REVOKE – révocation d'autorisations de principal de serveur (Transact-SQL)
S’applique à :
SQL ServerAzure SQL Managed Instance
Permet de révoquer des autorisations accordées et refusées sur une connexion SQL Server.
Conventions de la syntaxe Transact-SQL
Syntaxe
REVOKE [ GRANT OPTION FOR ] permission [ ,...n ] }
ON
{ [ LOGIN :: SQL_Server_login ]
| [ SERVER ROLE :: server_role ] }
{ FROM | TO } <server_principal> [ ,...n ]
[ CASCADE ]
[ AS SQL_Server_login ]
<server_principal> ::=
SQL_Server_login
| SQL_Server_login_from_Windows_login
| SQL_Server_login_from_certificate
| SQL_Server_login_from_AsymKey
| server_role
Remarque
Pour afficher la syntaxe Transact-SQL pour SQL Server 2014 (12.x) et versions antérieures, consultez la Documentation sur les versions antérieures.
Arguments
permission
Spécifie une autorisation qui peut être révoquée sur une connexion SQL Server. Pour obtenir la liste des autorisations, consultez la section Notes plus loin dans cette rubrique.
LOGIN ::SQL_Server_login
Spécifie la connexion SQL Server sur laquelle l’autorisation doit être révoquée. Le qualificateur d’étendue ( :: ) est obligatoire.
SERVER ROLE ::server_role
Spécifie le rôle de serveur sur lequel l'autorisation est révoquée. Le qualificateur d’étendue ( :: ) est obligatoire.
{ FROM | TO } <server_principal> spécifie le rôle serveur ou le compte de connexion SQL Server sur lequel l’autorisation est révoquée.
SQL_Server_login
Spécifie le nom d'une connexion SQL Server.
SQL_Server_login_from_Windows_login
Spécifie le nom d'une connexion SQL Server créée à partir d'une connexion Windows.
SQL_Server_login_from_certificate
Spécifie le nom d'une connexion SQL Server mappée sur un certificat.
SQL_Server_login_from_AsymKey
Spécifie le nom d'une connexion SQL Server mappée sur une clé asymétrique.
server_role
Spécifie le nom d'un rôle de serveur défini par l'utilisateur.
GRANT OPTION
Indique que le droit d'accorder l'autorisation spécifiée à d'autres principaux sera révoqué. L'autorisation elle-même ne sera pas révoquée.
Important
Si le principal possède l'autorisation spécifiée sans l'option GRANT, l'autorisation elle-même sera révoquée.
CASCADE
Indique que l'autorisation en cours de révocation est également révoquée sur les principaux auxquels cette autorisation a été accordée ou révoquée par ce principal.
Attention
Une révocation en cascade d'une autorisation accordée avec l'option WITH GRANT OPTION entraîne la révocation des deux options GRANT et DENY de cette autorisation.
AS SQL_Server_login
Spécifie la connexion SQL Server à partir de laquelle le principal qui exécute cette requête dérive son droit de révoquer l'autorisation.
Notes
Les comptes de connexion et les rôles de serveur SQL Server sont des éléments sécurisables au niveau du serveur. Les autorisations les plus spécifiques et limitées qu'il est possible de révoquer pour un rôle de serveur ou un compte de connexion SQL Server sont répertoriées dans le tableau ci-dessous, avec les autorisations plus générales qui les incluent de manière implicite.
| Compte de connexion SQL Server ou autorisation de rôle de serveur | Déduite d'une autorisation de rôle de serveur ou de compte de connexion SQL Server | Déduite d'une autorisation de serveur |
|---|---|---|
| CONTROL | CONTROL | CONTROL SERVER |
| IMPERSONATE | CONTROL | CONTROL SERVER |
| VIEW DEFINITION | CONTROL | VIEW ANY DEFINITION |
| ALTER | CONTROL | ALTER ANY LOGIN ALTER ANY SERVER ROLE |
Autorisations
Pour les comptes de connexion, requiert l'autorisation CONTROL sur le compte de connexion ou l'autorisation ALTER ANY LOGIN sur le serveur.
Pour les rôles de serveur, requiert l'autorisation CONTROL sur le rôle de serveur ou l'autorisation ALTER ANY SERVER ROLE sur le serveur.
Exemples
R. Révocation d'une autorisation IMPERSONATE sur une connexion
Dans l’exemple ci-dessous, l’autorisation IMPERSONATE sur la connexion SQL ServerWanidaBenshoof est révoquée sur une connexion SQL Server créée à partir du compte d’utilisateur Windows AdvWorks\YoonM.
USE master;
REVOKE IMPERSONATE ON LOGIN::WanidaBenshoof FROM [AdvWorks\YoonM];
GO
B. Révocation d’une autorisation VIEW DEFINITION avec l’option CASCADE
Dans l'exemple ci-dessous, l'autorisation VIEW DEFINITION sur la connexion SQL ServerEricKurjan est révoquée pour la connexion SQL ServerRMeyyappan. L'option CASCADE indique que l'autorisation VIEW DEFINITION sur EricKurjan sera également révoquée pour les principaux auxquels RMeyyappan a accordé cette autorisation.
USE master;
REVOKE VIEW DEFINITION ON LOGIN::EricKurjan FROM RMeyyappan
CASCADE;
GO
C. Révocation d'une autorisation VIEW DEFINITION sur un rôle de serveur
L'exemple suivant révoque VIEW DEFINITION sur le rôle de serveur Sales pour le rôle de serveur Auditors.
USE master;
REVOKE VIEW DEFINITION ON SERVER ROLE::Sales TO Auditors ;
GO
Voir aussi
sys.server_principals (Transact-SQL)
sys.server_permissions (Transact-SQL)
GRANT – octroi d'autorisations de principal de serveur (Transact-SQL)
DENY – refus d'autorisations du principal de serveur (Transact-SQL)
CREATE LOGIN (Transact-SQL)
Principaux (moteur de base de données)
Autorisations (moteur de base de données)
Fonctions de sécurité (Transact-SQL)
Procédures stockées liées à la sécurité (Transact-SQL)
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour