Version imprimable
Bonjour,
J'ai un usager qui développe des packages SSIS. Et on voudrait qu'il soit en mesure de les executer sur SQL. Quels droits devrais-je lui donner pour qu'il puisse le faire ? Je voudrais éviter de lui donner des privileges sysadmin pour le moment.
J'ai googlé longtemps et je n'arrive pas à trouver de réponse claire.
Merci ! :ccool:
J'ai finalement trouvé, je vais vous dire ce que j'ai fait pour la postérité. D'un coup qu'un jour une personne tombe sur mon post.
Dans la propriété de login, usermapping. Sélectionner la BD msdb et il y a des role membership qui s'appellent db_ssisadmin, db_ssisltduser et db_ssisoperator. Dans mon cas j'ai donné le db_ssisadmin, tout en ayant conscience d'un point lu sur le site de Microsoft, que je cite :
http://msdn.microsoft.com/en-us/library/ms141053.aspxCitation:
Members of the db_ssisadmin role and the dc_admin role may be able to elevate their privileges to sysadmin. This elevation of privilege can occur because these roles can modify Integration Services packages and Integration Services packages can be executed by SQL Server using the sysadmin security context of SQL Server Agent. To guard against this elevation of privilege when running maintenance plans, data collection sets, and other Integration Services packages, configure SQL Server Agent jobs that run packages to use a proxy account with limited privileges or only add sysadmin members to the db_ssisadmin and dc_admin roles.
Voillà ! :fleur:
Effectivement, db_ssisadmin c'est pas le mieux...
Ce que je propose à mes clients, c'est des jobs SQL qui tournent avec un proxy (juste ce qu'il a besoin comme droits).
Un login sur l'instance SQL lui permettant de tourner ces jobs (soit le droit agent role + accès sur le proxy).
Concernant l'espace de stockages des packages, je privilégie le file system, avec un accès verouillé au niveau des permissions NTFS.
Aussi, je crée les jobs, les developpeurs n'ont pas acceès à cela.
J'explique aussi qu'ils auront un nombre limité de jobs, 1 ou 2... A eux de se débrouiller par la suite.