Dela via

Anpassade roller för migreringar av SQL Server till Azure Virtual Machines med ADS

Den här artikeln beskriver hur du konfigurerar en anpassad roll i Azure för SQL Server-databasmigreringar. Den anpassade rollen konfigureras med endast de behörigheter som krävs för att initiera och köra migreringar med hjälp av en instans av Azure Database Migration Service som riktar sig till Azure Virtual Machine. Om du vill etablera en ny instans av Azure Database Migration Service måste användaren tilldelas rollen Ägare eller Deltagare på prenumerationsnivå.

Använd avsnittet AssignableScopes i rolldefinitionens JSON-sträng för att kontrollera var behörigheterna visas i Lägg till rolltilldelning användargränssnittet i Azure-portalen. Om du vill undvika att belamra användargränssnittet med extra roller kanske du vill definiera rollen på resursgruppens nivå eller till och med resursnivån. Resursen som den anpassade rollen gäller för utför inte den faktiska rolltilldelningen.

{
    "properties": {
        "roleName": "DmsCustomRoleDemoForVM",
        "description": "",
        "assignableScopes": [
            "/subscriptions/<storageSubscription>/resourceGroups/<storageAccountRG>",
            "/subscriptions/<ManagedInstanceSubscription>/resourceGroups/<virtualMachineRG>",
            "/subscriptions/<DMSSubscription>/resourceGroups/<dmsServiceRG>"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.Storage/storageAccounts/read",
                    "Microsoft.Storage/storageAccounts/listkeys/action",
                    "Microsoft.Storage/storageAccounts/blobServices/read",
                    "Microsoft.Storage/storageAccounts/blobServices/write",
                    "Microsoft.Storage/storageAccounts/blobServices/containers/read",
                    "Microsoft.SqlVirtualMachine/sqlVirtualMachines/read",
                    "Microsoft.SqlVirtualMachine/sqlVirtualMachines/write",
                    "Microsoft.DataMigration/locations/operationResults/read",
                    "Microsoft.DataMigration/locations/operationStatuses/read",
                    "Microsoft.DataMigration/locations/sqlMigrationServiceOperationResults/read",
                    "Microsoft.DataMigration/databaseMigrations/write",
                    "Microsoft.DataMigration/databaseMigrations/read",
                    "Microsoft.DataMigration/databaseMigrations/delete",
                    "Microsoft.DataMigration/databaseMigrations/cancel/action",
                    "Microsoft.DataMigration/databaseMigrations/cutover/action",
                    "Microsoft.DataMigration/sqlMigrationServices/write",
                    "Microsoft.DataMigration/sqlMigrationServices/delete",
                    "Microsoft.DataMigration/sqlMigrationServices/read",
                    "Microsoft.DataMigration/sqlMigrationServices/listAuthKeys/action",
                    "Microsoft.DataMigration/sqlMigrationServices/regenerateAuthKeys/action",
                    "Microsoft.DataMigration/sqlMigrationServices/deleteNode/action",
                    "Microsoft.DataMigration/sqlMigrationServices/listMonitoringData/action",
                    "Microsoft.DataMigration/sqlMigrationServices/listMigrations/read",
                    "Microsoft.DataMigration/sqlMigrationServices/MonitoringData/read",
                    "Microsoft.DataMigration/SqlMigrationServices/tasks/read",
                    "Microsoft.DataMigration/SqlMigrationServices/tasks/write",
                    "Microsoft.DataMigration/SqlMigrationServices/tasks/delete"
                ],
                "notActions": [],
                "dataActions": [
                    "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read"
                ],
                "notDataActions": []
            }
        ]
    }
}

Du kan använda antingen Azure-portalen, Azure PowerShell, Azure CLI eller Azure REST API för att skapa rollerna.

Mer information finns i Skapa eller uppdatera anpassade Azure-roller med Azure-portalen och Azure anpassade roller.

Anmärkning

När du migrerar till Azure SQL Managed Instance eller Azure SQL Virtual Machine via Azure-portalen kontrollerar du att den inloggade användaren har åtkomst till Storage Blob Data Reader på blobcontainern som innehåller säkerhetskopieringsfilerna. Den här behörigheten krävs för att visa mappar och filer i blobcontainern endast under migreringskonfigurationen via Azure-portalen.

Beskrivning av behörigheter som krävs för att migrera till en virtuell dator

Behörighetsåtgärd Beskrivning
Microsoft.Storage/storageAccounts/read Returnerar listan över lagringskonton eller hämtar egenskaperna för det angivna lagringskontot.
Microsoft.Storage/storageAccounts/listkeys/action Returnerar åtkomstnycklarna för det angivna lagringskontot.
Microsoft.Storage/storageAccounts/blobServices/read Visa en lista över blobtjänster.
Microsoft.Storage/storageAccounts/blobServices/write Returnerar resultatet av egenskaperna för put blob-tjänsten.
Microsoft.Storage/storageAccounts/blobServices/containers/read Returnerar en lista över containrar.
Microsoft.Sql/managedInstances/read Returnera listan över hanterade instanser eller hämta egenskaperna för den angivna hanterade instansen.
Microsoft.Sql/managedInstances/write Skapar en hanterad instans med de angivna parametrarna eller uppdaterar egenskaperna eller taggarna för den angivna hanterade instansen.
Microsoft.Sql/managedInstances/databases/read Hämtar befintlig hanterad databas.
Microsoft.Sql/managedInstances/databases/write Skapar en ny databas eller uppdaterar en befintlig databas.
Microsoft.Sql/managedInstances/databases/delete Tar bort en befintlig hanterad databas.
Microsoft.DataMigration/locations/operationResults/read Hämta status för en tidskrävande åtgärd som är relaterad till ett 202-godkänt svar.
Microsoft.DataMigration/locations/operationStatuses/read Hämta status för en tidskrävande åtgärd som är relaterad till ett 202-godkänt svar.
Microsoft.DataMigration/locations/sqlMigrationServiceOperationResults/read Hämta resultat för serviceoperationer.
Microsoft.DataMigration/databaseMigrations/write Skapa eller uppdatera databasmigreringsresursen.
Microsoft.DataMigration/databaseMigrations/read Hämta databasmigreringsresursen.
Microsoft.DataMigration/databaseMigrations/delete Ta bort databasmigreringsresursen.
Microsoft.DataMigration/databaseMigrations/cancel/action Stoppa pågående migrering för databasen.
Microsoft.DataMigration/databaseMigrations/cutover/action Övergångsoperation för online-migrering av databasen.
Microsoft.DataMigration/sqlMigrationServices/write Skapa en ny eller ändra egenskaper för befintlig tjänst
Microsoft.DataMigration/sqlMigrationServices/delete Ta bort befintlig tjänst.
Microsoft.DataMigration/sqlMigrationServices/read Hämta information om Migration Service.
Microsoft.DataMigration/sqlMigrationServices/listAuthKeys/action Hämta listan över autentiseringsnycklar.
Microsoft.DataMigration/sqlMigrationServices/regenerateAuthKeys/action Återskapa autentiseringsnycklarna.
Microsoft.DataMigration/sqlMigrationServices/deleteNode/action Avregistrera IR-noden.
Microsoft.DataMigration/sqlMigrationServices/listMonitoringData/action Visar en lista över övervakningsdata för alla migreringar.
Microsoft.DataMigration/sqlMigrationServices/listMigrations/read Visar en lista över migreringarna för användaren.
Microsoft.DataMigration/sqlMigrationServices/MonitoringData/read Hämta övervakningsdata.
Microsoft.SqlVirtualMachine/sqlVirtualMachines/read Hämta information om den virtuella SQL-datorn.
Microsoft.SqlVirtualMachine/sqlVirtualMachines/write Skapa en ny eller ändra egenskaper för en befintlig virtuell SQL-dator.
Microsoft.DataMigration/SqlMigrationServices/tasks/read Hämta information om migreringstjänstens uppgift
Microsoft.DataMigration/SqlMigrationServices/tasks/write Skapa eller uppdatera migreringstjänstens uppgift
Microsoft.DataMigration/SqlMigrationServices/tasks/delete Ta bort migreringstjänstens uppgift
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Läsa blobcontainrar i ett Azure Storage-konto

Du kan hämta ett exempelskript för att skapa en inloggning och etablera den med nödvändiga behörigheter, för VMware, Hyper-Veller fysiska servrar, med hjälp av Windows-autentisering eller SQL Server-autentisering.

Rolltilldelning

Så här tilldelar du en roll till en användare eller ett app-ID:

  1. Gå till resursen i Azure-portalen.

  2. I den vänstra menyn väljer du åtkomstkontroll (IAM)och bläddrar sedan för att hitta de anpassade roller som du skapade.

  3. Välj de roller som ska tilldelas, välj användaren eller app-ID:t och spara sedan ändringarna.

    Användar- eller app-ID:t visas nu på fliken Rolltilldelningar.

Relaterat innehåll