将系统pipe理员angular色授予需要执行特定任务的服务帐户是否危险?

我试图设置Amazon DMS将数据从我们的生产SQL Server实例(当前运行在专用的EC2实例中)复制到Redshift中,以实现数据仓库目的。 DMS文件明确指出 :

AWS DMS用户帐户必须在要连接的Microsoft SQL Server数据库上具有sysAdmin固定服务器angular色。

Windows身份validation不受支持。

这与我们的DBA有关。 他们警惕用sysadmin权限创build一个帐户(sql或AD),然后将该权限授予第三方服务。 虽然我理解这个问题,但我倾向于相信亚马逊,创build服务帐户,并继续我的一天。

他们build议设置一项作业,在夜间同步之前为该帐户授予必要的sysAdminangular色,然后在作业完成后恢复权限。 这种感觉对我来说是不必要的偏执,如果我们继续复制的话,根本不起作用。

所以我的问题是:创build这样一个账户有多危险(假设其他的最佳实践,例如:安全encryption的密码,受限制的IP地址访问等)? 有没有理由不向前迈进,还是这只是做生意的成本?

有没有理由不向前迈进,还是这只是做生意的成本?

我完全理解DBA的勉强,给出SA并不是一个好习惯。 如果服务器属于任何行业法规,例如PCI / SOX,需要监控SA的login,并且有理由,则这变得特别粗糙。

然而,这是一个商业需求,你已经在使用AWS,这让人担忧。 我肯定是亚马逊的权限列表,而不只是SA,但我也(并行)继续进行testing,而不是让它成为一个阻碍。

创build这样一个帐户有多危险(假设其他的最佳实践是遵循的,例如:安全encryption的密码,受限制的IP地址访问等)?

给予SA应该不是一件轻而易举的事情,因为任何人都可以随心所欲地做出自己想做的事情而不留下任何痕迹。 假设这个服务器不能从互联网直接访问,login被IP等限制,这将限制最好的表面积。 之后,就要信任亚马逊,似乎没有理由信任他们。

总的来说,我会要求一个最低权限的列表,但会继续使用该服务,并根据需要设置帐户。 就我个人而言,我会对该login进行额外的审计,并在我的testing环境中看到它像是一只鹰,看看它“真正”做了什么……但是如果您想使用服务,则需要这样做 – 与那个服务所有者。