Modèle de sécurité
Cette section décrit le modèle de sécurité de la capture de données modifiées.
Configuration et administration
Pour activer ou désactiver la capture de données modifiées d'une base de données, l'appelant de sys.sp_cdc_enable_db (Transact-SQL) ou sys.sp_cdc_disable_db (Transact-SQL) doit être membre du rôle serveur fixe sysadmin. L'activation et la désactivation de la capture de données modifiées au niveau de la table requiert que l'appelant de sys.sp_cdc_enable_table (Transact-SQL) et sys.sp_cdc_disable_table (Transact-SQL) soit membre du rôle sysadmin ou du rôle db_owner de base de données.
Pour prendre en charge le modèle de sécurité, un utilisateur de capture de données modifiées spécial et un schéma de capture de données modifiées spécial détenu par l'utilisateur de la base de données de capture de données modifiées sont créés dans la base de données lorsque la capture de données modifiées est activée. Tous les objets de capture de données modifiées qui ne sont pas dans la base de données de ressources sont créés dans ce schéma et détenus par l'utilisateur de capture de données modifiées. Cela inclut tous les rôles de régulation créés lorsqu'une table est activée pour la capture de données modifiées.
L'utilisation de procédures stockées pour prendre en charge l'administration des travaux de capture de données modifiées est limitée aux membres du rôle sysadmin serveur et du rôle db_owner.
Énumération des modifications et requêtes de métadonnées
Pour accéder aux données modifiées associées à une instance de capture, l'utilisateur doit pouvoir accéder à toutes les colonnes capturées de la table source associée. De plus, si un rôle de régulation est spécifié lors de la création de l'instance de capture, l'appelant doit également être membre du rôle de régulation spécifié. Les autres fonctions de capture de données modifiées générales pour accéder aux métadonnées seront accessibles à tous les utilisateurs de base de données par le biais du rôle public, bien que l'accès aux métadonnées retournées soit en général également régulé par le biais de l'accès choisi aux tables sources sous-jacentes et par l'appartenance aux rôles de régulation définis.
Opérations DDL pour modifier les tables sources activées pour la capture de données modifiées
Lorsqu'une table est activée pour la capture de données modifiées, des opérations DDL peuvent être appliquées à la table uniquement par un membre du rôle serveur fixe sysadmin, un membre du database role db_owner ou un membre du database role db_ddladmin. Les utilisateurs autorisés de manière explicite à effectuer des opérations DDL sur la table recevront l'erreur 22914 s'ils tentent d'effectuer ces opérations.