Azure 擴充功能為 SQL Server 安裝所建立的角色
適用於:SQL Server
本文列出安裝適用於 SQL Server 的 Azure 延伸模組的伺服器和資料庫角色和對應。
角色
當您安裝適用於 SQL Server 的 Azure 擴充功能時,安裝:
建立伺服器層級角色:SQLArcExtensionServerRole
建立資料庫層級角色:SQLArcExtensionUserRole
將 NT AUTHORITY\SYSTEM* 帳戶新增至每個角色
在每個資料庫的資料庫層級對應 NT AUTHORITY\SYSTEM*
為已啟用功能授與最低權限
*您也可以設定 Azure Arc 啟用的 SQL Server,以最低權限模式執行 (預覽版中提供)。 如需最低權限模式的詳細資料,請參閱<以最低權限執行透過 Azure Arc 啟用的 SQL Server (預覽版)>。
此外,當特定功能不再需要這些角色時,SQL Server 的 Azure 擴充功能會撤銷這些角色的權限。
SqlServerExtensionPermissionProvider
是 Windows 工作。 它會在偵測到 SQL Server 時授與或撤銷權限:
- 主機上已安裝新的 SQL Server 執行個體
- 不會解除安裝 SQL Server 執行個體。
- 執行個體層級功能已啟用或停用,或更新設定
- 延伸項目服務已重新啟動
注意
在 2024 年 7 月發佈之前,SqlServerExtensionPermissionProvider
是排程的工作。 每小時執行一次。
如需詳細資訊,請參閱設定適用於 SQL Server 的 Azure 延伸模組之 Windows 服務帳戶和權限。
如果您卸載適用於 SQL Server 的 Azure 擴充功能,則會移除伺服器和資料庫層級角色。
權限
功能 | 權限 | 層級 | 角色 |
---|---|---|---|
預設 | VIEW SERVER STATE | 伺服器層級 | SQLArcExtensionServerRole |
CONNECT SQL | 伺服器層級 | SQLArcExtensionServerRole | |
VIEW ANY DEFINITION | 伺服器層級 | SQLArcExtensionServerRole | |
VIEW ANY DATABASE | 伺服器層級 | SQLArcExtensionServerRole | |
CONNECT ANY DATABASE | 伺服器層級 | SQLArcExtensionServerRole | |
SELECT dbo.sysjobactivity | msdb | SQLArcExtensionUserRole | |
SELECT dbo.sysjobs | msdb | SQLArcExtensionUserRole | |
SELECT dbo.syssessions | msdb | SQLArcExtensionUserRole | |
SELECT dbo.sysjobHistory | msdb | SQLArcExtensionUserRole | |
SELECT dbo.sysjobSteps | msdb | SQLArcExtensionUserRole | |
SELECT dbo.syscategories | msdb | SQLArcExtensionUserRole | |
SELECT dbo.sysoperators | msdb | SQLArcExtensionUserRole | |
SELECT dbo.suspectpages | msdb | SQLArcExtensionUserRole | |
SELECT dbo.backupset | msdb | SQLArcExtensionUserRole | |
SELECT dbo.backupmediaset | msdb | SQLArcExtensionUserRole | |
SELECT dbo.backupmediafamily | msdb | SQLArcExtensionUserRole | |
SELECT dbo.backupfile | msdb | SQLArcExtensionUserRole | |
Backup | CREATE ANY DATABASE | 伺服器層級 | SQLArcExtensionServerRole |
db_backupoperator角色 | 所有資料庫 | SQLArcExtensionUserRole | |
dbcreator | 伺服器層級 | SQLArcExtensionServerRole | |
Azure 控制平面 | CREATE TABLE | msdb | SQLArcExtensionUserRole |
ALTER ANY SCHEMA | msdb | SQLArcExtensionUserRole | |
建立類型 | msdb | SQLArcExtensionUserRole | |
執行 CREATE 陳述式之前,請先執行 | msdb | SQLArcExtensionUserRole | |
db_datawriter角色 | msdb | SQLArcExtensionUserRole | |
db_datareader角色 | msdb | SQLArcExtensionUserRole | |
可用性群組探索 | VIEW ANY DEFINITION | 伺服器層級 | SQLArcExtensionServerRole |
Purview | SELECT | 所有資料庫 | SQLArcExtensionUserRole |
執行 CREATE 陳述式之前,請先執行 | 所有資料庫 | SQLArcExtensionUserRole | |
移轉評估 | EXECUTE dbo.agent_datetime | msdb | SQLArcExtensionUserRole |
SELECT dbo.sysjobs | msdb | SQLArcExtensionUserRole | |
SELECT dbo.sysmail_account | msdb | SQLArcExtensionUserRole | |
SELECT dbo.sysmail_profile | msdb | SQLArcExtensionUserRole | |
SELECT dbo.sysmail_profileaccount | msdb | SQLArcExtensionUserRole | |
SELECT dbo.syssubsystems | msdb | SQLArcExtensionUserRole | |
SELECT sys.sql_expression_dependencies | 所有資料庫 | SQLArcExtensionUserRole |
使用最低權限執行
若要以最低許可權執行適用於 SQL Server 的 Azure 擴充功能,請遵循以最低許可權操作 Azure Arc 所啟用 SQL Server 的指示。
目前,最低許可權設定不是預設值。