我每个客户都有一个Azure托管SQL数据库。将客户设置为他们自己的数据库的包含用户,并具有以下权限(ALTER,CONTROL,DELETE,EXECUTE,INSERT,SELECT,UPDATE,CONNECT,VIEW DATABASE STATE)。
我不介意客户对其数据库架构进行任何更改,但是可以对逻辑服务器进行任何更改或访问同一服务器上的任何其他数据库吗?客户在数据库上创建其他用户时是否存在主要的安全风险?
谢谢。
答案 0 :(得分:0)
如果不是基于逻辑服务器登录名创建数据库用户,则您无权访问多个数据库。
请参考: Controlling and granting database access to SQL Database and SQL Data Warehouse
正如您提供的链接所述:
包含数据库中具有ALTER ANY USER权限的用户,例如db_owner和db_securityadmin固定数据库角色的成员,可以在不知情或没有权限或SQL Server管理员的情况下授予对数据库的访问权限。授予用户访问包含的数据库的权限会增加对整个SQL Server实例的潜在攻击表面积。
当客户创建任何其他数据库用户时,请非常谨慎地授予用户ALTER ANY USER权限。