Autorizace přístupu k databázi pro Azure SQL Database

Týká se:Azure SQL Database

V tomto článku se dozvíte o:

  • Možnosti konfigurace pro Azure SQL Database, které uživatelům umožňují provádět úlohy správy a přistupovat k datům uloženým v těchto databázích.
  • Po vytvoření nového serveru získejte přístup ke konfiguraci a autorizaci.
  • Postup přidání přihlašovacích údajů a uživatelských účtů v master databázi a udělení oprávnění správce těchto účtů
  • Postup přidání uživatelských účtů do uživatelských databází, ať už jsou přidruženy k přihlášením, nebo jako zahrnované uživatelské účty.
  • Konfigurace uživatelských účtů s oprávněními v uživatelských databázích pomocí databázových rolí a explicitních oprávnění
  • Informace o Azure SQL Managed Instance najdete v tématu Autorizace přístupu k databázi k SQL Managed Instance.
  • Informace o Azure Synapse Analytics naleznete v tématu Autorizace přístupu k databázi k Azure Synapse Analytics.

Poznámka:

ID Microsoft Entra se dříve označovalo jako Azure Active Directory (Azure AD).

Ověřování a autorizace

Ověřování je proces prokazování, že je uživatel tím, za koho se vydává. Uživatel se připojí k databázi pomocí uživatelského účtu.

Uživatel při pokusu o připojení k databázi zadá uživatelský účet a ověřovací informace. Uživatel se ověřuje pomocí jedné z následujících dvou metod ověřování:

  • Ověřování SQL

    Pomocí této metody ověřování uživatel odešle uživatelské jméno a přidružené heslo k navázání připojení. Databáze master ukládá toto heslo pro uživatelské účty propojené s přihlášením. Databáze obsahující uživatelské účty, které nejsou propojené s přihlašovacím účtem, ukládá heslo.

    Poznámka:

    Azure SQL Database vynucuje složitost hesel pouze v rámci zásad hesel.

  • Ověřování Microsoft Entra pro Azure SQL

    Pomocí této metody ověřování uživatel odešle jméno uživatelského účtu a požádá, aby služba používala informace o přihlašovacích údajích uložených v Microsoft Entra ID (formerly Azure Active Directory).

Přihlášení a uživatelé: Uživatelský účet v databázi můžete přidružit k přihlášení, které master databáze ukládá, nebo můžete nastavit uživatelské jméno, které ukládá jednotlivá databáze.

  • Přihlášení je účet v master databázi, ke kterému můžete propojit uživatelský účet v jedné nebo více databázích. Pomocí přihlášení uložíte přihlašovací údaje pro uživatelský účet s přihlášením.
  • Uživatelský účet je individuální účet v jakékoli databázi, která může být, ale nemusí být propojená s přihlášením. Když použijete uživatelský účet, který není propojen s přihlašovacími údaji, uložíte přihlašovací údaje k uživatelskému účtu.

Autorizace pro přístup k datům a provádění různých akcí se spravuje pomocí databázových rolí a explicitních oprávnění. Autorizace odkazuje na oprávnění přiřazená uživateli a určuje, co smí daný uživatel dělat. Autorizaci řídí členství v rolích databáze vašeho uživatelského účtu a oprávnění na úrovni objektů. Osvědčeným postupem je udělit uživatelům nejnižší potřebná oprávnění.

Existující přihlášení a uživatelské účty po vytvoření nové databáze

Při prvním nasazení prostředku Azure SQL zadejte přihlašovací jméno a heslo pro speciální typ přihlášení správce, správce serveru Server admin. Během nasazování dojde k následující konfiguraci přihlášení a uživatelů v master a uživatelských databázích:

Důležité

Do pole přihlašovacího jména správce serveru nezahrnujte žádné osobní, citlivé ani důvěrné informace. Data zadaná v tomto poli se nepovažují za zákaznická data.

  • Proces nasazení vytvoří přihlášení pro ověřování SQL s administrátorskými oprávněními s názvem přihlášení, který jste zadali. Přihlášení je individuální účet pro přihlášení k Azure SQL Database.
  • Proces nasazení uděluje tomuto přihlášení plná oprávnění správce ke všem databázím jako objektu zabezpečení na úrovni serveru. Přihlášení má všechna dostupná oprávnění a není možné ho omezit.
  • Když se tento účet přihlásí k databázi, odpovídá speciálnímu uživatelskému účtu (dbo), který existuje v každé uživatelské databázi. Uživatel dbo má všechna oprávnění databáze v databázi a je členem db_owner pevné databázové role. Další pevné databázové role jsou popsány dále v tomto článku.

Identifikace účtu správce serveru :

  1. Přejděte do centra Azure SQL v aka.ms/azuresqlhub.
  2. V nabídce prostředků přejděte na logický server Azure SQL Database.
  3. V části Nastavení vyberte stránku Vlastnosti .
  4. Zobrazte hodnoty pro přihlášení správce serveru nebo správce Microsoft Entra.

Důležité

Po vytvoření nemůžete změnit název účtu správce serveru . Pokud chcete resetovat heslo správce serveru, přejděte na web Azure Portal, vyberte SQL Servery, ze seznamu vyberte server a pak vyberte Resetovat heslo.

Vytvoření dalších přihlášení a uživatelů s oprávněními správce

V tomto okamžiku je váš logický server SQL nakonfigurovaný pro přístup pomocí jednoho přihlášení k ověřování SQL a uživatelského účtu. Pokud chcete vytvořit další přihlášení s úplnými nebo částečnými oprávněními správce, použijte následující možnosti.

  • Vytvoření účtu správce Microsoft Entra s úplnými oprávněními správce

    Povolte ověřování Microsoft Entra a přidejte správce Microsoft Entra. Jeden účet Microsoft Entra můžete nakonfigurovat jako správce nasazení Azure SQL s úplnými oprávněními správce. Tento účet může být individuální nebo účet bezpečnostní skupiny. Pokud chcete pro připojení k Azure SQL Database použít účty Microsoft Entra, musíte nakonfigurovat správce Microsoft Entra. Podrobné informace o povolení ověřování Microsoft Entra pro všechny typy nasazení Azure SQL najdete v následujících článcích:

  • Ve službě SQL Database vytvořte přihlášení ověřování SQL s omezenými oprávněními správce.

    • V databázi master vytvořte další přihlašovací účet pro ověřování SQL.
      • Pomocí příkazu ALTER SERVER ROLE přidejte přihlášení k ##MS_DatabaseManager####MS_LoginManager## a ##MS_DatabaseConnector## , a to pomocí příkazu ALTER SERVER ROLE.

    Členové speciálních master databázových rolí pro Azure SQL Database mají oprávnění vytvářet a spravovat databáze nebo vytvářet a spravovat přihlášení. V databázích vytvořených uživatelem, který je členem dbmanager role, je člen mapován na db_owner pevnou roli databáze a může se přihlásit a spravovat tuto databázi pomocí dbo uživatelského účtu. Tyto role nemají žádná explicitní oprávnění mimo master databázi.

    Důležité

    V Azure SQL Database nemůžete vytvořit další přihlášení ověřování SQL s úplnými oprávněními správce. Pouze účet správce serveru nebo účet správce Microsoft Entra (který může být skupinou Microsoft Entra) mohou přidávat nebo odebírat další přihlašovací údaje do nebo ze serverových rolí. Toto omezení je specifické pro Azure SQL Database.

Vytváření účtů pro uživatele bez oprávnění správce

Účty pro uživatele bez oprávnění správce vytvořte pomocí jedné z následujících metod:

  • Vytvoření přihlášení

    Vytvořte v databázi master přihlašovací jméno pro ověřování SQL. Pak v každé databázi vytvořte uživatelský účet, ke kterému musí uživatel přistupovat, a přidružit ho k přihlášení. Tento přístup použijte, když uživatel potřebuje přístup k více databázím a chcete zachovat synchronizovaná hesla. Tento přístup ale při použití s geografickou replikací zvyšuje složitost, protože musíte vytvořit přihlášení na primárním i sekundárním serveru. Další informace najdete v tématu Konfigurace a správa zabezpečení služby Azure SQL Database pro geografické obnovení nebo převzetí služeb při selhání.

  • Vytvoření uživatelského účtu

    V databázi vytvořte uživatelský účet, ke kterému uživatel potřebuje přístup (označovaný také jako uživatel s omezením).

    Pomocí tohoto přístupu se informace o ověřování uživatelů ukládají v každé databázi a automaticky se replikují do geograficky replikovaných databází. Pokud ale stejný účet existuje ve více databázích a používáte ověřování SQL, musíte hesla synchronizovat ručně. Kromě toho platí, že pokud má uživatel účet v různých databázích s různými hesly, může to být problém.

Důležité

Pokud chcete vytvořit obsažené uživatele namapované na identity Microsoft Entra, musíte být přihlášeni pomocí účtu Microsoft Entra k databázi ve službě Azure SQL Database.

Příklady, které ukazují, jak vytvářet přihlášení a uživatele, najdete tady:

Návod

Kurz zabezpečení, který zahrnuje vytváření uživatelů ve službě Azure SQL Database, najdete v tématu Kurz: Zabezpečení databáze ve službě Azure SQL Database.

Použití pevných a vlastních databázových rolí

Po vytvoření uživatelského účtu v databázi, a to buď na základě přihlášení, nebo jako obsaženého uživatele, můžete autorizovat tohoto uživatele k provádění různých akcí a přístupu k datům v konkrétní databázi. K autorizaci přístupu použijte následující metody:

  • Pevné databázové role

    Přidejte uživatelský účet do pevné databázové role. Existuje devět pevných databázových rolí, z nichž každá má definovanou sadu oprávnění. Nejběžnějšími pevnými databázovými rolemi jsou: db_owner, db_ddladmin, db_datawriter, db_datareader, db_denydatawriter a db_denydatareader. Pomocí db_owner udělte úplná oprávnění jenom několika uživatelům. Ostatní pevné databázové role jsou užitečné pro rychlé získání jednoduché databáze při vývoji, ale nedoporučuje se pro většinu produkčních databází. Například db_datareader pevná role databáze uděluje přístup pro čtení ke každé tabulce v databázi, což je více, než je nezbytně nutné.

  • Role vlastní databáze

    Vytvořte vlastní roli databáze pomocí příkazu CREATE ROLE . Vlastní role umožňuje vytvářet vlastní uživatelsky definované databázové role a pečlivě udělovat jednotlivým rolím nejnižší oprávnění potřebná pro obchodní potřeby. Potom přidejte uživatele do vlastní role. Pokud je uživatel členem více rolí, všechna jejich oprávnění se agregují.

  • Udělení oprávnění přímo

    Udělte oprávnění uživatelskému účtu přímo. Existuje více než 100 oprávnění, která můžete jednotlivě udělit nebo odepřít. Mnohá z těchto oprávnění jsou vnořená. Oprávnění UPDATE pro schéma například zahrnuje oprávnění UPDATE pro každou tabulku v tomto schématu. Podobně jako ve většině systémů oprávnění má zamítnutí oprávnění přednost před jeho udělením. Kvůli velkému počtu oprávnění a používání vnořených oprávnění může návrh vhodného systému oprávnění vyžadovat pečlivou studii, aby byla vaše databáze dobře chráněna. Začněte u seznamu oprávnění podle tématu Oprávnění (databázový stroj) a prohlédněte si velkoplošnou grafiku s přehledem oprávnění.

Použití skupin

Efektivní správa přístupu přiřazuje oprávnění Microsoft Entra skupinám zabezpečení a pevným nebo vlastním rolím místo jednotlivým uživatelům.

  • Při použití ověřování Microsoft Entra vložte uživatele Microsoft Entra do skupiny zabezpečení Microsoft Entra. Pro tuto skupinu vytvořte uživatele databáze s omezením. Přidejte jednoho nebo více uživatelů databáze jako člena do vlastních nebo předdefinovaných databázových rolí s konkrétními oprávněními vhodnými pro danou skupinu uživatelů.

  • Při použití ověřování SQL vytvořte v databázi uživatele databáze s omezením. Umístěte jednoho nebo více uživatelů databáze do vlastní role databáze s konkrétními oprávněními, která jsou vhodná pro danou skupinu uživatelů.

    Poznámka:

    Skupiny můžete také použít pro uživatele databáze, kteří nejsou obsaženi.

Seznamte se s následujícími funkcemi, které můžete použít k omezení nebo zvýšení oprávnění:

Další krok