SQL Server インストール用に Azure 拡張機能によって作成されたロール
適用対象: 
SQL Server
この記事では、SQL Server 用 Azure 拡張機能のインストールによって作成されるサーバーとデータベースのロールとマッピングの一覧を示します。
ロール
SQL Server 用 Azure 拡張機能をインストールすると、インストールは次のようになります。
サーバー レベルのロールを作成します: SQLArcExtensionServerRole
データベース レベルのロールを作成します: SQLArcExtensionUserRole
各ロールに NT AUTHORITY\SYSTEM* アカウントを追加する
各データベースのデータベース レベルで NT AUTHORITY\SYSTEM* をマップする
有効な機能に最小アクセス許可を付与する
*または、Azure Arc によって有効化された SQL Server を最小限の権限モード (プレビューで利用可能) で実行するように構成することもできます。 詳細については、「Azure Arc によって有効化された SQL Server を最小限の権限で操作する (プレビュー)」を参照してください。
さらに、SQL Server 用 Azure 拡張機能は、特定の機能でこれらのロールが不要になった場合、これらのロールのアクセス許可を取り消します。
SqlServerExtensionPermissionProvider は Windows タスクです。 次のイベントが検出されると、SQL Server の権限が付与または取り消されます。
- 新しい SQL Server インスタンスがホストにインストールされる
- SQL Server インスタンスがホストからアンインストールされる
- インスタンス レベル機能が有効または無効になっているか、設定が更新される
- 拡張サービスが再起動される
Note
2024 年 7 月のリリースより前の SqlServerExtensionPermissionProvider はスケジュールされたタスクです。 1 時間ごとに実行されます。
詳細については、「Azure Extension for SQL Server の Windows サービス アカウントとアクセス許可を構成する」を参照してください。
SQL Server 用 Azure 拡張機能をアンインストールすると、サーバーとデータベース レベルのロールが削除されます。
アクセス許可
| 機能 | 権限 | Level | ロール |
|---|---|---|---|
| 既定値 | VIEW SERVER STATE | サーバー レベル | SQLArcExtensionServerRole |
| CONNECT SQL | サーバー レベル | SQLArcExtensionServerRole | |
| VIEW ANY DEFINITION | サーバー レベル | SQLArcExtensionServerRole | |
| VIEW ANY DATABASE | サーバー レベル | SQLArcExtensionServerRole | |
| CONNECT ANY DATABASE | サーバー レベル | SQLArcExtensionServerRole | |
| SELECT dbo.sysjobactivity | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.sysjobs | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.syssessions | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.sysjobHistory | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.sysjobSteps | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.syscategories | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.sysoperators | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.suspectpages | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.backupset | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.backupmediaset | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.backupmediafamily | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.backupfile | msdb | SQLArcExtensionUserRole | |
| バックアップ | CREATE ANY DATABASE | サーバー レベル | SQLArcExtensionServerRole |
| db_backupoperator ロール | [すべてのデータベース] | SQLArcExtensionUserRole | |
| dbcreator | サーバー レベル | SQLArcExtensionServerRole | |
| Azure コントロール プレーン | CREATE TABLE | msdb | SQLArcExtensionUserRole |
| ALTER ANY SCHEMA | msdb | SQLArcExtensionUserRole | |
| CREATE TYPE | msdb | SQLArcExtensionUserRole | |
| EXECUTE | msdb | SQLArcExtensionUserRole | |
| db_datawriter ロール | msdb | SQLArcExtensionUserRole | |
| db_datareader ロール | msdb | SQLArcExtensionUserRole | |
| 可用性グループの検出 | VIEW ANY DEFINITION | サーバー レベル | SQLArcExtensionServerRole |
| Purview | 選択 | [すべてのデータベース] | SQLArcExtensionUserRole |
| EXECUTE | [すべてのデータベース] | SQLArcExtensionUserRole | |
| 移行の評価 | EXECUTE dbo.agent_datetime | msdb | SQLArcExtensionUserRole |
| SELECT dbo.sysjobs | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.sysmail_account | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.sysmail_profile | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.sysmail_profileaccount | msdb | SQLArcExtensionUserRole | |
| SELECT dbo.syssubsystems | msdb | SQLArcExtensionUserRole | |
| SELECT sys.sql_expression_dependencies | [すべてのデータベース] | SQLArcExtensionUserRole |
最小限の特権で実行する
最小限の特権で SQL Server 用の Azure 拡張機能を実行するには、「 最小限の特権で Azure Arc によって有効になっている SQL Server を操作する」の手順に従います。
現時点では、最小特権の構成は既定ではありません。