Configurar contas de serviço do Windows e permissões para a extensão do Azure para SQL Server
Aplica-se a:
SQL Server
Este artigo lista as permissões da extensão do Azure para conjuntos do SQL Server para a conta NT Service\SQLServerExtension. Essa conta é usada quando você Operar o SQL Server habilitado pelo Azure Arc com menos privilégios.
Observação
Os servidores existentes com a extensão da versão de novembro de 2024 ou posterior terão automaticamente a configuração menos privilegiada aplicada. Esta aplicação acontecerá gradualmente.
Para evitar a aplicação automática de privilégios mínimos, bloqueie as atualizações de extensão para a versão de novembro de 2024.
Não há suporte para a configuração manual das permissões para a conta do agente.
A extensão define permissões quando você habilita recursos no portal do Azure. Se você não habilitar um recurso, a extensão não definirá as permissões para esse recurso. Se você desabilitar um recurso, a extensão removerá as permissões.
de permissões SQL lista as permissões vinculadas aos recursos que a extensão concede quando os recursos estão habilitados.
Observação
NT Authority\System deve ter acesso para modificar permissões em diretórios listados e chaves do Registro. Isso é necessário para que NT Authority\System possa conceder o acesso necessário à NT Service\SqlServerExtension conta para o modo de privilégios mínimos.
Permissões de diretório
| Caminho do diretório | Permissões necessárias | Detalhes | Funcionalidade |
|---|---|---|---|
<SystemDrive>\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SQLServer |
Controlo total | Dlls e arquivos exe relacionados à extensão. | Inadimplência |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\RuntimeSettings |
Controlo total | Arquivo de configurações de extensão. | Inadimplência |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status |
Controlo total | Arquivo de status da extensão. | Inadimplência |
C:\ProgramData\GuestConfig\extension_logs\Microsoft.AzureData.WindowsAgent.SqlServer |
Controlo total | Arquivos de log de extensão. | Inadimplência |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status\HeartBeat.Json |
Controlo total | Arquivo de pulsação de extensão. | Inadimplência |
%ProgramFiles%\Sql Server Extension |
Controlo total | Arquivos de serviço de extensão. | Inadimplência |
<SystemDrive>\Windows\system32\extensionUpload |
Controlo total | Necessário para gravar o arquivo de uso necessário para faturamento. | Inadimplência |
<SystemDrive>\Windows\system32\ExtensionHandler.log |
Controlo total | Pasta pré-log criada por extensão. | Inadimplência |
<ProgramData>\AzureConnectedMachineAgent\Config |
Ler | Arc config files diretório. | Inadimplência |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft SQL Server Extension Agent |
Controlo total | Necessário para escrever relatórios de avaliação e status. | Inadimplência |
Diretório de log SQL (conforme definido no registro) 1:C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\log |
Ler | Necessário para extrair informações do SQL vCores de logs SQL. | Inadimplência |
Diretório de backup SQL (conforme definido no registro) 1:C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\Backup |
ReadAndExecute/Write/Delete | Necessário para backups | Backup |
1 Para obter mais informações, consulte Locais de arquivos e mapeamento do Registro.
Permissões do Registro
Chave base: HKEY_LOCAL_MACHINE
| Chave de registo | Permissão necessária | Detalhes | Funcionalidade |
|---|---|---|---|
SOFTWARE\Microsoft\Microsoft SQL Server |
Ler | Leia as propriedades do SQL Server como installedInstances. |
Inadimplência |
SOFTWARE\Microsoft\Microsoft SQL Server\<InstanceRegistryName>\MSSQLSERVER |
Controlo total | Microsoft Entra ID e Purview. | Microsoft Entra ID Âmbito |
SOFTWARE\Microsoft\SystemCertificates |
Controlo total | Necessário para o Microsoft Entra ID. | Microsoft Entra ID |
SYSTEM\CurrentControlSet\Services |
Ler | Nome da conta do SQL Server. | Inadimplência |
SOFTWARE\Microsoft\AzureDefender\SQL |
Ler | Status do Azure Defender e hora da última atualização. | Inadimplência |
SOFTWARE\Microsoft\SqlServerExtension |
Controlo total | Valores relacionados à extensão. | Inadimplência |
SOFTWARE\Policies\Microsoft\Windows |
Ler e escrever | Ativando a atualização automática do Windows via extensão. | Atualizações automáticas |
Permissões de grupo
NT Service\SQLServerExtension é adicionado aos aplicativos de extensão de agente híbrido. Isso permite que o handshake do IMDS (Serviço de Metadados de Instância) do Azure recupere o token de identidade gerenciado por recurso de máquina necessário para se comunicar com os serviços de plano de dados do Azure, como o DPS (Serviço de Processamento de Dados) e o ponto de extremidade de telemetria para uso de cobrança, logs de extensão e coleta de dados do painel de monitoramento.
Permissões SQL
NT Service\SQLServerExtension é adicionado:
- Como um logon SQL para todas as instâncias presentes atualmente na máquina
- Como utilizador em cada base de dados
A extensão também concede permissões para objetos de instância e banco de dados à medida que os recursos são habilitados. A tabela abaixo fornece detalhes.
Observação
As permissões mínimas dependem dos recursos habilitados. As permissões são atualizadas quando não são mais necessárias. As permissões necessárias são concedidas quando os recursos são ativados.
Privilégios SQL por recurso
Requisitos Mínimos do Sistema
Essas permissões são necessárias para o nível básico de funcionalidade fornecido pela Extensão do Azure para SQL Server e devem ser aplicadas.
| Tipo de objeto | Nome do banco de dados ou do objeto | Privilégio |
|---|---|---|
| Base de dados | Mestrado | VIEW DATABASE STATE |
| Base de dados | Msdb | ALTER ANY SCHEMA |
| Base de dados | Msdb | CREATE TABLE |
| Base de dados | Msdb | CREATE TYPE |
| Base de dados | Msdb | DB DATA READER |
| Base de dados | Msdb | DB DATA WRITER |
| Base de dados | Msdb | EXECUTE |
| Base de dados | Msdb | SELECT dbo.backupfile |
| Base de dados | Msdb | SELECT dbo.backupmediaset |
| Base de dados | Msdb | SELECT dbo.backupmediafamily |
| Base de dados | Msdb | SELECT dbo.backupset |
| Base de dados | Msdb | SELECT dbo.syscategories |
| Base de dados | Msdb | SELECT dbo.sysjobactivity |
| Base de dados | Msdb | SELECT dbo.sysjobhistory |
| Base de dados | Msdb | SELECT dbo.sysjobs |
| Base de dados | Msdb | SELECT dbo.sysjobsteps |
| Base de dados | Msdb | SELECT dbo.syssessions |
| Base de dados | Msdb | SELECT dbo.sysoperators |
| Base de dados | Msdb | SELECT dbo.suspectpages |
| Servidor | CONNECT ANY DATABASE |
|
| Servidor | CONNECT SQL |
|
| Servidor | VIEW ANY DATABASE |
|
| Servidor | VIEW ANY DEFINITION |
|
| Servidor | VIEW SERVER STATE |
Avaliação de Boas Práticas
A avaliação de práticas recomendadas é desabilitada por padrão. Se estiver habilitado, essas permissões serão concedidas automaticamente se ainda não tiverem sido concedidas.
| Tipo de objeto | Nome do banco de dados ou do objeto | Privilégio |
|---|---|---|
| Base de dados | Mestrado | SELECT |
| Base de dados | Mestrado | VIEW DATABASE STATE |
| Base de dados | Msdb | SELECT |
| Servidor | VIEW ANY DATABASE |
|
| Servidor | VIEW ANY DEFINITION |
|
| Servidor | VIEW SERVER STATE |
|
| StoredProcedure | EnumErrorLogsSP | EXECUTE |
| StoredProcedure | ReadErrorLogsSP | EXECUTE |
Backup
Os backups automatizados são desativados por padrão. As permissões de backup serão concedidas a qualquer banco de dados para o qual os backups estejam habilitados. Habilitar o recurso de backup também habilita o recurso de restauração point-in-time, portanto, a permissão para criar um banco de dados também é concedida.
| Tipo de objeto | Nome do banco de dados ou do objeto | Privilégio |
|---|---|---|
| Base de dados | Todas as Bases de Dados | DB BACKUP OPERATOR |
| Servidor | CREATE ANY DATABASE |
|
| Servidor | Mestrado | DB CREATOR |
Grupos de disponibilidade
Disponibilidade Os recursos de descoberta e gerenciamento de grupos, como failover, são habilitados por padrão, mas podem ser desabilitados por meio do sinalizador de recurso AvailabilityGroupDiscovery.
| Tipo de objeto | Nome do banco de dados ou do objeto | Privilégio |
|---|---|---|
| Servidor | ALTER ANY AVAILABILITY GROUP |
|
| Servidor | VIEW ANY DEFINITION |
Âmbito
Os recursos do Purview são desativados por padrão.
| Tipo de objeto | Nome do banco de dados ou do objeto | Privilégio |
|---|---|---|
| Base de dados | Todas as Bases de Dados | EXECUTE |
| Base de dados | Todas as Bases de Dados | SELECT |
| Servidor | CONNECT ANY DATABASE |
|
| Servidor | VIEW ANY DATABASE |
Avaliação da migração
As Avaliações de Migração estão habilitadas por padrão. Se o recurso estiver desativado, as permissões abaixo serão removidas, a menos que outros recursos habilitados exijam isso.
| Tipo de objeto | Nome do banco de dados ou do objeto | Privilégio |
|---|---|---|
| Base de dados | Todas as Bases de Dados | SELECT sys.sqlexpressiondependencies |
| Base de dados | Msdb | EXECUTE dbo.agentdatetime |
| Base de dados | Msdb | SELECT dbo.syscategories |
| Base de dados | Msdb | SELECT dbo.sysjobhistory |
| Base de dados | Msdb | SELECT dbo.sysjobs |
| Base de dados | Msdb | SELECT dbo.sysjobsteps |
| Base de dados | Msdb | SELECT dbo.sysmailaccount |
| Base de dados | Msdb | SELECT dbo.sysmailprofile |
| Base de dados | Msdb | SELECT dbo.sysmailprofileaccount |
| Base de dados | Msdb | SELECT dbo.syssubsystems |
Permissões adicionais
- Permissões para a conta de serviço para acessar o serviço de extensão e configurar a recuperação automática.
- Log-on-as-direitos de serviço para a conta de serviço.