你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

授权访问 Azure Synapse Analytics 数据库

Tip

Microsoft Fabric Data Warehouse是数据湖基础上的企业规模关系仓库,具有未来就绪的体系结构、内置 AI 和新功能。 如果不熟悉数据仓库,请从Fabric Data Warehouse开始。 现有的指定 SQL 池工作负荷可以升级到 Fabric,以跨数据科学、实时分析和报告访问新功能。

在本文中,你将了解:

  • Azure Synapse Analytics的配置选项,使用户能够执行管理任务并访问存储在这些数据库中的数据。
  • 为独立的专用 SQL 池(原 SQL DW)创建新的 逻辑服务器后的访问与授权配置
    • Azure Synapse Analytics工作区中的专用 SQL 池不使用逻辑 SQL 服务器。
  • 如何在数据库中添加登录名和用户帐户 master ,并授予这些帐户管理权限。
  • 如何在用户数据库中添加用户帐户(与登录名关联或作为包含的用户帐户)。
  • 如何使用数据库角色和显式权限在用户数据库中配置具有权限的用户帐户。

身份验证和授权

身份验证是证明用户所声明身份的过程。 用户使用用户帐户连接到数据库。

当用户尝试连接到数据库时,需要提供用户帐户和身份验证信息。 用户使用以下两种身份验证方法之一进行身份验证:

  • SQL 身份验证

    通过使用此身份验证方法,用户提交用户帐户名称和关联的密码以建立连接。 密码存储在 master 链接到登录名的用户帐户的数据库中,或存储在包含 链接到登录名的用户帐户的数据库中。

  • Microsoft Entra ID 身份验证

    通过使用此身份验证方法,用户提交用户帐户名并请求服务使用存储在 Microsoft Entra ID 中的凭据信息(formerly Azure Active Directory)。

  • 登录名master数据库中的一个账户,一个或多个数据库中的用户账户可以链接到该登录名。 使用登录名时,用户帐户的凭据信息将与该登录名一起存储。

  • 用户帐户是任何数据库中的一个个人帐户,可以关联到登录,但不一定必须关联。 使用没有与登录名链接的用户帐户时,凭据信息会存储在该用户帐户中。

授权 访问数据并执行各种操作是使用数据库角色和显式权限管理的。 授权是指为用户分配权限,它决定了该用户可以执行哪些操作。 授权是由用户帐户的数据库角色成员身份对象级权限控制。 作为最佳实践,应向用户授予所需的最低权限。 有关详细信息,请参阅 Azure Synapse 工作区访问控制概述

创建新数据库后的现有登录名和用户帐户

首次部署Azure SQL资源时,请为特殊类型的管理登录名指定登录名和密码,即 Server admin。在部署期间,master 和用户数据库中的登录名和用户配置如下:

Important

不要在服务器管理员登录名字段中包括任何个人、敏感或机密信息。 在此字段中输入的数据不被视为 客户数据

  • 部署过程使用指定的登录名创建具有管理权限的 SQL 身份验证登录名。 login 是用于登录Azure Synapse Analytics的个人帐户。
  • 部署过程会将此登录名授予为服务器级主体,使其对所有数据库具有完全管理权限。 此登录名具有所有可用权限,且不受限制。
  • 当此帐户登录到数据库时,它与每个用户数据库中存在的特殊用户帐户 dbo用户帐户)匹配。 dbo 用户拥有数据库中的所有数据库权限,并且是 db_owner 固定数据库角色的成员。 本文稍后将讨论其他固定数据库角色。

若要标识 服务器管理员 帐户,请执行以下操作:

  1. 转到 Azure 门户
  2. 在资源菜单中,转到 Synapse 工作区。
  3. “概述 ”页上,查看 SQL 管理员用户名的值。

Important

创建 服务器管理员 帐户后,无法更改该帐户的名称。 若要重置服务器管理员的密码,请转到 Azure 门户,转到 Synapse 工作区,然后选择 Reset SQL 管理员密码

创建具有管理权限的其他登录名和用户

此时,逻辑服务器仅配置为使用单个 SQL 身份验证登录名和用户帐户进行访问。 若要创建具有完整或部分管理权限的其他登录名,请使用以下选项,具体取决于部署模式:

  • 创建具有完全管理权限的 Microsoft Entra 管理员帐户

    启用Microsoft Entra身份验证并添加 Microsoft Entra admin。可以将一个Microsoft Entra帐户配置为具有完全管理权限的部署管理员。 此帐户可以是个人帐户或安全组帐户。 如果你想使用 Microsoft Entra 帐户连接到 Azure Synapse,则必须配置Microsoft Entra 管理员

  • 在 Azure Synapse 专用 SQL 池中,创建具有有限管理权限的 SQL 登录名

    • master 数据库中创建其他 SQL 身份验证登录名。
    • master 数据库中创建与此新登录名关联的用户帐户。
    • 使用 dbmanager 语句,将用户账户添加到 loginmanager 数据库中的 master 角色或同时添加到两者。

  • 在 Azure Synapse 无服务器 SQL 池中,创建具有有限管理权限的 SQL 登录名

    • master 数据库中创建其他 SQL 身份验证登录名。
    • 或者,使用 CREATE LOGIN 语法创建Microsoft Entra身份验证登录名。

为非管理员用户创建帐户

例如,请参阅 如何为Azure Synapse工作区设置访问控制

熟悉可用于限制或提升权限的以下功能:

相关内容

  • Last updated on