Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplica-se:
SQL Server
Este artigo lista as funções e mapeamentos de servidor e banco de dados que a instalação da extensão do Azure para SQL Server cria.
Funções
Quando você instala a extensão do Azure para o SQL Server, a instalação:
Cria uma função de nível de servidor: SQLArcExtensionServerRole
Cria uma função no nível do banco de dados: SQLArcExtensionUserRole
Adiciona a conta NT AUTHORITY\SYSTEM* a cada função
Realiza o mapeamento de NT AUTHORITY\SYSTEM* no nível de banco de dados para cada banco de dados
Concede permissões mínimas para os recursos habilitados
*Como alternativa, é possível configurar o SQL Server habilitado pelo Azure Arc para ser executado no modo de privilégio mínimo (disponível na preview). Para obter detalhes, faça a revisão do artigo Operar o SQL Server habilitado pelo Azure Arc com privilégios mínimos (preview).
Além disso, a extensão do Azure para SQL Server revoga permissões para essas funções quando elas não são mais necessárias para recursos específicos.
SqlServerExtensionPermissionProvider é uma tarefa do Windows. Ela concede ou revoga privilégios no SQL Server quando detecta:
- Se uma nova instância do SQL Server for instalada no host
- A desinstalação de instância do SQL Server do host
- A habilitação ou desabilitação de um recurso de nível de instância ou a atualização das configurações
- A reinicialização do serviço de extensão
Observação
Antes da versão de julho de 2024, SqlServerExtensionPermissionProvider é uma tarefa agendada. Ela funciona de hora em hora.
Para obter detalhes, consulte Configurar contas de serviço do Windows e permissões para a extensão do Azure para SQL Server.
Se você desinstalar a extensão do Azure para SQL Server, funções de nível de servidor e banco de dados serão removidas.
Permissões
| Recurso | Permissão | Nível | Função |
|---|---|---|---|
| Padrão | VIEW SERVER STATE | Nível do servidor | SQLArcExtensionServerRole |
| CONNECT SQL | Nível do servidor | SQLArcExtensionServerRole | |
| VIEW ANY DEFINITION | Nível do servidor | SQLArcExtensionServerRole | |
| VIEW ANY DATABASE | Nível do servidor | SQLArcExtensionServerRole | |
| CONNECT ANY DATABASE | Nível do servidor | SQLArcExtensionServerRole | |
| SELECT dbo.sysjobactivity | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.sysjobs | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.syssessões | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.sysjobHistory | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.sysjobSteps | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.syscategories | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.sysoperators | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.suspectpages | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.backupset | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.backupmediaset | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.backupmediafamily | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.backuparquivo | msdb | SQLArcExtensionUserRole | |
| Backup | CREATE ANY DATABASE | Nível do servidor | SQLArcExtensionServerRole |
| função db_backupoperator | Todos os bancos de dados | SQLArcExtensionUserRole | |
| dbcreator | Nível do servidor | SQLArcExtensionServerRole | |
| Painel de controle do Azure | CREATE TABLE | msdb | SQLArcExtensionUserRole |
| ALTER ANY SCHEMA | msdb | SQLArcExtensionUserRole | |
| CRIAR TIPO | msdb | SQLArcExtensionUserRole | |
| Execute | msdb | SQLArcExtensionUserRole | |
| função db_datawriter | msdb | SQLArcExtensionUserRole | |
| função db_datareader | msdb | SQLArcExtensionUserRole | |
| Descoberta de grupo de disponibilidade | VIEW ANY DEFINITION | Nível do servidor | SQLArcExtensionServerRole |
| Failover do Grupo de Disponibilidade | ALTER ANY AVAILABILITY GROUP | Nível do servidor | SQLArcExtensionServerRole |
| Purview | SELECT | Todos os bancos de dados | SQLArcExtensionUserRole |
| Execute | Todos os bancos de dados | SQLArcExtensionUserRole | |
| Avaliação de migração | EXECUTAR dbo.agent_datetime | msdb | SQLArcExtensionUserRole |
| SELECT dbo.sysjobs | msdb | SQLArcExtensionUserRole | |
| SELECIONE dbo.sysmail_account | msdb | SQLArcExtensionUserRole | |
| SELECIONE dbo.sysmail_profile | msdb | SQLArcExtensionUserRole | |
| SELECIONE dbo.sysmail_profileaccount | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.syssubsistemas | msdb | SQLArcExtensionUserRole | |
| SELECT sys.sql_expression_dependencies | Todos os bancos de dados | SQLArcExtensionUserRole |
Executar com privilégios mínimos
Para executar a extensão do Azure para SQL Server com privilégios mínimos, siga as instruções em Operar o SQL Server habilitado pelo Azure Arc com privilégios mínimos.
No momento, a configuração de privilégios mínimos não é o padrão.