SQL Server インストール用に Azure 拡張機能によって作成されたロール

適用対象: SQL Server

この記事では、SQL Server 用 Azure 拡張機能のインストールによって作成されるサーバーとデータベースのロールとマッピングの一覧を示します。

ロール

SQL Server 用 Azure 拡張機能をインストールすると、インストールは次のようになります。

  1. サーバー レベルのロールを作成します: SQLArcExtensionServerRole

  2. データベース レベルのロールを作成します: SQLArcExtensionUserRole

  3. 各ロールに NT AUTHORITY\SYSTEM* アカウントを追加する

  4. 各データベースのデータベース レベルで NT AUTHORITY\SYSTEM* をマップする

  5. 有効な機能に最小アクセス許可を付与する

    *または、Azure Arc によって有効化された SQL Server を最小限の権限モード (プレビューで利用可能) で実行するように構成することもできます。 詳細については、「Azure Arc によって有効化された SQL Server を最小限の権限で操作する (プレビュー)」を参照してください。

さらに、SQL Server 用 Azure 拡張機能は、特定の機能でこれらのロールが不要になった場合、これらのロールのアクセス許可を取り消します。

SqlServerExtensionPermissionProvider は Windows タスクです。 次のイベントが検出されると、SQL Server の権限が付与または取り消されます。

  • 新しい SQL Server インスタンスがホストにインストールされる
  • SQL Server インスタンスがホストからアンインストールされる
  • インスタンス レベル機能が有効または無効になっているか、設定が更新される
  • 拡張サービスが再起動される

Note

2024 年 7 月のリリースより前の SqlServerExtensionPermissionProvider はスケジュールされたタスクです。 1 時間ごとに実行されます。

詳細については、「Azure Extension for SQL Server の Windows サービス アカウントとアクセス許可を構成する」を参照してください。

SQL Server 用 Azure 拡張機能をアンインストールすると、サーバーとデータベース レベルのロールが削除されます。

アクセス許可

機能 権限 Level ロール
既定値 VIEW SERVER STATE サーバー レベル SQLArcExtensionServerRole
CONNECT SQL サーバー レベル SQLArcExtensionServerRole
VIEW ANY DEFINITION サーバー レベル SQLArcExtensionServerRole
VIEW ANY DATABASE サーバー レベル SQLArcExtensionServerRole
CONNECT ANY DATABASE サーバー レベル SQLArcExtensionServerRole
SELECT dbo.sysjobactivity msdb SQLArcExtensionUserRole
SELECT dbo.sysjobs msdb SQLArcExtensionUserRole
SELECT dbo.syssessions msdb SQLArcExtensionUserRole
SELECT dbo.sysjobHistory msdb SQLArcExtensionUserRole
SELECT dbo.sysjobSteps msdb SQLArcExtensionUserRole
SELECT dbo.syscategories msdb SQLArcExtensionUserRole
SELECT dbo.sysoperators msdb SQLArcExtensionUserRole
SELECT dbo.suspectpages msdb SQLArcExtensionUserRole
SELECT dbo.backupset msdb SQLArcExtensionUserRole
SELECT dbo.backupmediaset msdb SQLArcExtensionUserRole
SELECT dbo.backupmediafamily msdb SQLArcExtensionUserRole
SELECT dbo.backupfile msdb SQLArcExtensionUserRole
バックアップ CREATE ANY DATABASE サーバー レベル SQLArcExtensionServerRole
db_backupoperator ロール [すべてのデータベース] SQLArcExtensionUserRole
dbcreator サーバー レベル SQLArcExtensionServerRole
Azure コントロール プレーン CREATE TABLE msdb SQLArcExtensionUserRole
ALTER ANY SCHEMA msdb SQLArcExtensionUserRole
CREATE TYPE msdb SQLArcExtensionUserRole
EXECUTE msdb SQLArcExtensionUserRole
db_datawriter ロール msdb SQLArcExtensionUserRole
db_datareader ロール msdb SQLArcExtensionUserRole
可用性グループの検出 VIEW ANY DEFINITION サーバー レベル SQLArcExtensionServerRole
Purview 選択 [すべてのデータベース] SQLArcExtensionUserRole
EXECUTE [すべてのデータベース] SQLArcExtensionUserRole
移行の評価 EXECUTE dbo.agent_datetime msdb SQLArcExtensionUserRole
SELECT dbo.sysjobs msdb SQLArcExtensionUserRole
SELECT dbo.sysmail_account msdb SQLArcExtensionUserRole
SELECT dbo.sysmail_profile msdb SQLArcExtensionUserRole
SELECT dbo.sysmail_profileaccount msdb SQLArcExtensionUserRole
SELECT dbo.syssubsystems msdb SQLArcExtensionUserRole
SELECT sys.sql_expression_dependencies [すべてのデータベース] SQLArcExtensionUserRole

最小限の特権で実行する

最小限の特権で SQL Server 用の Azure 拡張機能を実行するには、「 最小限の特権で Azure Arc によって有効になっている SQL Server を操作する」の手順に従います。

現時点では、最小特権の構成は既定ではありません。

Windows サービス アカウントと権限の構成