Пользовательские роли для SQL Server для Управляемый экземпляр SQL Azure миграции с помощью ADS

В этой статье объясняется, как настроить пользовательскую роль в Azure для миграции баз данных SQL Server. Пользовательская роль имеет только разрешения, необходимые для создания и запуска экземпляра Azure Database Migration Service с Управляемый экземпляр SQL Azure в качестве целевого объекта.

AssignableScopes Используйте раздел строки JSON определения роли для управления тем, где разрешения отображаются в пользовательском интерфейсе добавления назначения ролей в портал Azure. Чтобы избежать загромождения пользовательского интерфейса с дополнительными ролями, может потребоваться определить роль на уровне группы ресурсов или даже на уровне ресурса. Ресурс, к которому применяется пользовательская роль, не выполняет фактическое назначение ролей.

{
    "properties": {
        "roleName": "DmsCustomRoleDemoForMI",
        "description": "",
        "assignableScopes": [
            "/subscriptions/<storageSubscription>/resourceGroups/<storageAccountRG>",
            "/subscriptions/<ManagedInstanceSubscription>/resourceGroups/<managedInstanceRG>",
            "/subscriptions/<DMSSubscription>/resourceGroups/<dmsServiceRG>"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.Storage/storageAccounts/read",
                    "Microsoft.Storage/storageAccounts/listkeys/action",
                    "Microsoft.Storage/storageAccounts/blobServices/read",
                    "Microsoft.Storage/storageAccounts/blobServices/write",
                    "Microsoft.Storage/storageAccounts/blobServices/containers/read",
                    "Microsoft.Sql/managedInstances/read",
                    "Microsoft.Sql/managedInstances/write",
                    "Microsoft.Sql/managedInstances/databases/read",
                    "Microsoft.Sql/managedInstances/databases/write",
                    "Microsoft.Sql/managedInstances/databases/delete",
                    "Microsoft.DataMigration/locations/operationResults/read",
                    "Microsoft.DataMigration/locations/operationStatuses/read",
                    "Microsoft.DataMigration/locations/sqlMigrationServiceOperationResults/read",
                    "Microsoft.DataMigration/databaseMigrations/write",
                    "Microsoft.DataMigration/databaseMigrations/read",
                    "Microsoft.DataMigration/databaseMigrations/delete",
                    "Microsoft.DataMigration/databaseMigrations/cancel/action",
                    "Microsoft.DataMigration/databaseMigrations/cutover/action",
                    "Microsoft.DataMigration/sqlMigrationServices/write",
                    "Microsoft.DataMigration/sqlMigrationServices/delete",
                    "Microsoft.DataMigration/sqlMigrationServices/read",
                    "Microsoft.DataMigration/sqlMigrationServices/listAuthKeys/action",
                    "Microsoft.DataMigration/sqlMigrationServices/regenerateAuthKeys/action",
                    "Microsoft.DataMigration/sqlMigrationServices/deleteNode/action",
                    "Microsoft.DataMigration/sqlMigrationServices/listMonitoringData/action",
                    "Microsoft.DataMigration/sqlMigrationServices/listMigrations/read",
                    "Microsoft.DataMigration/sqlMigrationServices/MonitoringData/read"
                ],
                "notActions": [],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}

Для создания ролей можно использовать портал Azure, Azure PowerShell, Azure CLI или REST API Azure.

Дополнительные сведения см. в статье "Создание или обновление пользовательских ролей Azure" с помощью портал Azure и пользовательских ролей Azure.

Описание разрешений, необходимых для миграции в Управляемый экземпляр SQL Azure

Действие разрешения Description
Microsoft.Storage/storageAccounts/read Возвращает список учетных записей хранения или свойства указанной учетной записи хранения.
Microsoft.Storage/storageAccounts/listkeys/action Возвращает ключи доступа для указанной учетной записи хранения.
Microsoft.Storage/storageAccounts/blobServices/read Вывод списка служб BLOB-объектов.
Microsoft.Storage/storageAccounts/blobServices/write Возвращает результат размещения свойств службы BLOB-объектов.
Microsoft.Storage/storageAccounts/blobServices/containers/read Возвращает список контейнеров.
Microsoft.Sql/managedInstances/read Возвращение списка управляемых экземпляров или получение свойств указанного управляемого экземпляра.
Microsoft.Sql/managedInstances/write Создание управляемого экземпляра с указанными параметрами либо обновление свойств или тегов указанного управляемого экземпляра.
Microsoft.Sql/managedInstances/databases/read Возвращает существующую управляемую базу данных.
Microsoft.Sql/managedInstances/databases/write Создает новую базу данных или обновляет имеющуюся.
Microsoft.Sql/managedInstances/databases/delete Удаляет существующую управляемую базу данных.
Microsoft.DataMigration/locations/operationResults/read Получите состояние длительной операции, связанной с принятым ответом 202.
Microsoft.DataMigration/locations/operationStatuses/read Получите состояние длительной операции, связанной с принятым ответом 202.
Microsoft.DataMigration/locations/sqlMigrationServiceOperationResults/read Получение результатов операции службы.
Microsoft.DataMigration/databaseMigrations/write Создание или обновление ресурса миграции базы данных.
Microsoft.DataMigration/databaseMigrations/read Получите ресурс миграции базы данных.
Microsoft.DataMigration/databaseMigrations/delete Удаление ресурса миграции базы данных.
Microsoft.DataMigration/databaseMigrations/cancel/action Остановите текущую миграцию для базы данных.
Microsoft.DataMigration/databaseMigrations/cutover/action Переключение операции миграции по сети для базы данных.
Microsoft.DataMigration/sqlMigrationServices/write Создание новой службы или изменение свойств существующей
Microsoft.DataMigration/sqlMigrationServices/delete Удаление существующей службы.
Microsoft.DataMigration/sqlMigrationServices/read Получение сведений о Службе миграции.
Microsoft.DataMigration/sqlMigrationServices/listAuthKeys/action Получение списка ключей проверки подлинности.
Microsoft.DataMigration/sqlMigrationServices/regenerateAuthKeys/action Повторно создайте ключи проверки подлинности.
Microsoft.DataMigration/sqlMigrationServices/deleteNode/action Отмена регистрации узла IR.
Microsoft.DataMigration/sqlMigrationServices/listMonitoringData/action Выводит список данных мониторинга для всех миграций.
Microsoft.DataMigration/sqlMigrationServices/listMigrations/read Выводит список миграций для пользователя.
Microsoft.DataMigration/sqlMigrationServices/MonitoringData/read Получение данных мониторинга.
Microsoft.SqlVirtualMachine/sqlVirtualMachines/read Получение сведений о виртуальной машине SQL.
Microsoft.SqlVirtualMachine/sqlVirtualMachines/write Создайте новые или изменяйте свойства существующей виртуальной машины SQL.

Вы можете получить пример скрипта для создания имени входа и подготовки его с необходимыми разрешениями для VMware, Hyper-V или физических серверов с помощью проверки подлинности проверка подлинности Windows или SQL Server.

Назначение ролей

Чтобы назначить роль пользователю или идентификатору приложения:

  1. В портал Azure перейдите к ресурсу.

  2. В меню слева выберите элемент управления доступом (IAM), а затем прокрутите страницу, чтобы найти созданные пользовательские роли.

  3. Выберите роли для назначения, выберите идентификатор пользователя или приложения, а затем сохраните изменения.

    Теперь на вкладке "Назначения ролей" отображается идентификатор пользователя или приложения.