Azure SQL 权限:如何允许使用 Query Performance Insight,但不更改定价层等设置?
Fab*_*ied 7 azure azure-sql-database azure-rbac
我想向我们的团队成员授予使用 Azure SQL 数据库的查询性能洞察功能所需的权限,包括查看长时间运行的查询的查询文本的可能性。
他们已经具有“读者”和“监控贡献者”角色,因此可以访问 Azure 门户中的查询性能洞察功能并查看长时间运行的查询的 ID。但是,当他们单击长时间运行的查询时,他们看不到查询文本。显示错误,指示“运行查询时连接超时”。
如果我为他们分配“SQL DB 贡献者”角色,他们将能够使用该功能,但他们也可以更改数据库设置,例如定价层,这是我不希望的。
是否有满足我需要的角色分配?
我认为您需要创建一个 Azure 自定义角色,如https://learn.microsoft.com/en-us/azure/role-based-access-control/custom-roles中所述。
您可以从 Reader 开始,然后添加所需的权限,或者从 SQL DB Contributor 开始,然后删除不需要的权限。这需要进行实验。
从您的订阅中创建一个新的自定义角色:
然后,您将在该角色中添加或排除权限:
我感兴趣的权限是:
列出查询存储文本 - 用于添加到阅读器
和更新数据库 - 用于从数据库贡献者中排除
完成后,您将转到包含数据库的服务器的访问控制边栏选项卡,然后使用新的自定义角色添加用户。测试、调整、重复,直到获得所需的安全配置文件。您使用哪个角色作为基础取决于您希望采用的最小权限安全模型的接近程度。
编辑:确定分配权限的一种可能方法是:
- 扩大数据库规模
- 将其缩小
- 转到资源组,选择您的数据库,然后导出模板
- 检查 JSON,这将是在操作期间应用的 ARM(您可能需要查看多个部署才能弄清楚这一点)
- 找到操作后,JSON 中的提供程序应该为您提供有关从您创建的任何角色中排除哪些内容的线索。
| 归档时间: |
|
| 查看次数: |
1575 次 |
| 最近记录: |