Zabezpieczenia modułów zbierających dane
Moduł zbierający dane wykorzystuje model zabezpieczeń opartych na rolach, realizowanych przez SQL Server agenta.Ten model pozwala administrator bazy danych uruchamiania różnych zadań modułów zbierających dane w kontekście zabezpieczeń, która ma tylko uprawnienia wymagane do wykonania tego zadania.To podejście jest również używany dla operacji obejmujących wewnętrznego tabele, które można uzyskać dostęp tylko przy użyciu widoku lub procedura składowana.Żadne uprawnienia są przyznawane wewnętrznego tabel.Zamiast tego sprawdzane są uprawnienia użytkownika procedura składowana lub widoku, który jest używany do dostępu do tabela.
.gif "Ważna informacja") Ważne: |
|---|
Innym klucz aspekt ten model zabezpieczeń jest koncentrycznych uprawnienia.W obszarze koncentrycznych uprawnienia ról bardziej uprzywilejowanych dziedziczą uprawnienia mniej uprzywilejowanych ról obiektów (w tym alerty, operatorów, zadania, harmonogramów i serwery proxy).Aby uzyskać więcej informacji, zobacz Ról stałej bazy danych programu SQL Server Agent. |
W poniższych sekcjach opisano danych kolekcja zabezpieczeń Ogólne, jak również role, więc można skonfigurować i używać modułów zbierających dane i wykonywać zadania związane z magazyn danych zarządzania musi udzielić użytkownikom.
Ogólne zabezpieczeń
Moduł zbierający dane jest instalowana zgodnie z udokumentowanymi normy określone dla SQL Server 2008.Aby uzyskać więcej informacji, zobacz Zabezpieczanie wdrożenia (aparat bazy danych).
Zabezpieczenia sieci
Poufne informacje mogą być przekazywane między miejsce docelowe wystąpień relacyjnej wystąpienie skojarzone z serwera konfiguracja, zestawy kolekcja, które są uruchomione i serwera obsługującego magazyn danych zarządzania.
Aby chronić dane przesyłane przez sieć, mechanizmy zabezpieczenia standardowe są implementowane takich jak protokół szyfrowanie dla Transact-SQL.
Uprawnienia do konfigurowania i korzystania z modułów zbierających dane
Zależnie od zadania użytkownicy muszą być członkami jedną lub więcej ról stałej bazy danych przewidzianych modułów zbierających dane.W celu dostępu do najmniej uprzywilejowanych uprawnieniach większość role są:
dc_admin
dc_operator
dc_proxy
Role te są przechowywane w msdb bazy danych.Domyślnie użytkownik nie jest element członkowski tych ról bazy danych.Członkostwo użytkownika w tych rolach musi być wyraźnie przyznane.
Użytkownicy, którzy są członkami z sysadmin stała rola serwera mają pełny dostęp do SQL Server Agent widoki zbierających obiekty i dane. Jednak muszą zostać jawnie dodane do ról modułów zbierających dane.
| Ważne: |
|---|
Członkowie db_ssisadmin roli i dc_admin roli może mieć możliwość podniesienia swoich uprawnień do sysadmin.To podniesienie uprawnień może występować, ponieważ role te można modyfikować Integration Services pakietów i Integration Services pakiety mogą być wykonywane przez SQL Server za pomocą sysadmin kontekstu zabezpieczeń SQL Server agenta.Aby zabezpieczyć się przed tym podniesienie uprawnień podczas uruchamiania planów konserwacji, zestawy zbierania danych i inne Integration Services konfigurowania pakietów, SQL Server zadania agenta uruchamianych pakietów używać konto proxy z ograniczonymi uprawnieniami lub dodawać tylko sysadmin członków do db_ssisadmin i dc_admin ról. |
dc_admin roli
Użytkownicy przypisani do dc_admin rola ma pełnego dostępu administratora (Tworzenie, Odczyt, Update i Delete) do konfiguracja modułów zbierających dane na serwerze wystąpienie.Członkowie tej roli mogą wykonywać następujące operacje:
Ustawić właściwości kolektora poziom.
Dodawanie nowych zestawów kolekcja.
Zainstaluj nowe typy kolekcja.
Wykonanie wszystkich operacji dozwolonych do dc_operator rolę.
Dc_admin rola jest element członkowski z następujących ról:
SQLAgentUserRole.Ta rola jest wymagana do tworzenia harmonogramów i uruchamianie zadań.
Ostrzeżenie
Serwery proxy utworzone dla modułów zbierających dane należy udzielić dostępu do dc_admin je tworzyć i używać ich w wszelkie kroki zadanie, które wymagają serwer proxy.
dc_operator.Członkowie dc_admin dziedziczą uprawnienia do dc_operator.
dc_operator roli
Członkowie dc_operator roli Odczyt i zaktualizować dostępu.Ta rola obsługuje operacje zadań związanych z systemem i konfigurowanie zestawów kolekcja.Członkowie tej roli mogą wykonywać następujące operacje:
Uruchamianie lub zatrzymywanie zestaw kolekcja.
Wyliczanie istniejących zestawów kolekcja.
Umożliwia wyświetlanie szczegółowych informacji (na przykład elementy kolekcja i częstotliwości zbierania), skojarzone z zestaw kolekcja.
Zmienić częstotliwość przekazywania dla istniejących zestawów kolekcja.
Zmienić częstotliwość kolekcję do kolekcja elementów, które są częścią istniejącego zestaw kolekcja.
Dc_operator rola jest element członkowski z następujących ról:
- db_ssisltduser.Tak, aby członkowie może wyliczać i wyświetlać pakiety modułów zbierających dane wymagane jest członkostwo w tej roli.Aby uzyskać więcej informacji, zobacz Przy użyciu integracji usług ról.
dc_proxy roli
Członkowie dc_proxy rola ma dostęp do odczytu do modułów zbierających dane kolekcja właściwości poziom zbierających i zestawów.Członkowie tej roli można także wykonać zadań, które jest właścicielem i utworzyć zadanie kroki, które są uruchamiane jako istniejące konto proxy.
Członkowie tej roli mogą wykonywać następujące operacje:
Widok zestaw kolekcja informacji o konfiguracja (na przykład parametry wejściowe dla kolekcja elementów) oraz częstotliwość pobierania dla tych elementów.
Uzyskaj możliwy tylko poprzez procedura składowana podpisane wewnętrznego zakodowane informacje (na przykład magazyn danych informacji o połączeniu używane do przesyłania danych).
Rejestrowanie uruchamiania kolekcja zestaw -czas zdarzenia.
Dc_proxy rola jest element członkowski z następujących ról:
- db_ssisltduser.Tak, aby członkowie może wyliczać i wyświetlać pakiety modułów zbierających dane wymagane jest członkostwo w tej roli.Aby uzyskać więcej informacji, zobacz Przy użyciu integracji usług ról.
Uprawnienia do konfigurowania i korzystania z magazynu danych zarządzania
Zależnie od zadania użytkownicy muszą być członkami jedną lub więcej ról stałej bazy danych, pod warunkiem dostępu do magazyn danych zarządzania.W celu dostępu do najmniej uprzywilejowanych uprawnieniach większość role są:
mdw_admin
mdw_writer
mdw_reader
Role te są przechowywane w msdb bazy danych.Domyślnie użytkownik nie jest element członkowski tych ról bazy danych.Członkostwo użytkownika w tych rolach musi być wyraźnie przyznane.
Użytkownicy, którzy są członkami z sysadmin stała rola serwera mają pełny dostęp do widoków modułów zbierających dane.Jednak muszą zostać jawnie dodane do role bazy danych do wykonywania innych operacji.
mdw_admin roli
Członkowie mdw_admin roli Odczyt, zapis aktualizacji i usuwania dostępu do magazyn danych zarządzania.
Członkowie tej roli mogą wykonywać następujące operacje:
Zmień magazyn danych zarządzania schematu wymagane (na przykład dodanie nowej tabela zainstalowany nowy typ kolekcja).
Ostrzeżenie
W przypadku zmiany schematu, użytkownik musi być również element członkowski z dc_admin roli zainstalować nowy typ zbierających, ponieważ ta akcja wymaga uprawnień do zaktualizowania konfiguracja modułów zbierających dane w msdb.
Uruchom zadania konserwacji na magazyn danych zarządzania, taką jak archiwum lub oczyszczania.
mdw_writer roli
Członkowie mdw_writer roli można przekazać i zapisywać dane do magazyn danych zarządzania.Wszelkie modułów zbierających dane, który przechowuje dane w magazynie danych zarządzania musi być element członkowski tej roli.
mdw_reader roli
Członkowie mdw_reader rola ma dostęp do odczytu do magazyn danych zarządzania.Ponieważ celem tej roli jest obsługa rozwiązywania problemów, zapewniając dostęp do danych historycznych, Członkowie tej roli nie można wyświetlić inne elementy magazyn danych zarządzania schematu.