırla'ya tıklayın. PowerShell veya Azure CLI'sini de kullanabilirsiniz.

Ek oturum açma bilgileri oluşturma ve yönetici izinlerine sahip kullanıcılar

Bu noktada, sunucunuz veya yönetilen örneğinz yalnızca tek bir kullanıcı hesabı ve kullanıcı hesabı SQL erişim için yapılandırılır. Tam veya kısmi yönetim izinlerine sahip ek oturum açma bilgileri oluşturmak için aşağıdaki seçeneklere sahip olursunuz (dağıtım modunıza bağlı olarak):

  • Tam yönetici Azure Active Directory bir yönetici hesabı oluşturma

    Kimlik Azure Active Directory etkinleştirme ve Azure AD yöneticisi oturum açma bilgileri oluşturma. Bir Azure Active Directory hesabı, tam yönetim izinleriyle Azure SQL yöneticisi olarak yalıtabilirsiniz. Bu hesap bir kişi veya güvenlik grubu hesabı olabilir. SQL Veritabanı, SQL Yönetilen Örnek veya Azure Synapse'a bağlanmak için Azure AD hesaplarını kullanmak için bir Azure AD yöneticisi Azure Synapse. Tüm Azure depolama ve dağıtım türleri için Azure AD kimlik doğrulamasını SQL ayrıntılı bilgi için aşağıdaki makalelere bakın:

  • Yönetilen SQL tam yönetici izinleriyle SQL oturum açma bilgileri oluşturun

  • SQL Veritabanında sınırlı yönetici izinleriyle SQL oturum açma bilgileri oluşturun

    • Ana veritabanında ek bir SQL oturum açma bilgisi oluşturun.
    • Ana veritabanında bu yeni oturum açma bilgisiyle ilişkilendirilmiş bir kullanıcı hesabı oluşturun.
    • ALTER ROLE deyimini kullanarak kullanıcı hesabını , rolüne veya her ikisini birden veritabanına ekleyin dbmanager loginmanager master (Azure Synapse için sp_addrolemember kullanın).

    Not

    dbmanagerve loginmanager rolleri, yönetilen SQL ilgili değildir.

    Bu özel ana veritabanı rollerinin üyeleri Azure SQL Veritabanı oluşturma ve yönetme ya da oturum açma bilgileri oluşturma ve yönetme yetkisine sahip olur. Rolün üyesi olan bir kullanıcı tarafından oluşturulan veritabanlarında, üye sabit veritabanı rolüne eşlenmiş ve kullanıcı hesabını kullanarak bu veritabanında oturum açarak dbmanager db_owner bu veritabanını dbo yönetebilir. Bu rollerin ana veritabanı dışında açık izinleri yoktur.

    Önemli

    SQL Veritabanında tam yönetici izinleriyle ek bir SQL oturum açma bilgisi oluşturamazsınız.

Yönetici olmayan kullanıcılar için hesap oluşturma

İki yöntemden birini kullanarak yönetici olmayan kullanıcılar için hesaplar oluşturabilirsiniz:

  • Oturum oluşturur

    Ana veritabanında SQL oturum açma bilgileri oluşturun. Ardından, kullanıcının erişmesi gereken her veritabanında bir kullanıcı hesabı oluşturun ve kullanıcı hesabını bu oturum açma bilgileriyle ilişkilendirmeniz gerekir. Kullanıcının birden çok veritabanına erişmesi gereken ve parolaları eşitlenmiş durumda tutmak istediğiniz durumda bu yaklaşım tercih edilir. Ancak, oturum açma işleminin hem birincil sunucuda hem de ikincil sunucularda oluşturulacak olması nedeniyle coğrafi çoğaltma ile birlikte kullanılırken bu yaklaşım karmaşıklıklara neden olur. Daha fazla bilgi için bkz. Coğrafi geri yükleme Azure SQL Veritabanıyük devretme için güvenlik ayarlarını yapılandırma ve yönetme.

  • Kullanıcı hesabı oluşturma

    Veritabanında kullanıcının erişmesi gereken bir kullanıcı hesabı oluşturun (ayrıca, içinde bulunan kullanıcı olarak da denir).

    • Bu SQL Veritabanı, her zaman bu tür bir kullanıcı hesabı oluşturabilirsiniz.
    • Azure ADSQL sorumlularını destekleyen bir Yönetilen Örnek ile, veritabanı kullanıcılarının tek bir veritabanı kullanıcısı olarak oluşturulmalarını gerektirmeden SQL Yönetilen Örneğinde kimlik doğrulaması yapmak için kullanıcı hesapları oluşturabilirsiniz.

    Bu yaklaşımda kullanıcı kimlik doğrulaması bilgileri her veritabanında depolanır ve coğrafi olarak çoğaltılmış veritabanlarına otomatik olarak çoğaltılır. Ancak, aynı hesap birden çok veritabanında mevcutsa ve Azure SQL Kimlik Doğrulaması kullanıyorsanız parolaları el ile eşitlenmiş durumda tutmanız gerekir. Ayrıca, bir kullanıcının farklı veritabanlarında farklı parolalara sahip bir hesabı varsa, bu parolaları hatırlamak sorun olabilir.

Önemli

Azure AD kimlikleriyle eşlenen bir imtiyazlı kullanıcı oluşturmak için, Azure SQL Veritabanı'deki veritabanında yönetici olan bir Azure AD hesabı kullanarak oturum Azure SQL Veritabanı. Yönetilen SQL'de, izinlere SQL oturum açma bilgileri azure AD oturum açma bilgileri sysadmin veya kullanıcı da oluşturabilir.

Oturum açma bilgileri ve kullanıcı oluşturma örneklerini görmek için bkz.

İpucu

Azure SQL Veritabanı'de kullanıcı oluşturmayı içeren bir güvenlik öğreticisi için bkz. Öğretici: Azure SQL Veritabanı.

Sabit ve özel veritabanı rollerini kullanma

Bir veritabanında bir oturum açma ya da kapsanan Kullanıcı olarak bir kullanıcı hesabı oluşturduktan sonra, söz konusu kullanıcıya çeşitli eylemler gerçekleştirme ve belirli bir veritabanındaki verilere erişme yetkisi verebilirsiniz. Erişimi yetkilendirmek için aşağıdaki yöntemleri kullanabilirsiniz:

  • Düzeltilen veritabanı rolleri

    Kullanıcı hesabını bir sabit veritabanı rolüneekleyin. Her biri tanımlanmış bir izin kümesine sahip 9 sabit veritabanı rolü vardır. En yaygın sabit veritabanı rolleri şunlardır: db_owner, db_ddladmin, db_datawriter, db_datareader, db_denydatawriter ve db_denydatareader. Birkaç kullanıcıya tam izin vermek için genelde db_owner kullanılır. Diğer sabit veritabanı rolleri, geliştirme aşamasında basit bir veritabanını hızlı bir şekilde kullanıma almak için kullanışlıdır ancak çoğu üretim veritabanı için önerilmez. Örneğin, db_datareader sabit veritabanı rolü, veritabanı içindeki her tabloya okuma erişimi verir ve bu, kesinlikle gereklidir.

  • Özel veritabanı rolü

    Create role ifadesini kullanarak özel bir veritabanı rolü oluşturun. Özel bir rol, kendi Kullanıcı tanımlı veritabanı rollerinizi oluşturmanıza ve her bir role iş ihtiyacı için gereken en az izni sağlamanıza olanak sağlar. Ardından, özel Role Kullanıcı ekleyebilirsiniz. Birden fazla rolün üyesi olan kullanıcılar, tüm rollerin izinlerine sahip olur.

  • İzinleri doğrudan verme

    Kullanıcı hesabı izinlerini doğrudan verin. SQL Veritabanında ayrı ayrı verilebilen veya reddedilebilen 100'den fazla izin vardır. Bu izinlerin çoğu iç içe geçmiş haldedir. Örneğin, bir şemada için verilen UPDATE izni, o şema içindeki tüm tablolar için UPDATE iznini de içerir. Çoğu izin sisteminde olduğu gibi bir iznin reddedilmesi, aynı iznin verilme durumunu geçersiz kılar. İç içe geçmiş yapısı ve izin sayısı nedeniyle, veritabanınızı doğru şekilde korumak için uygun bir izin sistemi tasarlamak uzun ve dikkatli bir çalışma gerektirebilir. İzinler (Veritabanı Altyapısı) ile başlayın ve izinlerin poster boyutundaki tablosunu inceleyin.

Grupları kullanma

Verimli erişim yönetimi, bireysel kullanıcılar yerine Active Directory güvenlik gruplarına ve sabit veya özel rollere atanan izinleri kullanır.

  • Azure Active Directory kimlik doğrulaması kullanırken, Azure Active Directory kullanıcıları Azure Active Directory güvenlik grubuna yerleştirin. Grup için bir bağımsız veritabanı kullanıcısı oluşturun. Özel veya yerleşik veritabanı rollerine üye olarak bir veya daha fazla veritabanı kullanıcısı ekleyin bu kullanıcı grubuna uygun olan belirli izinlerle.

  • SQL kimlik doğrulaması kullanırken, veritabanında kapsanan veritabanı kullanıcıları oluşturun. Bir veya daha fazla veritabanı kullanıcıyı, bu kullanıcı grubuna uygun belirli izinlerle özel bir veritabanı rolüne yerleştirin.

    Not

    Ayrıca, içerilmeyen veritabanı kullanıcıları için grupları kullanabilirsiniz.

İzinleri sınırlamak veya yükseltmek için kullanılabilen aşağıdaki özellikleri tanımanız gerekir:

Sonraki adımlar

tüm Azure SQL Veritabanı genel bakış ve yönetilen örnek güvenlik özelliklerine SQL için bkz. güvenliğe genel bakış.