Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier les répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer de répertoire.
S’applique à :
SQL ServerAzure SQL DatabaseAzure SQL Managed InstanceAzure Synapse AnalyticsAnalytics Platform System (PDW)Point de terminaison d’analytique SQL dans Microsoft FabricEntrepôt dans Microsoft FabricBase de données SQL dans Microsoft Fabric
Permet d’accorder des autorisations sur une base de données dans SQL Server.
Conventions de la syntaxe Transact-SQL
Syntax
GRANT <permission> [ ,...n ]
TO <database_principal> [ ,...n ] [ WITH GRANT OPTION ]
[ AS <database_principal> ]
<permission>::=
permission | ALL [ PRIVILEGES ]
<database_principal> ::=
Database_user
| Database_role
| Application_role
| Database_user_mapped_to_Windows_User
| Database_user_mapped_to_Windows_Group
| Database_user_mapped_to_certificate
| Database_user_mapped_to_asymmetric_key
| Database_user_with_no_login
Arguments
permission Spécifie une autorisation qui peut être accordée sur une base de données. Pour obtenir la liste des autorisations, consultez la section Notes plus loin dans cette rubrique.
ALL Cette option n’accorde pas toutes les autorisations possibles. Elle revient à accorder les autorisations suivantes : BACKUP DATABASE, BACKUP LOG, CREATE DEFAULT, CREATE FUNCTION, CREATE PROCEDURE, CREATE RULE, CREATE TABLE et CREATE VIEW.
PRIVILEGES Inclus pour la conformité aux normes ANSI-92. Ne change pas le comportement de l'option ALL.
WITH GRANT OPTION Indique que le principal a également la possibilité d’accorder l’autorisation spécifiée à d’autres principaux.
AS <database_principal> Spécifie un principal dont le principal qui exécute cette requête dérive son droit d’octroyer l’autorisation.
Database_user Spécifie un utilisateur de base de données.
Database_role Spécifie un rôle de base de données.
Application_roleS’applique à : SQL Server 2008 (10.0.x) et versions ultérieures, Azure SQL Database
Spécifie un rôle d'application.
Database_user_mapped_to_Windows_UserS’applique à : SQL Server 2008 (10.0.x) et versions ultérieures
Spécifie un utilisateur de base de données mappé sur un utilisateur Windows.
Database_user_mapped_to_Windows_GroupS’applique à : SQL Server 2008 (10.0.x) et versions ultérieures
Spécifie un utilisateur de base de données mappé à un groupe Windows.
Database_user_mapped_to_certificateS’applique à : SQL Server 2008 (10.0.x) et versions ultérieures
Spécifie un utilisateur de base de données mappé sur un certificat.
Database_user_mapped_to_asymmetric_keyS’applique à : SQL Server 2008 (10.0.x) et versions ultérieures
Spécifie un utilisateur de base de données mappé à une clé asymétrique.
Database_user_with_no_login Spécifie un utilisateur de base de données sans principal au niveau du serveur correspondant.
Remarks
Important
Dans certains cas, une combinaison d'autorisations ALTER et REFERENCE pourrait autoriser le bénéficiaire des autorisations à afficher des données ou à exécuter des fonctions non autorisées. Par exemple : un utilisateur avec une autorisation ALTER sur une table et une autorisation REFERENCE sur une fonction peut créer une colonne calculée sur une fonction et l’exécuter. Dans ce cas, l'utilisateur doit également disposer d'une autorisation SELECT sur la colonne calculée.
Une base de données est un élément sécurisable contenu par le serveur qui est son parent dans la hiérarchie des autorisations. Les autorisations les plus spécifiques et limitées qu'il est possible d'accorder sur une base de données sont répertoriées dans le tableau ci-dessous, avec les autorisations plus générales qui les incluent de manière implicite.
| Autorisation de base de données | Impliquée par une autorisation de base de données | Déduite d'une autorisation de serveur |
|---|---|---|
| ADMINISTRER DES OPÉRATIONS EN BLOC DE BASE DE DONNÉES S’applique à : SQL Database. |
CONTROL | SERVEUR DE CONTRÔLE |
| ALTER | CONTROL | MODIFIER TOUTE BASE DE DONNÉES |
| MODIFIER N’IMPORTE QUEL RÔLE D’APPLICATION | ALTER | SERVEUR DE CONTRÔLE |
| MODIFIER TOUT ASSEMBLAGE | ALTER | SERVEUR DE CONTRÔLE |
| MODIFIER N’IMPORTE QUELLE CLÉ ASYMÉTRIQUE | ALTER | SERVEUR DE CONTRÔLE |
| MODIFIER TOUT CERTIFICAT | ALTER | SERVEUR DE CONTRÔLE |
| MODIFIER UNE CLÉ DE CHIFFREMENT DE COLONNE | ALTER | SERVEUR DE CONTRÔLE |
| MODIFIER UNE DÉFINITION DE CLÉ PRINCIPALE DE COLONNE | ALTER | SERVEUR DE CONTRÔLE |
| Modifier tout contrat | ALTER | SERVEUR DE CONTRÔLE |
| Modifier n'importe quel audit de base de données | ALTER | Modifier tout audit de serveur |
| ALTERER N'IMPORTE QUEL DÉCLENCHEUR DDL DE BASE DE DONNÉES | ALTER | SERVEUR DE CONTRÔLE |
| MODIFIER TOUTE NOTIFICATION D'ÉVÉNEMENT DE BASE DE DONNÉES | ALTER | MODIFIER TOUTE NOTIFICATION D'ÉVÉNEMENT |
| ALTERER TOUTE SESSION D'ÉVÉNEMENT DE BASE DE DONNÉES S’applique à : SQL Database. |
ALTER | MODIFIER TOUTE SESSION D'ÉVÉNEMENT |
| MODIFIER UNE CONFIGURATION DE BASE DE DONNÉES DANS TOUT CONTEXTE S’applique à : SQL Server 2016 (13.x) et versions ultérieures, SQL Database. |
CONTROL | SERVEUR DE CONTRÔLE |
| MODIFIER TOUT ESPACE DE DONNÉES | ALTER | SERVEUR DE CONTRÔLE |
| MODIFIER TOUTE SOURCE DE DONNÉES EXTERNE | ALTER | SERVEUR DE CONTRÔLE |
| MODIFIER TOUT FORMAT DE FICHIER EXTERNE | ALTER | SERVEUR DE CONTRÔLE |
| MODIFIER TOUTE BIBLIOTHÈQUE EXTERNE S'applique à: SQL Server 2017 (14.x). |
CONTROL | SERVEUR DE CONTRÔLE |
| MODIFIER N'IMPORTE QUEL CATALOGUE DE TEXTE INTÉGRAL | ALTER | SERVEUR DE CONTRÔLE |
| MODIFIER TOUT MASQUE | CONTROL | SERVEUR DE CONTRÔLE |
| MODIFIER N’IMPORTE QUEL TYPE DE MESSAGE | ALTER | SERVEUR DE CONTRÔLE |
| MODIFIER TOUT LIEN DE SERVICE À DISTANCE | ALTER | SERVEUR DE CONTRÔLE |
| MODIFIER N’IMPORTE QUEL RÔLE | ALTER | SERVEUR DE CONTRÔLE |
| MODIFIER TOUTE ROUTE | ALTER | SERVEUR DE CONTRÔLE |
| MODIFIER TOUT SCHÉMA | ALTER | SERVEUR DE CONTRÔLE |
| MODIFIER UNE STRATÉGIE DE SÉCURITÉ S'applique à: Azure SQL Database. |
CONTROL | SERVEUR DE CONTRÔLE |
| MODIFIER TOUTE CLASSIFICATION DE CONFIDENTIALITÉ S’applique à : SQL Server (SQL Server 2019 et versions ultérieures), Azure SQL Database. |
CONTROL | SERVEUR DE CONTRÔLE |
| MODIFIER N'IMPORTE QUEL SERVICE | ALTER | SERVEUR DE CONTRÔLE |
| MODIFIER TOUTE CLÉ SYMÉTRIQUE | ALTER | SERVEUR DE CONTRÔLE |
| MODIFIER TOUS LES UTILISATEURS | ALTER | SERVEUR DE CONTRÔLE |
| AUTHENTICATE | CONTROL | AUTHENTIFIER LE SERVEUR |
| SAUVEGARDER BASE DE DONNÉES | CONTROL | SERVEUR DE CONTRÔLE |
| JOURNAL DE SAUVEGARDE | CONTROL | SERVEUR DE CONTRÔLE |
| CHECKPOINT | CONTROL | SERVEUR DE CONTRÔLE |
| CONNECT | RÉPLICATION DE CONNEXION | SERVEUR DE CONTRÔLE |
| RÉPLICATION DE CONNEXION | CONTROL | SERVEUR DE CONTRÔLE |
| CONTROL | CONTROL | SERVEUR DE CONTRÔLE |
| CRÉER AGRÉGAT (CREATE AGGREGATE) | ALTER | SERVEUR DE CONTRÔLE |
| CRÉER UNE BIBLIOTHÈQUE EXTERNE S'applique à: SQL Server 2017 (14.x). |
CONTROL | SERVEUR DE CONTRÔLE |
| CRÉER L'ASSEMBLAGE | MODIFIER TOUT ASSEMBLAGE | SERVEUR DE CONTRÔLE |
| CRÉER UNE CLÉ ASYMÉTRIQUE | MODIFIER N’IMPORTE QUELLE CLÉ ASYMÉTRIQUE | SERVEUR DE CONTRÔLE |
| CRÉER CERTIFICAT | MODIFIER TOUT CERTIFICAT | SERVEUR DE CONTRÔLE |
| CRÉER CONTRAT | Modifier tout contrat | SERVEUR DE CONTRÔLE |
| CRÉER UNE BASE DE DONNÉES | CONTROL | CRÉER UNE BASE DE DONNÉES |
| CRÉER UNE NOTIFICATION D'ÉVÉNEMENT DDL DE BASE DE DONNÉES | MODIFIER TOUTE NOTIFICATION D'ÉVÉNEMENT DE BASE DE DONNÉES | CRÉER UNE NOTIFICATION D'ÉVÉNEMENT DDL |
| CRÉER PAR DÉFAUT | ALTER | SERVEUR DE CONTRÔLE |
| CRÉER UN CATALOGUE DE TEXTE INTÉGRAL | MODIFIER N'IMPORTE QUEL CATALOGUE DE TEXTE INTÉGRAL | SERVEUR DE CONTRÔLE |
| CRÉER FONCTION | ALTER | SERVEUR DE CONTRÔLE |
| CRÉER UN TYPE DE MESSAGE | MODIFIER N’IMPORTE QUEL TYPE DE MESSAGE | SERVEUR DE CONTRÔLE |
| CRÉER PROCÉDURE | ALTER | SERVEUR DE CONTRÔLE |
| CREATE QUEUE | ALTER | SERVEUR DE CONTRÔLE |
| CRÉER UN LIEN DE SERVICE DISTANT | MODIFIER TOUT LIEN DE SERVICE À DISTANCE | SERVEUR DE CONTRÔLE |
| CRÉER UN RÔLE | MODIFIER N’IMPORTE QUEL RÔLE | SERVEUR DE CONTRÔLE |
| CRÉER UNE ROUTE | MODIFIER TOUTE ROUTE | SERVEUR DE CONTRÔLE |
| CRÉER UNE RÈGLE | ALTER | SERVEUR DE CONTRÔLE |
| CRÉER SCHÉMA | MODIFIER TOUT SCHÉMA | SERVEUR DE CONTRÔLE |
| CRÉER UN SERVICE | MODIFIER N'IMPORTE QUEL SERVICE | SERVEUR DE CONTRÔLE |
| CREATE SYMMETRIC KEY (créer une clé symétrique) | MODIFIER TOUTE CLÉ SYMÉTRIQUE | SERVEUR DE CONTRÔLE |
| CRÉER UN SYNONYME | ALTER | SERVEUR DE CONTRÔLE |
| CREATE TABLE | ALTER | SERVEUR DE CONTRÔLE |
| CRÉER UN TYPE | ALTER | SERVEUR DE CONTRÔLE |
| CRÉER VUE | ALTER | SERVEUR DE CONTRÔLE |
| CRÉER UNE COLLECTION DE SCHÉMA XML | ALTER | SERVEUR DE CONTRÔLE |
| DELETE | CONTROL | SERVEUR DE CONTRÔLE |
| EXECUTE | CONTROL | SERVEUR DE CONTRÔLE |
| EXÉCUTER N’IMPORTE QUEL POINT DE TERMINAISON EXTERNE S'applique à: Azure SQL Database. |
CONTROL | SERVEUR DE CONTRÔLE |
| EXÉCUTER UN SCRIPT EXTERNE S'applique à: SQL Server 2016 (13.x). |
CONTROL | SERVEUR DE CONTRÔLE |
| EXÉCUTER UN SCRIPT EXTERNE S’applique à : SQL Server 2019 (15.x) |
EXÉCUTER UN SCRIPT EXTERNE | SERVEUR DE CONTRÔLE |
| INSERT | CONTROL | SERVEUR DE CONTRÔLE |
| TERMINER LA CONNEXION À LA BASE DE DONNÉES S'applique à: Azure SQL Database. |
CONTROL | MODIFIER N’IMPORTE QUELLE CONNEXION |
| REFERENCES | CONTROL | SERVEUR DE CONTRÔLE |
| SELECT | CONTROL | SERVEUR DE CONTRÔLE |
| SHOWPLAN | CONTROL | ALTER TRACE |
| NOTIFICATIONS DE REQUÊTE D’ABONNEMENT | CONTROL | SERVEUR DE CONTRÔLE |
| PRENDRE POSSESSION | CONTROL | SERVEUR DE CONTRÔLE |
| UNMASK | CONTROL | SERVEUR DE CONTRÔLE |
| UPDATE | CONTROL | SERVEUR DE CONTRÔLE |
| AFFICHER LA DÉFINITION DE TOUTE CLÉ DE CHIFFREMENT DE COLONNE | CONTROL | Voir n'importe quelle définition |
| AFFICHER UNE DÉFINITION DE CLÉ PRINCIPALE DE COLONNE | CONTROL | Voir n'importe quelle définition |
| AFFICHER LE STATUT DE LA BASE DE DONNÉES | CONTROL | AFFICHER L’ÉTAT DU SERVEUR |
| DÉFINITION DE LA VUE | CONTROL | Voir n'importe quelle définition |
Permissions
Le fournisseur d'autorisations (ou le principal spécifié avec l'option AS) doit posséder l'autorisation elle-même avec l'option GRANT OPTION ou une autorisation plus élevée qui implique l'autorisation accordée.
Si vous utilisez l'option AS, les conditions supplémentaires ci-dessous s'appliquent.
| COMME granting_principal | Autres autorisations nécessaires |
|---|---|
| Utilisateur de base de données | Autorisation IMPERSONATE sur l'utilisateur, appartenance au rôle de base de données fixe db_securityadmin, appartenance au rôle de base de données fixe db_owner ou appartenance au rôle serveur fixe sysadmin. |
| Utilisateur de base de données mappé à une connexion Windows | Autorisation IMPERSONATE sur l'utilisateur, appartenance au rôle de base de données fixe db_securityadmin, appartenance au rôle de base de données fixe db_owner ou appartenance au rôle serveur fixe sysadmin. |
| Utilisateur de base de données mappé à un groupe Windows | Appartenance au groupe Windows, appartenance aux rôles de base de données fixe db_securityadmin ou db_owner ou appartenance au rôle serveur fixe sysadmin. |
| Utilisateur de base de données mappé à un certificat | Appartenance aux rôles de base de données fixe db_securityadmin ou db_owner ou appartenance au rôle serveur fixe sysadmin. |
| Utilisateur de base de données mappé à une clé asymétrique | Appartenance aux rôles de base de données fixe db_securityadmin ou db_owner ou appartenance au rôle serveur fixe sysadmin. |
| Utilisateur de base de données qui n'est mappé sur aucun principal d'un serveur | Autorisation IMPERSONATE sur l'utilisateur, appartenance au rôle de base de données fixe db_securityadmin, appartenance au rôle de base de données fixe db_owner ou appartenance au rôle serveur fixe sysadmin. |
| Rôle de base de données | Autorisation ALTER sur le rôle, appartenance au rôle de base de données fixe db_securityadmin, appartenance au rôle de base de données fixe db_owner ou appartenance au rôle serveur fixe sysadmin. |
| Rôle d’application | Autorisation ALTER sur le rôle, appartenance au rôle de base de données fixe db_securityadmin, appartenance au rôle de base de données fixe db_owner ou appartenance au rôle serveur fixe sysadmin. |
Les propriétaires d'objets peuvent accorder des autorisations sur les objets qu'ils possèdent. Les principaux qui possèdent l'autorisation CONTROL sur un élément sécurisable peuvent accorder une autorisation sur cet élément sécurisable.
Les détenteurs de l'autorisation CONTROL SERVER, tels que les membres du rôle serveur fixe sysadmin, peuvent accorder une autorisation sur n'importe quel élément sécurisable du serveur.
Examples
A. Octroi d'une autorisation pour créer des tables
Dans l’exemple suivant, l’autorisation CREATE TABLE sur la base de données AdventureWorks est accordée à l’utilisateur MelanieK.
USE AdventureWorks;
GRANT CREATE TABLE TO MelanieK;
GO
B. Octroi d'une autorisation SHOWPLAN à un rôle d'application
Dans l'exemple ci-dessous, l'autorisation SHOWPLAN sur la base de données AdventureWorks2025 est accordée au rôle d'application AuditMonitor.
S’applique à : SQL Server 2008 (10.0.x) et versions ultérieures, Azure SQL Database
USE AdventureWorks2022;
GRANT SHOWPLAN TO AuditMonitor;
GO
C. Octroi d'une autorisation CREATE VIEW avec l'option GRANT OPTION
Dans l'exemple ci-dessous, l'autorisation CREATE VIEW sur la base de données AdventureWorks2025 est accordée à l'utilisateur CarmineEs avec le droit d'accorder CREATE VIEW à d'autres principaux.
USE AdventureWorks2022;
GRANT CREATE VIEW TO CarmineEs WITH GRANT OPTION;
GO
D. Octroi d’une autorisation CONTROL à un utilisateur de base de données
Dans l’exemple suivant, l’autorisation CONTROL sur la base de données AdventureWorks2025 est accordée à l’utilisateur de base de données Sarah. Celui-ci doit exister dans la base de données ; par ailleurs, le contexte doit être défini sur la base de données.
USE AdventureWorks2022;
GRANT CONTROL ON DATABASE::AdventureWorks2022 TO Sarah;
GO