我为每个客户拥有一个 Azure 托管 SQL 数据库。客户被设置为自己数据库的包含用户,具有以下权限(ALTER、CONTROL、DELETE、EXECUTE、INSERT、SELECT、UPDATE、CONNECT、VIEW DATABASE STATE)。
我不介意客户对其数据库架构进行任何更改,但是是否可以对逻辑服务器进行任何更改或访问同一服务器上的任何其他数据库?主要的安全风险是客户在其数据库上创建其他用户吗?
提前致谢。
最佳答案
如果您的数据库用户不是基于逻辑服务器登录创建的,则您没有访问多个数据库的权限。
请引用: Controlling and granting database access to SQL Database and SQL Data Warehouse
正如您提供的链接所述:
包含的数据库中具有 ALTER ANY USER 权限的用户(例如 db_owner 和 db_securityadmin 固定数据库角色的成员)可以在 SQL Server 管理员不知情或没有权限的情况下授予对数据库的访问权限。授予用户对包含的数据库的访问权限会增加针对整个 SQL Server 实例的潜在攻击面。
当客户创建任何其他数据库用户时,请务必谨慎授予用户 ALTER ANY USER 权限。
关于azure - 包含用户权限,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/53859102/