Funções criadas pela extensão do Azure para instalação do SQL Server

Aplica-se: SQL Server

Este artigo lista as funções e mapeamentos de servidor e banco de dados que a instalação da extensão do Azure para SQL Server cria.

Funções

Quando você instala a extensão do Azure para o SQL Server, a instalação:

  1. Cria uma função de nível de servidor: SQLArcExtensionServerRole

  2. Cria uma função no nível do banco de dados: SQLArcExtensionUserRole

  3. Adiciona a conta NT AUTHORITY\SYSTEM* a cada função

  4. Realiza o mapeamento de NT AUTHORITY\SYSTEM* no nível de banco de dados para cada banco de dados

  5. Concede permissões mínimas para os recursos habilitados

    *Como alternativa, é possível configurar o SQL Server habilitado pelo Azure Arc para ser executado no modo de privilégio mínimo (disponível na preview). Para obter detalhes, faça a revisão do artigo Operar o SQL Server habilitado pelo Azure Arc com privilégios mínimos (preview).

Além disso, a extensão do Azure para SQL Server revoga permissões para essas funções quando elas não são mais necessárias para recursos específicos.

SqlServerExtensionPermissionProvider é uma tarefa do Windows. Ela concede ou revoga privilégios no SQL Server quando detecta:

  • Se uma nova instância do SQL Server for instalada no host
  • A desinstalação de instância do SQL Server do host
  • A habilitação ou desabilitação de um recurso de nível de instância ou a atualização das configurações
  • A reinicialização do serviço de extensão

Observação

Antes da versão de julho de 2024, SqlServerExtensionPermissionProvider é uma tarefa agendada. Ela funciona de hora em hora.

Para obter detalhes, consulte Configurar contas de serviço do Windows e permissões para a extensão do Azure para SQL Server.

Se você desinstalar a extensão do Azure para SQL Server, funções de nível de servidor e banco de dados serão removidas.

Permissões

Recurso Permissão Nível Função
Padrão VIEW SERVER STATE Nível do servidor SQLArcExtensionServerRole
CONNECT SQL Nível do servidor SQLArcExtensionServerRole
VIEW ANY DEFINITION Nível do servidor SQLArcExtensionServerRole
VIEW ANY DATABASE Nível do servidor SQLArcExtensionServerRole
CONNECT ANY DATABASE Nível do servidor SQLArcExtensionServerRole
SELECT dbo.sysjobactivity msdb SQLArcExtensionUserRole
SELECT dbo.sysjobs msdb SQLArcExtensionUserRole
SELECT dbo.syssessões msdb SQLArcExtensionUserRole
SELECT dbo.sysjobHistory msdb SQLArcExtensionUserRole
SELECT dbo.sysjobSteps msdb SQLArcExtensionUserRole
SELECT dbo.syscategories msdb SQLArcExtensionUserRole
SELECT dbo.sysoperators msdb SQLArcExtensionUserRole
SELECT dbo.suspectpages msdb SQLArcExtensionUserRole
SELECT dbo.backupset msdb SQLArcExtensionUserRole
SELECT dbo.backupmediaset msdb SQLArcExtensionUserRole
SELECT dbo.backupmediafamily msdb SQLArcExtensionUserRole
SELECT dbo.backuparquivo msdb SQLArcExtensionUserRole
Backup CREATE ANY DATABASE Nível do servidor SQLArcExtensionServerRole
função db_backupoperator Todos os bancos de dados SQLArcExtensionUserRole
dbcreator Nível do servidor SQLArcExtensionServerRole
Painel de controle do Azure CREATE TABLE msdb SQLArcExtensionUserRole
ALTER ANY SCHEMA msdb SQLArcExtensionUserRole
CRIAR TIPO msdb SQLArcExtensionUserRole
Execute msdb SQLArcExtensionUserRole
função db_datawriter msdb SQLArcExtensionUserRole
função db_datareader msdb SQLArcExtensionUserRole
Descoberta de grupo de disponibilidade VIEW ANY DEFINITION Nível do servidor SQLArcExtensionServerRole
Purview SELECT Todos os bancos de dados SQLArcExtensionUserRole
Execute Todos os bancos de dados SQLArcExtensionUserRole
Avaliação de migração EXECUTAR dbo.agent_datetime msdb SQLArcExtensionUserRole
SELECT dbo.sysjobs msdb SQLArcExtensionUserRole
SELECIONE dbo.sysmail_account msdb SQLArcExtensionUserRole
SELECIONE dbo.sysmail_profile msdb SQLArcExtensionUserRole
SELECIONE dbo.sysmail_profileaccount msdb SQLArcExtensionUserRole
SELECT dbo.syssubsistemas msdb SQLArcExtensionUserRole
SELECT sys.sql_expression_dependencies Todos os bancos de dados SQLArcExtensionUserRole

Executar com privilégios mínimos

Para executar a extensão do Azure para SQL Server com privilégios mínimos, siga as instruções em Operar o SQL Server habilitado pelo Azure Arc com privilégios mínimos.

No momento, a configuração de privilégios mínimos não é o padrão.

Configurar contas e permissões de serviço Windows