Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Si applica a:
SQL Server database SQL di Azure Istanza gestita di SQL di Azure endpoint di analisi SQL di Azure Synapse AnalyticsPlatform System (PDW)in Microsoft FabricWarehouse nel database SQL di Microsoft Fabricin Microsoft Fabric
A ogni entità a protezione diretta di SQL Server sono associate autorizzazioni che possono essere concesse a un'entità di sicurezza. Le autorizzazioni nel motore di database vengono gestite a livello di server, assegnate agli account di accesso e ai ruoli del server, e a livello di database assegnate agli utenti e ai ruoli del database. Il modello per il Database SQL di Azure ha lo stesso sistema di autorizzazioni del database, ma le autorizzazioni a livello di server non sono disponibili. Questo articolo contiene l'elenco completo delle autorizzazioni. Per un'implementazione tipica delle autorizzazioni, vedere Introduzione alle autorizzazioni del motore di database.
Il numero totale di autorizzazioni per SQL Server 2022 (16.x) è 292. Il Database SQL di Azure espone 292 autorizzazioni. La maggior parte delle autorizzazioni si applica a tutte le piattaforme, mentre alcune non si applicano a tutte le piattaforme. Ad esempio, la maggior parte delle autorizzazioni a livello di server non possono essere concesse nel Database SQL di Azure e alcune autorizzazioni hanno senso solo nel Database SQL di Azure. Con i nuovi rilasci verranno introdotte gradualmente nuove autorizzazioni. SQL Server 2019 (15.x) espone 248 autorizzazioni. SQL Server 2017 (14.x) ha esposto 238 autorizzazioni. SQL Server 2016 (13.x) ha esposto 230 autorizzazioni. SQL Server 2014 (12.x) ha esposto 219 autorizzazioni. SQL Server 2012 (11.x) ha esposto 214 autorizzazioni. SQL Server 2008 R2 (10.50.x) ha esposto 195 autorizzazioni. L'articolo sys.fn_builtin_permissions specifica le nuove autorizzazioni nelle versioni recenti.
Nel database SQL in Microsoft Fabric sono supportati solo utenti e ruoli a livello di database. Gli account di accesso a livello di server, i ruoli e l'account sa non sono disponibili. Nel database SQL in Microsoft Fabric, l'ID Microsoft Entra per gli utenti del database è l'unico metodo di autenticazione supportato. Per altre informazioni, vedere Autorizzazione nel database SQL in Microsoft Fabric.
Una volta comprese le autorizzazioni richieste, applicare le autorizzazioni a livello di server agli account di accesso e le autorizzazioni a livello di database agli utenti o ruoli del database usando le istruzioni GRANT, REVOKE e DENY. Ad esempio:
GRANT SELECT ON SCHEMA::HumanResources TO role_HumanResourcesDept;
REVOKE SELECT ON SCHEMA::HumanResources TO role_HumanResourcesDept;
Per suggerimenti sulla pianificazione di un sistema di autorizzazioni, vedere Introduzione alle autorizzazioni del motore di database.
Convenzioni di denominazione delle autorizzazioni
Di seguito vengono descritte le convenzioni generali adottate per la denominazione delle autorizzazioni:
CONTROLLO
Conferisce al beneficiario capacità da proprietario. In pratica il beneficiario dispone di tutte le autorizzazioni definite sull'entità a protezione diretta. Un'entità a cui è stata conferita un'autorizzazione CONTROL può a sua volta concedere autorizzazioni sull'entità a protezione diretta. Poiché il modello di sicurezza di SQL Server è di tipo gerarchico, CONTROL in un particolare ambito include implicitamente CONTROL su tutte le entità a protezione diretta in tale ambito. Un'autorizzazione CONTROL su un database, ad esempio, implica tutte le autorizzazioni sul database, su tutti gli assembly del database, su tutti gli schemi del database e sugli oggetti contenuti in tutti gli schemi del database.
ALTERARE
Conferisce la capacità di modificare le proprietà, eccetto il diritto di proprietà, di una particolare entità a protezione diretta. Quando viene concessa in un ambito, l'autorizzazione ALTER concede la capacità di modificare, creare o eliminare una qualsiasi entità a protezione diretta contenuta in tale ambito. Un'autorizzazione ALTER in uno schema, ad esempio, include la capacità di creare, modificare ed eliminare oggetti contenuti nello schema.
ALTER ANY <Server Securable>, dove Server Securable può essere qualunque server a protezione diretta.
Conferisce la capacità di creare, modificare o eliminare singole istanze dell' Entità a protezione diretta del server. L'autorizzazione ALTER ANY LOGIN, ad esempio, conferisce la capacità di creare, modificare o eliminare un qualsiasi account di accesso nell'istanza.
ALTER ANY <Database Securable>, dove Database Securable può essere qualunque entità a protezione diretta a livello di database.
Conferisce la capacità di creare, modificare o eliminare singole istanze dell' Entità a protezione diretta del database. L'autorizzazione ALTER ANY SCHEMA, ad esempio, conferisce la capacità di creare, modificare o eliminare un qualsiasi schema contenuto nel database.
ACQUISIRE LA PROPRIETÀ
Consente al beneficiario di acquisire la proprietà dell'oggetto di protezione su cui è stata concessa.
IMPERSONATE <Account di accesso>
Consente al beneficiario di rappresentare l'account di accesso.
IMPERSONATE <Utente>
Consente al beneficiario di rappresentare l'utente.
CREATE <Entità a protezione diretta del server>
Conferisce al beneficiario la capacità di creare l' Entità a protezione diretta del server.
CREATE <Entità a protezione diretta del database>
Conferisce al beneficiario la capacità di creare l' Entità a protezione diretta del database.
CREATE <Entità a protezione diretta contenuta in uno schema>
Conferisce la capacità di creare un'entità a protezione diretta contenuta in uno schema. Per creare un'entità a protezione diretta in un particolare schema, è però necessario avere un'autorizzazione ALTER sullo schema.
VISUALIZZA DEFINIZIONE
Consente al beneficiario di accedere a metadati.
RIFERIMENTI
L'autorizzazione REFERENCES su una tabella è necessaria per creare un vincolo FOREIGN KEY che faccia riferimento alla tabella stessa.
L'autorizzazione REFERENCES è necessaria su un oggetto per creare FUNCTION o VIEW con la clausola
WITH SCHEMABINDINGche faccia riferimento all'oggetto stesso.
Grafico delle autorizzazioni di SQL Server
La figura seguente illustra le autorizzazioni e le relative relazioni tra loro. Alcune delle autorizzazioni di livello superiore (ad esempio CONTROL SERVER) sono elencate più volte. In questo articolo l'anteprima è molto piccola e non può essere consultata. È possibile scaricare il Poster relativo alle autorizzazioni del motore di database a dimensione intera in formato PDF.
Autorizzazioni applicabili a particolari entità a protezione diretta
Nella tabella seguente vengono elencate le classi principali di autorizzazione e i tipi di entità a protezione diretta a cui possono essere applicati.
| Autorizzazione | Si applica a |
|---|---|
| ALTERARE | Tutte le classi di oggetti ad eccezione di TYPE |
| CONTROLLO | Tutte le classi di oggetti: AGGREGATO RUOLO DELL'APPLICAZIONE ASSEMBLEA chiave asimmetrica GRUPPO DI DISPONIBILITÀ, CERTIFICATO CONTRATTO CREDENZIALI BANCA DATI CREDENZIALE CON AMBITO DI DATABASE Predefinito ENDPOINT CATALOGO TESTO COMPLETO FULLTEXT STOPLIST, FUNZIONE LOGIN TIPO DI MESSAGGIO, PROCEDIMENTO CODA COLLEGAMENTO AL SERVIZIO REMOTO RUOLO ROTTA REGOLA SCHEMA Elenca proprietà di ricerca SERVER RUOLO SERVER, SERVIZIO CHIAVE SIMMETRICA, SINONIMO TAVOLO TIPO UTENTE VIEW e Collezione XML Schema |
| ELIMINA | Tutte le classi di oggetti ad eccezione di DATABASE SCOPED CONFIGURATION, SERVER e TYPE. |
| ESEGUIRE | tipi CLR, script esterni, procedure (Transact-SQL e CLR), funzioni scalari e di aggregazione (Transact-SQL e CLR) e sinonimi |
| IMPERSONARE | Account di accesso e utenti |
| INSERT … | Sinonimi, tabelle e colonne, viste e colonne. L'autorizzazione può essere concesso a livello di database, schema oppure oggetto |
| AREARICEV | Code di Service Broker |
| RIFERIMENTI | AGGREGATO ASSEMBLEA chiave asimmetrica CERTIFICATO CONTRATTO CREDENTIAL (si applica a SQL Server 2022 (16.x) e versioni successive, BANCA DATI CREDENZIALE CON AMBITO DI DATABASE CATALOGO TESTO COMPLETO FULLTEXT STOPLIST, FUNZIONE TIPO DI MESSAGGIO, PROCEDIMENTO CODA REGOLA SCHEMA Elenca proprietà di ricerca OGGETTO SEQUENZA CHIAVE SIMMETRICA, TAVOLO TIPO VIEW e Collezione XML Schema |
| SELEZIONA | Sinonimi, tabelle e colonne, viste e colonne. L'autorizzazione può essere concesso a livello di database, schema oppure oggetto |
| ACQUISIRE LA PROPRIETÀ | Tutte le classi di oggetti ad eccezione di DATABASE SCOPED CONFIGURATION LOGIN, SERVER e USER |
| AGGIORNAMENTO | Sinonimi, tabelle e colonne, viste e colonne. L'autorizzazione può essere concesso a livello di database, schema oppure oggetto |
| VISUALIZZARE IL RILEVAMENTO MODIFICHE | Schemi e tabelle |
| VISUALIZZA DEFINIZIONE | Tutte le classi di oggetti ad eccezione di DATABASE SCOPED CONFIGURATION e SERVER |
Attenzione
Le autorizzazioni predefinite concesse a oggetti di sistema durante l'installazione vengono valutate attentamente per individuare possibili minacce, per cui non è necessario modificarle come parte della protezione avanzata dell'installazione di SQL Server. Eventuali modifiche alle autorizzazioni per gli oggetti di sistema possono limitare o compromettere la funzionalità e potrebbero lasciare l'installazione di SQL Server in uno stato non supportato.
Autorizzazioni di SQL Server
La tabella seguente contiene un elenco completo delle autorizzazioni di SQL Server. Le autorizzazioni del Database SQL di Azure sono disponibili solo per le entità a protezione diretta di base che sono supportate. Non è possibile concedere autorizzazioni a livello di server nel Database SQL di Azure, ma in alcuni casi sono disponibili autorizzazioni di database.
| Entità a protezione diretta di base | Autorizzazioni di granularità sull'entità a protezione diretta di base | Codice tipo di autorizzazione | Entità a protezione diretta contenente l'entità a protezione diretta di base | Autorizzazione sull'entità a protezione diretta contenente che implica un'autorizzazione di granularità sull'entità a protezione diretta di base |
|---|---|---|---|---|
| RUOLO DELL'APPLICAZIONE | ALTERARE | ALE | BANCA DATI | MODIFICA QUALSIASI RUOLO DELL'APPLICAZIONE |
| RUOLO DELL'APPLICAZIONE | CONTROLLO | CL | BANCA DATI | CONTROLLO |
| RUOLO DELL'APPLICAZIONE | VISUALIZZA DEFINIZIONE | VW | BANCA DATI | VISUALIZZA DEFINIZIONE |
| ASSEMBLEA/ASSEMBLAGGIO | ALTERARE | ALE | BANCA DATI | ALTERA QUALSIASI ASSEMBLY |
| ASSEMBLEA/ASSEMBLAGGIO | CONTROLLO | CL | BANCA DATI | CONTROLLO |
| ASSEMBLEA/ASSEMBLAGGIO | RIFERIMENTI | RF | BANCA DATI | RIFERIMENTI |
| ASSEMBLEA/ASSEMBLAGGIO | ACQUISIRE LA PROPRIETÀ | A | BANCA DATI | CONTROLLO |
| ASSEMBLEA/ASSEMBLAGGIO | VISUALIZZA DEFINIZIONE | VW | BANCA DATI | VISUALIZZA DEFINIZIONE |
| CHIAVE ASIMMETRICA | ALTERARE | ALE | BANCA DATI | ALTERA QUALSIASI CHIAVE ASIMMETRICA |
| CHIAVE ASIMMETRICA | CONTROLLO | CL | BANCA DATI | CONTROLLO |
| CHIAVE ASIMMETRICA | RIFERIMENTI | RF | BANCA DATI | RIFERIMENTI |
| CHIAVE ASIMMETRICA | ACQUISIRE LA PROPRIETÀ | A | BANCA DATI | CONTROLLO |
| CHIAVE ASIMMETRICA | VISUALIZZA DEFINIZIONE | VW | BANCA DATI | VISUALIZZA DEFINIZIONE |
| GRUPPO DI DISPONIBILITÀ | ALTERARE | ALE | SERVER | ALTERA QUALSIASI AVAILABILITY GROUP |
| GRUPPO DI DISPONIBILITÀ | CONTROLLO | CL | SERVER | SERVER DI CONTROLLO |
| GRUPPO DI DISPONIBILITÀ | ACQUISIRE LA PROPRIETÀ | A | SERVER | SERVER DI CONTROLLO |
| GRUPPO DI DISPONIBILITÀ | VISUALIZZA DEFINIZIONE | VW | SERVER | VISUALIZZA QUALSIASI DEFINIZIONE |
| CERTIFICATO | ALTERARE | ALE | BANCA DATI | MODIFICA QUALSIASI CERTIFICATO |
| CERTIFICATO | CONTROLLO | CL | BANCA DATI | CONTROLLO |
| CERTIFICATO | RIFERIMENTI | RF | BANCA DATI | RIFERIMENTI |
| CERTIFICATO | ACQUISIRE LA PROPRIETÀ | A | BANCA DATI | CONTROLLO |
| CERTIFICATO | VISUALIZZA DEFINIZIONE | VW | BANCA DATI | VISUALIZZA DEFINIZIONE |
| CONTRATTO | ALTERARE | ALE | BANCA DATI | MODIFICA QUALSIASI CONTRATTO |
| CONTRATTO | CONTROLLO | CL | BANCA DATI | CONTROLLO |
| CONTRATTO | RIFERIMENTI | RF | BANCA DATI | RIFERIMENTI |
| CONTRATTO | ACQUISIRE LA PROPRIETÀ | A | BANCA DATI | CONTROLLO |
| CONTRATTO | VISUALIZZA DEFINIZIONE | VW | BANCA DATI | VISUALIZZA DEFINIZIONE |
| CREDENZIALE | CONTROLLO | CL | SERVER | SERVER DI CONTROLLO |
| CREDENZIALE | RIFERIMENTI | RF | SERVER | ALTERA QUALSIASI CREDENZIALE |
| BANCA DATI | AMMINISTRA LE OPERAZIONI DI MASSA DEL DATABASE | DABO | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | ALTERARE | ALE | SERVER | MODIFICA QUALSIASI DATABASE |
| BANCA DATI | MODIFICA QUALSIASI RUOLO DELL'APPLICAZIONE | ALAR | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | ALTERA QUALSIASI ASSEMBLY | AHIMÉ | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | ALTERA QUALSIASI CHIAVE ASIMMETRICA | ALAK | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | MODIFICA QUALSIASI CERTIFICATO | ALCF | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | ALTERA QUALSIASI CHIAVE DI CRITTOGRAFIA DELLA COLONNA | ALCK Si applica a SQL Server (da SQL Server 2016 (13.x) fino alla versione corrente), Database SQL di Azure. |
SERVER | SERVER DI CONTROLLO |
| BANCA DATI | MODIFICA QUALSIASI CHIAVE PRINCIPALE DELLA COLONNA | ALCM Si applica a SQL Server (da SQL Server 2016 (13.x) fino alla versione corrente), Database SQL di Azure. |
SERVER | SERVER DI CONTROLLO |
| BANCA DATI | MODIFICA QUALSIASI CONTRATTO | ALSC | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | ALTERARE QUALSIASI AUDIT DEL DATABASE | ALDA | SERVER | MODIFICA QUALSIASI CONTROLLO DEL SERVER |
| BANCA DATI | ALTERA QUALSIASI TRIGGER DDL DEL DATABASE | ALTG | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | ALTER QUALSIASI NOTIFICA DI EVENTO DEL DATABASE | ALED | SERVER | MODIFICA QUALSIASI NOTIFICA DI EVENTO |
| BANCA DATI | ALTERARE QUALSIASI SESSIONE DI EVENTO DEL DATABASE | AADS | SERVER | ALTERARE QUALSIASI SESSIONE DI EVENTO |
| BANCA DATI | ALTER ANY DATABASE EVENT SESSION ADD EVENT | LDAE | SERVER | ALTERA QUALSIASI SESSIONE DI EVENTO AGGIUNGI EVENTO |
| BANCA DATI | ALTER ANY DATABASE EVENT SESSION ADD TARGET | LDAT | SERVER | ALTERARE QUALSIASI SESSIONE DI EVENTO AGGIUNGERE DESTINAZIONE |
| BANCA DATI | N/A (The command remains in English.) | DDES | SERVER | ALTERARE QUALSIASI SESSIONE EVENTO DISABILITARE |
| BANCA DATI | ALTER EVENT SESSION DI QUALSIASI DATABASE RIMUOVI EVENTO | LDDE | SERVER | ALTERA QUALSIASI SESSIONE DI EVENTI ELIMINA EVENTO |
| BANCA DATI | ALTERAZIONE DI QUALSIASI SESSIONE DI EVENTI DEL DATABASE RIMUOVI OBIETTIVO | LDDT | SERVER | ALTER ANY EVENT SESSION CANCELLA DESTINAZIONE |
| BANCA DATI | ABILITA QUALSIASI SESSIONE EVENTO DEL DATABASE | EDES | SERVER | ALTERA QUALSIASI SESSIONE DI EVENTI ATTIVA |
| BANCA DATI | MODIFICA OPZIONE DI QUALSIASI SESSIONE EVENTO DEL DATABASE | LDSO | SERVER | ALTER OPZIONI DI QUALSIASI SESSIONE DI EVENTO |
| BANCA DATI | ALTER QUALSIASI CONFIGURAZIONE AMBITO DATABASE | ALDC Si applica a SQL Server (da SQL Server 2016 (13.x) fino alla versione corrente), Database SQL di Azure. |
SERVER | SERVER DI CONTROLLO |
| BANCA DATI | MODIFICARE QUALSIASI SPAZIO DATI | ALDS | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | ALTERA QUALSIASI FONTE DATI ESTERNA | AEDS | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | MODIFICARE QUALSIASI FORMATO DI FILE ESTERNO | AEFF | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | MODIFICARE QUALSIASI LAVORO ESTERNO | AESJ | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | ALTERARE QUALSIASI LINGUA ESTERNA | ALLA | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | ALTERA QUALSIASI BIBLIOTECA ESTERNA | ALEL | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | ALTERARE QUALSIASI FLUSSO ESTERNO | AEST | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | ALTER QUALSIASI CATALOGO FULLTEXT | ALFT | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | ALTERARE QUALSIASI MASCHERA | AAMK Si applica a SQL Server (da SQL Server 2016 (13.x) fino alla versione corrente), Database SQL di Azure. |
SERVER | SERVER DI CONTROLLO |
| BANCA DATI | MODIFICARE QUALSIASI TIPO DI MESSAGGIO | ALMT | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | MODIFICA QUALSIASI ASSOCIAZIONE DI SERVIZIO REMOTO | ALSB | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | MODIFICA QUALSIASI RUOLO | ALRL | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | ALTERA QUALSIASI ROTTA | ALRT | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | ALTERARE QUALSIASI SCHEMA | ALSM | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | ALTERARE QUALSIASI POLITICA DI SICUREZZA | ALSP Si applica a SQL Server (da SQL Server 2016 (13.x) fino alla versione corrente), Database SQL di Azure. |
SERVER | SERVER DI CONTROLLO |
| BANCA DATI | MODIFICARE LE CLASSIFICAZIONI DI SENSIBILITÀ | AASC Si applica a SQL Server (da SQL Server 2019 (15.x) fino alla versione corrente), Database SQL di Azure. |
SERVER | SERVER DI CONTROLLO |
| BANCA DATI | MODIFICARE QUALSIASI SERVIZIO | ALSV | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | ALTERARE QUALSIASI CHIAVE SIMMETRICA | ALSK | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | ALTERARE QUALSIASI UTENTE | ALUS | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | ALTER LEDGER | ALR | SERVER | CONTROLLO |
| BANCA DATI | MODIFICA CONFIGURAZIONE LIBRO MASTRO | ALC | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | AUTENTICARE | AUTH | SERVER | SERVER DI AUTENTICAZIONE |
| BANCA DATI | Backup del database | BADB | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | Registro di Backup | BALO | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | POSTO DI CONTROLLO | CP | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | CONNETTI | Monossido di carbonio | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | CONNETTI REPLICAZIONE | CORP (Società) | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | CONTROLLO | CL | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | CREA AGGREGATO | DIRUPO | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | CREA QUALSIASI SESSIONE DI EVENTI DEL DATABASE | Contributo per il Rimborso del Debito Sociale (CRDS) | SERVER | CREA QUALSIASI SESSIONE DI EVENTO |
| BANCA DATI | CREATE ASSEMBLY | CRAS | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | CREA CHIAVE ASIMMETRICA | CRAK | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | CREA CERTIFICATO | CRCF | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | CREA CONTRATTO | CRSC | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | CREATE DATABASE | CRDB | SERVER | CREA QUALSIASI DATABASE |
| BANCA DATI | NOTIFICA EVENTO DDL DEL DATABASE | CRED | SERVER | CREATE DDL EVENT NOTIFICATION |
| BANCA DATI | CREARE PREDEFINITO | CRDF | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | CREA LINGUAGGIO ESTERNO | CRLA | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | CREA LIBRERIA ESTERNA | CREL | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | CREA CATALOGO FULLTEXT | CRFT | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | CREA FUNZIONE | CRFN | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | CREA TIPO DI MESSAGGIO | CRMT | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | CREA PROCEDURA | CRPR | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | CREATE QUEUE | CRQU | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | CREA ASSOCIAZIONE DI SERVIZIO REMOTO | CRSB | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | CREA RUOLO | CRRL | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | Crea percorso | Terapia di Sostituzione Renale Continua (CRRT) | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | CREA REGOLA | CRRU | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | CREATE SCHEMA | CRSM | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | CREA SERVIZIO | CRSV | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | CREARE CHIAVE SIMMETRICA | CRSK | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | CREA SINONIMO | CRSN | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | CREA TABELLA | CRTB | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | CREA TIPO (CREATE TYPE) | CRTY | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | CREA UTENTE | CUSR | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | CREARE VISTA | CRVW | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | CREA XML SCHEMA COLLECTION | CRXS | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | ELIMINA | DL | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | RIMUOVI QUALSIASI SESSIONE DI EVENTO DEL DATABASE | DRDS | SERVER | ELIMINA QUALSIASI SESSIONE DI EVENTO |
| BANCA DATI | ENABLE LEDGER | EL | SERVER | CONTROLLO |
| BANCA DATI | ESEGUIRE | EX | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | ESEGUI QUALSIASI ENDPOINT ESTERNO | EAEE | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | Eseguire qualsiasi script esterno | EAES Si applica a SQL Server (da SQL Server 2016 (13.x) fino alla versione corrente). |
SERVER | SERVER DI CONTROLLO |
| BANCA DATI | INSERT … | IN | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | Interrompi connessione al database | KIDC Si applica solo al Database SQL di Azure. Usare ALTER ANY CONNECTION in SQL Server. |
SERVER | ALTERARE QUALSIASI CONNESSIONE |
| BANCA DATI | RIFERIMENTI | RF | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | SELEZIONA | SL | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | SHOWPLAN | SPLN | SERVER | ALTER TRACE (modifica della traccia) |
| BANCA DATI | SOTTOSCRIVERE LE NOTIFICHE DELLE QUERY | SUQN | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | ACQUISIRE LA PROPRIETÀ | A | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | SMASCHERARE | UMSK Si applica a SQL Server (da SQL Server 2016 (13.x) fino alla versione corrente), Database SQL di Azure. |
SERVER | SERVER DI CONTROLLO |
| BANCA DATI | AGGIORNAMENTO | SU | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | VISUALIZZARE QUALSIASI DEFINIZIONE DELLA CHIAVE DI CRITTOGRAFIA DELLA COLONNA | VWCK Si applica a SQL Server (da SQL Server 2016 (13.x) fino alla versione corrente), Database SQL di Azure. |
SERVER | VISUALIZZA STATO DEL SERVER |
| BANCA DATI | VISUALIZZARE LA DEFINIZIONE DELLA CHIAVE MASTER DI QUALSIASI COLONNA | VWCM Si applica a SQL Server (da SQL Server 2016 (13.x) fino alla versione corrente), Database SQL di Azure. |
SERVER | VISUALIZZA STATO DEL SERVER |
| BANCA DATI | VISUALIZZARE QUALSIASI CLASSIFICAZIONE DI RISERVATEZZA | VASC | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | VISUALIZZARE LA DEFINIZIONE PROTETTA CRITTOGRAFICAMENTE | VCD | SERVER | VISUALIZZARE QUALSIASI DEFINIZIONE CRITTOGRAFICAMENTE PROTETTA |
| BANCA DATI | VISUALIZZARE LO STATO DELLE PRESTAZIONI DEL DATABASE | VDP | SERVER | VISUALIZZARE LO STATO DELLE PRESTAZIONI DEL SERVER |
| BANCA DATI | VISUALIZZARE IL CONTROLLO DI SICUREZZA DEL DATABASE | VDSA | SERVER | SERVER DI CONTROLLO |
| BANCA DATI | VISUALIZZARE LO STATO DI SICUREZZA DEL DATABASE | VDS | SERVER | VISUALIZZARE LO STATO DI SICUREZZA DEL SERVER |
| BANCA DATI | VISUALIZZARE LO STATO DEL DATABASE | VWDS | SERVER | VISUALIZZA STATO DEL SERVER |
| BANCA DATI | VISUALIZZA DEFINIZIONE | VW | SERVER | VISUALIZZA QUALSIASI DEFINIZIONE |
| BANCA DATI | VISUALIZZARE IL CONTENUTO LEDGER | WMI | SERVER | CONTROLLO |
| BANCA DATI | VISUALIZZARE LA DEFINIZIONE DI SICUREZZA | VWS | SERVER | VISUALIZZARE QUALSIASI DEFINIZIONE DI SICUREZZA |
| BANCA DATI | VISUALIZZARE LA DEFINIZIONE DELLE PRESTAZIONI | VWP (Programma di Esenzione dal Visto) | SERVER | VISUALIZZARE QUALSIASI DEFINIZIONE DI PRESTAZIONI |
| CREDENZIALE CON AMBITO SPECIFICO DEL DATABASE | ALTERARE | ALE | BANCA DATI | CONTROLLO |
| CREDENZIALE CON AMBITO SPECIFICO DEL DATABASE | CONTROLLO | CL | BANCA DATI | CONTROLLO |
| CREDENZIALE CON AMBITO SPECIFICO DEL DATABASE | RIFERIMENTI | RF | BANCA DATI | RIFERIMENTI |
| CREDENZIALE CON AMBITO SPECIFICO DEL DATABASE | ACQUISIRE LA PROPRIETÀ | A | BANCA DATI | CONTROLLO |
| CREDENZIALE CON AMBITO SPECIFICO DEL DATABASE | VISUALIZZA DEFINIZIONE | VW | BANCA DATI | VISUALIZZA DEFINIZIONE |
| punto finale | ALTERARE | ALE | SERVER | MODIFICA QUALSIASI ENDPOINT |
| punto finale | CONNETTI | Monossido di carbonio | SERVER | SERVER DI CONTROLLO |
| punto finale | CONTROLLO | CL | SERVER | SERVER DI CONTROLLO |
| punto finale | ACQUISIRE LA PROPRIETÀ | A | SERVER | SERVER DI CONTROLLO |
| punto finale | VISUALIZZA DEFINIZIONE | VW | SERVER | VISUALIZZA QUALSIASI DEFINIZIONE |
| CATALOGO TESTO COMPLETO | ALTERARE | ALE | BANCA DATI | ALTER QUALSIASI CATALOGO FULLTEXT |
| CATALOGO TESTO COMPLETO | CONTROLLO | CL | BANCA DATI | CONTROLLO |
| CATALOGO TESTO COMPLETO | RIFERIMENTI | RF | BANCA DATI | RIFERIMENTI |
| CATALOGO TESTO COMPLETO | ACQUISIRE LA PROPRIETÀ | A | BANCA DATI | CONTROLLO |
| CATALOGO TESTO COMPLETO | VISUALIZZA DEFINIZIONE | VW | BANCA DATI | VISUALIZZA DEFINIZIONE |
| Lista di Parole Escluse per il Testo Completo | ALTERARE | ALE | BANCA DATI | ALTER QUALSIASI CATALOGO FULLTEXT |
| Lista di Parole Escluse per il Testo Completo | CONTROLLO | CL | BANCA DATI | CONTROLLO |
| Lista di Parole Escluse per il Testo Completo | RIFERIMENTI | RF | BANCA DATI | RIFERIMENTI |
| Lista di Parole Escluse per il Testo Completo | ACQUISIRE LA PROPRIETÀ | A | BANCA DATI | CONTROLLO |
| Lista di Parole Escluse per il Testo Completo | VISUALIZZA DEFINIZIONE | VW | BANCA DATI | VISUALIZZA DEFINIZIONE |
| ACCESSO AL SISTEMA | ALTERARE | ALE | SERVER | MODIFICA QUALSIASI LOGIN |
| ACCESSO AL SISTEMA | CONTROLLO | CL | SERVER | SERVER DI CONTROLLO |
| ACCESSO AL SISTEMA | IMPERSONARE | Messaggistica Istantanea (IM) | SERVER | SERVER DI CONTROLLO |
| ACCESSO AL SISTEMA | VISUALIZZA DEFINIZIONE | VW | SERVER | VISUALIZZA QUALSIASI DEFINIZIONE |
| TIPO DI MESSAGGIO | ALTERARE | ALE | BANCA DATI | MODIFICARE QUALSIASI TIPO DI MESSAGGIO |
| TIPO DI MESSAGGIO | CONTROLLO | CL | BANCA DATI | CONTROLLO |
| TIPO DI MESSAGGIO | RIFERIMENTI | RF | BANCA DATI | RIFERIMENTI |
| TIPO DI MESSAGGIO | ACQUISIRE LA PROPRIETÀ | A | BANCA DATI | CONTROLLO |
| TIPO DI MESSAGGIO | VISUALIZZA DEFINIZIONE | VW | BANCA DATI | VISUALIZZA DEFINIZIONE |
| OGGETTO | ALTERARE | ALE | schema | ALTERARE |
| OGGETTO | CONTROLLO | CL | schema | CONTROLLO |
| OGGETTO | ELIMINA | DL | schema | ELIMINA |
| OGGETTO | ESEGUIRE | EX | schema | ESEGUIRE |
| OGGETTO | INSERT … | IN | schema | INSERT … |
| OGGETTO | AREARICEV | Gestione ruolo | schema | CONTROLLO |
| OGGETTO | RIFERIMENTI | RF | schema | RIFERIMENTI |
| OGGETTO | SELEZIONA | SL | schema | SELEZIONA |
| OGGETTO | ACQUISIRE LA PROPRIETÀ | A | schema | CONTROLLO |
| OGGETTO | SMASCHERARE | UMSK | schema | SMASCHERARE |
| OGGETTO | AGGIORNAMENTO | SU | schema | AGGIORNAMENTO |
| OGGETTO | VISUALIZZARE IL RILEVAMENTO MODIFICHE | VWCT | schema | VISUALIZZARE IL RILEVAMENTO MODIFICHE |
| OGGETTO | VISUALIZZA DEFINIZIONE | VW | schema | VISUALIZZA DEFINIZIONE |
| COLLEGAMENTO AL SERVIZIO REMOTO | ALTERARE | ALE | BANCA DATI | MODIFICA QUALSIASI ASSOCIAZIONE DI SERVIZIO REMOTO |
| COLLEGAMENTO AL SERVIZIO REMOTO | CONTROLLO | CL | BANCA DATI | CONTROLLO |
| COLLEGAMENTO AL SERVIZIO REMOTO | ACQUISIRE LA PROPRIETÀ | A | BANCA DATI | CONTROLLO |
| COLLEGAMENTO AL SERVIZIO REMOTO | VISUALIZZA DEFINIZIONE | VW | BANCA DATI | VISUALIZZA DEFINIZIONE |
| RUOLO | ALTERARE | ALE | BANCA DATI | MODIFICA QUALSIASI RUOLO |
| RUOLO | CONTROLLO | CL | BANCA DATI | CONTROLLO |
| RUOLO | ACQUISIRE LA PROPRIETÀ | A | BANCA DATI | CONTROLLO |
| RUOLO | VISUALIZZA DEFINIZIONE | VW | BANCA DATI | VISUALIZZA DEFINIZIONE |
| PERCORSO | ALTERARE | ALE | BANCA DATI | ALTERA QUALSIASI ROTTA |
| PERCORSO | CONTROLLO | CL | BANCA DATI | CONTROLLO |
| PERCORSO | ACQUISIRE LA PROPRIETÀ | A | BANCA DATI | CONTROLLO |
| PERCORSO | VISUALIZZA DEFINIZIONE | VW | BANCA DATI | VISUALIZZA DEFINIZIONE |
| schema | ALTERARE | ALE | BANCA DATI | ALTERARE QUALSIASI SCHEMA |
| schema | CONTROLLO | CL | BANCA DATI | CONTROLLO |
| schema | CREA SEQUENZA | CRSO | BANCA DATI | CONTROLLO |
| schema | ELIMINA | DL | BANCA DATI | ELIMINA |
| schema | ESEGUIRE | EX | BANCA DATI | ESEGUIRE |
| schema | INSERT … | IN | BANCA DATI | INSERT … |
| schema | RIFERIMENTI | RF | BANCA DATI | RIFERIMENTI |
| schema | SELEZIONA | SL | BANCA DATI | SELEZIONA |
| schema | ACQUISIRE LA PROPRIETÀ | A | BANCA DATI | CONTROLLO |
| schema | SMASCHERARE | UMSK | BANCA DATI | SMASCHERARE |
| schema | AGGIORNAMENTO | SU | BANCA DATI | AGGIORNAMENTO |
| schema | VISUALIZZARE IL RILEVAMENTO MODIFICHE | VWCT | BANCA DATI | VISUALIZZARE IL RILEVAMENTO MODIFICHE |
| schema | VISUALIZZA DEFINIZIONE | VW | BANCA DATI | VISUALIZZA DEFINIZIONE |
| ELENCO RICERCA IMMOBILI | ALTERARE | ALE | SERVER | ALTER QUALSIASI CATALOGO FULLTEXT |
| ELENCO RICERCA IMMOBILI | CONTROLLO | CL | SERVER | CONTROLLO |
| ELENCO RICERCA IMMOBILI | RIFERIMENTI | RF | SERVER | RIFERIMENTI |
| ELENCO RICERCA IMMOBILI | ACQUISIRE LA PROPRIETÀ | A | SERVER | CONTROLLO |
| ELENCO RICERCA IMMOBILI | VISUALIZZA DEFINIZIONE | VW | SERVER | VISUALIZZA DEFINIZIONE |
| SERVER | AMMINISTRARE LE OPERAZIONI MASSIVE | ADBO | Non applicabile | Non applicabile |
| SERVER | ALTERA QUALSIASI AVAILABILITY GROUP | ALAG | Non applicabile | Non applicabile |
| SERVER | ALTERARE QUALSIASI CONNESSIONE | ALCO | Non applicabile | Non applicabile |
| SERVER | ALTERA QUALSIASI CREDENZIALE | ALCD | Non applicabile | Non applicabile |
| SERVER | MODIFICA QUALSIASI DATABASE | ALDB | Non applicabile | Non applicabile |
| SERVER | MODIFICA QUALSIASI ENDPOINT | ALHE | Non applicabile | Non applicabile |
| SERVER | MODIFICA QUALSIASI NOTIFICA DI EVENTO | ALES | Non applicabile | Non applicabile |
| SERVER | ALTERARE QUALSIASI SESSIONE DI EVENTO | AAES | Non applicabile | Non applicabile |
| SERVER | ALTERA QUALSIASI SESSIONE DI EVENTO AGGIUNGI EVENTO | LSAE | Non applicabile | Non applicabile |
| SERVER | ALTERARE QUALSIASI SESSIONE DI EVENTO AGGIUNGERE DESTINAZIONE | Strumenti di amministrazione locale | Non applicabile | Non applicabile |
| SERVER | ALTERARE QUALSIASI SESSIONE EVENTO DISABILITARE | Standard di Cifratura dei Dati (DES) | Non applicabile | Non applicabile |
| SERVER | ALTERA QUALSIASI SESSIONE DI EVENTI ELIMINA EVENTO | LSDE | Non applicabile | Non applicabile |
| SERVER | ALTER ANY EVENT SESSION CANCELLA DESTINAZIONE | LSDT | Non applicabile | Non applicabile |
| SERVER | ALTERA QUALSIASI SESSIONE DI EVENTI ATTIVA | EES | Non applicabile | Non applicabile |
| SERVER | ALTER OPZIONI DI QUALSIASI SESSIONE DI EVENTO | LESO | Non applicabile | Non applicabile |
| SERVER | MODIFICARE QUALSIASI SERVER COLLEGATO | ALLS | Non applicabile | Non applicabile |
| SERVER | MODIFICA QUALSIASI LOGIN | ALLG | Non applicabile | Non applicabile |
| SERVER | MODIFICA QUALSIASI CONTROLLO DEL SERVER | ALAA | Non applicabile | Non applicabile |
| SERVER | MODIFICARE QUALSIASI RUOLO DEL SERVER | ALSR | Non applicabile | Non applicabile |
| SERVER | ALTER RESOURCES | ALRS | Non applicabile | Non applicabile |
| SERVER | MODIFICA STATO DEL SERVER | ALSS | Non applicabile | Non applicabile |
| SERVER | MODIFICA IMPOSTAZIONI | ALST | Non applicabile | Non applicabile |
| SERVER | ALTER TRACE (modifica della traccia) | ALTR | Non applicabile | Non applicabile |
| SERVER | SERVER DI AUTENTICAZIONE | AUTH | Non applicabile | Non applicabile |
| SERVER | COLLEGA QUALSIASI DATABASE | CADB | Non applicabile | Non applicabile |
| SERVER | CONNECT SQL | COSQ | Non applicabile | Non applicabile |
| SERVER | SERVER DI CONTROLLO | CL | Non applicabile | Non applicabile |
| SERVER | CREA QUALSIASI DATABASE | CRDB | Non applicabile | Non applicabile |
| SERVER | CREA GRUPPO DI DISPONIBILITÀ | CRAC | Non applicabile | Non applicabile |
| SERVER | CREATE DDL EVENT NOTIFICATION | CRDE | Non applicabile | Non applicabile |
| SERVER | CREA ENDPOINT | CRHE | Non applicabile | Non applicabile |
| SERVER | CREA RUOLO DEL SERVER | CRSR | Non applicabile | Non applicabile |
| SERVER | CREARE UNA NOTIFICA DEGLI EVENTI DI TRACCIA | CRTE | Non applicabile | Non applicabile |
| SERVER | ASSEMBLEA DI ACCESSO ESTERNO | XA | Non applicabile | Non applicabile |
| SERVER | RAPPRESENTA QUALSIASI ACCOUNT DI ACCESSO | IAL | Non applicabile | Non applicabile |
| SERVER | SELEZIONARE TUTTI GLI ELEMENTI PROTEGGIBILI DELL'UTENTE | SUS | Non applicabile | Non applicabile |
| SERVER | CHIUSURA | SHDN | Non applicabile | Non applicabile |
| SERVER | ASSEMBLAGGIO NON SICURO | XU | Non applicabile | Non applicabile |
| SERVER | Visualizza qualsiasi database | VWDB | Non applicabile | Non applicabile |
| SERVER | VISUALIZZA QUALSIASI DEFINIZIONE | VWAD | Non applicabile | Non applicabile |
| SERVER | VISUALIZZA STATO DEL SERVER | VWSS | Non applicabile | Non applicabile |
| RUOLO SERVER | ALTERARE | ALE | SERVER | MODIFICARE QUALSIASI RUOLO DEL SERVER |
| RUOLO SERVER | CONTROLLO | CL | SERVER | SERVER DI CONTROLLO |
| RUOLO SERVER | ACQUISIRE LA PROPRIETÀ | A | SERVER | SERVER DI CONTROLLO |
| RUOLO SERVER | VISUALIZZA DEFINIZIONE | VW | SERVER | VISUALIZZA QUALSIASI DEFINIZIONE |
| SERVIZIO | ALTERARE | ALE | BANCA DATI | MODIFICARE QUALSIASI SERVIZIO |
| SERVIZIO | CONTROLLO | CL | BANCA DATI | CONTROLLO |
| SERVIZIO | INVIA | SN | BANCA DATI | CONTROLLO |
| SERVIZIO | ACQUISIRE LA PROPRIETÀ | A | BANCA DATI | CONTROLLO |
| SERVIZIO | VISUALIZZA DEFINIZIONE | VW | BANCA DATI | VISUALIZZA DEFINIZIONE |
| CHIAVE SIMMETRICA | ALTERARE | ALE | BANCA DATI | ALTERARE QUALSIASI CHIAVE SIMMETRICA |
| CHIAVE SIMMETRICA | CONTROLLO | CL | BANCA DATI | CONTROLLO |
| CHIAVE SIMMETRICA | RIFERIMENTI | RF | BANCA DATI | RIFERIMENTI |
| CHIAVE SIMMETRICA | ACQUISIRE LA PROPRIETÀ | A | BANCA DATI | CONTROLLO |
| CHIAVE SIMMETRICA | VISUALIZZA DEFINIZIONE | VW | BANCA DATI | VISUALIZZA DEFINIZIONE |
| TIPO | CONTROLLO | CL | schema | CONTROLLO |
| TIPO | ESEGUIRE | EX | schema | ESEGUIRE |
| TIPO | RIFERIMENTI | RF | schema | RIFERIMENTI |
| TIPO | ACQUISIRE LA PROPRIETÀ | A | schema | CONTROLLO |
| TIPO | VISUALIZZA DEFINIZIONE | VW | schema | VISUALIZZA DEFINIZIONE |
| UTENTE | ALTERARE | ALE | BANCA DATI | ALTERARE QUALSIASI UTENTE |
| UTENTE | CONTROLLO | CL | BANCA DATI | CONTROLLO |
| UTENTE | IMPERSONARE | Messaggistica Istantanea (IM) | BANCA DATI | CONTROLLO |
| UTENTE | VISUALIZZA DEFINIZIONE | VW | BANCA DATI | VISUALIZZA DEFINIZIONE |
| Collezione XML Schema | ALTERARE | ALE | schema | ALTERARE |
| Collezione XML Schema | CONTROLLO | CL | schema | CONTROLLO |
| Collezione XML Schema | ESEGUIRE | EX | schema | ESEGUIRE |
| Collezione XML Schema | RIFERIMENTI | RF | schema | RIFERIMENTI |
| Collezione XML Schema | ACQUISIRE LA PROPRIETÀ | A | schema | CONTROLLO |
| Collezione XML Schema | VISUALIZZA DEFINIZIONE | VW | schema | VISUALIZZA DEFINIZIONE |
Nuove autorizzazioni granulari aggiunte a SQL Server 2022
A SQL Server 2022 sono aggiunte le autorizzazioni seguenti:
Sono state aggiunte 10 nuove autorizzazioni per consentire l'accesso ai metadati di sistema.
Sono state aggiunte 18 nuove autorizzazioni per gli eventi estesi.
Sono state aggiunte 9 nuove autorizzazioni in relazione agli oggetti correlati alla sicurezza.
Sono state aggiunte 4 autorizzazioni per Ledger.
3 autorizzazioni aggiuntive per il database.
Per altre informazioni, vedere Nuove autorizzazioni granulari per SQL Server 2022 e Azure SQL per migliorare l'aderenza a PoLP.
Autorizzazioni per l’accesso ai metadati di sistema
Livello server:
- VISUALIZZARE QUALSIASI DEFINIZIONE DI SICUREZZA
- VISUALIZZARE QUALSIASI DEFINIZIONE DI PRESTAZIONI
- VISUALIZZARE LO STATO DI SICUREZZA DEL SERVER
- VISUALIZZARE LO STATO DELLE PRESTAZIONI DEL SERVER
- VISUALIZZARE QUALSIASI DEFINIZIONE CRITTOGRAFICAMENTE PROTETTA
Livello database:
- VISUALIZZARE LO STATO DI SICUREZZA DEL DATABASE
- VISUALIZZARE LO STATO DELLE PRESTAZIONI DEL DATABASE
- VISUALIZZARE LA DEFINIZIONE DI SICUREZZA
- VISUALIZZARE LA DEFINIZIONE DELLE PRESTAZIONI
- VISUALIZZARE LA DEFINIZIONE PROTETTA CRITTOGRAFICAMENTE
Autorizzazioni di eventi estesi
Livello server:
- CREA QUALSIASI SESSIONE DI EVENTO
- ELIMINA QUALSIASI SESSIONE DI EVENTO
- ALTER OPZIONI DI QUALSIASI SESSIONE DI EVENTO
- ALTERA QUALSIASI SESSIONE DI EVENTO AGGIUNGI EVENTO
- ALTERA QUALSIASI SESSIONE DI EVENTI ELIMINA EVENTO
- ALTERA QUALSIASI SESSIONE DI EVENTI ATTIVA
- ALTERARE QUALSIASI SESSIONE EVENTO DISABILITARE
- ALTERARE QUALSIASI SESSIONE DI EVENTO AGGIUNGERE DESTINAZIONE
- ALTER ANY EVENT SESSION CANCELLA DESTINAZIONE
Tutte queste autorizzazioni si trovano nella stessa autorizzazione padre: ALTER ANY EVENT SESSION
Livello database:
- CREA QUALSIASI SESSIONE DI EVENTI DEL DATABASE
- RIMUOVI QUALSIASI SESSIONE DI EVENTO DEL DATABASE
- MODIFICA OPZIONE DI QUALSIASI SESSIONE EVENTO DEL DATABASE
- ALTER ANY DATABASE EVENT SESSION ADD EVENT
- ALTER EVENT SESSION DI QUALSIASI DATABASE RIMUOVI EVENTO
- ABILITA QUALSIASI SESSIONE EVENTO DEL DATABASE
- N/A (The command remains in English.)
- ALTER ANY DATABASE EVENT SESSION ADD TARGET
- ALTERAZIONE DI QUALSIASI SESSIONE DI EVENTI DEL DATABASE RIMUOVI OBIETTIVO
Tutte queste autorizzazioni si trovano nella stessa autorizzazione padre: ALTER ANY DATABASE EVENT SESSION
Autorizzazioni di oggetti correlati alla sicurezza
- CONTROLLO (CREDENZIALI)
- CREATE LOGIN
- CREA UTENTE
- RIFERIMENTI (CREDENZIALI)
- UNMASK (OBJECT)
- UNMASK (SCHEMA)
- VISUALIZZARE EVENTUALI LOG DEGLI ERRORI
- VISUALIZZARE IL CONTROLLO DI SICUREZZA DEL SERVER
- VISUALIZZARE IL CONTROLLO DI SICUREZZA DEL DATABASE
Autorizzazioni Ledger
- ALTER LEDGER
- MODIFICA CONFIGURAZIONE LIBRO MASTRO
- ENABLE LEDGER
- VISUALIZZARE IL CONTENUTO LEDGER
Altre autorizzazioni del database
- MODIFICARE QUALSIASI LAVORO ESTERNO
- ALTERARE QUALSIASI FLUSSO ESTERNO
- ESEGUI QUALSIASI ENDPOINT ESTERNO
Riepilogo dell'algoritmo di controllo delle autorizzazioni
Il controllo delle autorizzazioni può essere complesso. L'algoritmo di controllo delle autorizzazioni include le appartenenze a gruppi sovrapposti e il concatenamento di proprietà, nonché autorizzazioni esplicite e implicite. È inoltre possibile che le autorizzazioni per le classi di entità a protezione diretta contenenti l'entità a protezione diretta abbiano impatto su tale algoritmo. Il processo generale dell'algoritmo consiste nel raccogliere tutte le autorizzazioni rilevanti. Se non viene individuato alcun blocco DENY, l'algoritmo cerca un'istruzione GRANT che fornisce accesso sufficiente. L'algoritmo contiene tre elementi fondamentali, ovvero il contesto di sicurezza, lo spazio di autorizzazionee l' autorizzazione necessaria.
Nota
Non è possibile concedere, negare o revocare le autorizzazioni a sa, dbo, il proprietario dell'entità, information_schema, syso manualmente.
Contesto di sicurezza
Gruppo di entità che fornisce le autorizzazioni per il controllo dell'accesso. Tali autorizzazioni sono correlate all'utente o all'account di accesso corrente, a meno che l'utente o l'account di accesso del contesto di sicurezza non sia stato modificato tramite l'istruzione EXECUTE AS. Il contesto di sicurezza include le seguenti entità:
Account di accesso
Utente
Appartenenze a ruoli
Appartenenze a gruppi di Windows
Se si usano la firma del modulo, qualsiasi account utente o di accesso tiene conto del certificato usato per firmare il modulo attualmente eseguito dall'utente e delle appartenenze a ruoli associate di tale entità.
Spazio di autorizzazione
L'entità a protezione diretta e qualsiasi classe di entità a protezione diretta in cui è contenuta. Ad esempio, una tabella (entità a protezione diretta) è contenuta nella classe di entità a protezione diretta dello schema e nella classe di entità a protezione diretta del database. Sull'accesso possono influire le autorizzazioni a livello di tabella, schema, database e server. Per altre informazioni, vedere Gerarchia delle autorizzazioni (motore di database).
Autorizzazione necessaria
Il tipo di autorizzazione richiesto. Ad esempio, INSERT, UPDATE, DELETE SELECT, EXECUTE ALTER, CONTROL e così via.
L'accesso può richiedere più autorizzazioni, come negli esempi seguenti:
Una stored procedure può richiedere sia l'autorizzazione EXECUTE per la stored procedure, sia l'autorizzazione INSERT per varie tabelle a cui la stored procedure fa riferimento.
Una vista a gestione dinamica può richiedere entrambe le autorizzazioni VIEW SERVER STATE e SELECT per la vista.
Passaggi generali dell'algoritmo
I passaggi precisi usati dall'algoritmo per determinare se consentire l'accesso a un'entità a protezione diretta possono variare in base alle entità e alle entità a protezione diretta coinvolte. L'algoritmo, tuttavia, effettua i passaggi generali indicati di seguito:
Ignora il controllo delle autorizzazioni se l'account di accesso è un membro del ruolo predefinito del server sysadmin o se l'utente è l'utente dbo nel database corrente.
Consente l'accesso se il concatenamento della proprietà è applicabile e il controllo dell'accesso sul primo oggetto nella catena ha superato il controllo della sicurezza.
Aggrega le identità del modulo firmato a livello di database e a livello di server associate al chiamante per creare il contesto di scurezza.
Per il contesto di sicurezzaraccoglie tutte le autorizzazioni concesse o negate per lo spazio di autorizzazione. È possibile dichiarare l'autorizzazione in modo esplicito come GRANT, GRANT WITH GRANT o DENY oppure usare autorizzazioni GRANT o DENY implicite o effettive. L'autorizzazione CONTROL per uno schema implica ad esempio l'autorizzazione CONTROL per una tabella, così come l'autorizzazione CONTROL per una tabella implica l'autorizzazione SELECT. Se è stata pertanto concessa l'autorizzazione CONTROL per lo schema, viene concessa anche l'autorizzazione SELECT per la tabella. Se l'autorizzazione CONTROL è stata negata per la tabella, viene negata anche l'autorizzazione SELECT per la tabella.
Nota
Un'autorizzazione GRANT a livello di colonna esegue l'override di un'autorizzazione DENY a livello di oggetto. Per altre informazioni, vedere DENY - Autorizzazioni per oggetti.
Identifica l' autorizzazione necessaria.
Restituisce un esito negativo per il controllo delle autorizzazioni se l' autorizzazione necessaria è negata in modo diretto o implicito per un'identità nel contesto di sicurezza degli oggetti nello spazio di autorizzazione.
Superamento del controllo dell’autorizzazione se l’autorizzazione richiesta non è stata negata e se l’autorizzazione richiesta contiene un'autorizzazione GRANT WITH GRANT concessa in modo diretto o implicito a una delle identità nel contesto di protezione per qualunque oggetto nello spazio di autorizzazione.
Considerazioni speciali per le autorizzazioni a livello di colonna
Le autorizzazioni a livello di colonna vengono concesse con la sintassi <table_name>(<column_name>). Ad esempio:
GRANT SELECT ON OBJECT::Customer(CustomerName) TO UserJoe;
Un'istruzione GRANT a livello di colonna esegue l'override di un'istruzione DENY a livello di tabella. Tuttavia, un'istruzione DENY successiva a livello di tabella rimuoverà l'istruzione GRANT a livello di colonna.
Esempi
Negli esempi inclusi in questa sezione viene illustrato come recuperare le informazioni sulle autorizzazioni.
R. Restituzione dell'elenco completo delle autorizzazioni concedibili
L'istruzione seguente restituisce tutte le autorizzazioni del motore di database tramite la funzione fn_builtin_permissions. Per altre informazioni, vedere sys.fn_builtin_permissions.
SELECT * FROM fn_builtin_permissions(default);
GO
B. Restituzione delle autorizzazioni per una particolare classe di oggetti
Nell'esempio seguente viene usata la funzione fn_builtin_permissions per visualizzare tutte le autorizzazioni disponibili per una categoria di entità a protezione diretta. Nell'esempio vengono restituite le autorizzazioni per gli assembly.
SELECT * FROM fn_builtin_permissions('assembly');
GO
C. Restituzione delle autorizzazioni concesse all'entità di sicurezza in esecuzione su un oggetto
Nell'esempio seguente viene usata la funzione fn_my_permissions per restituire un elenco delle autorizzazioni valide assegnate all'entità chiamante per un'entità a protezione diretta specificata. Nell'esempio vengono restituite le autorizzazioni per un oggetto denominato Orders55. Per altre informazioni, vedere sys.fn_my_permissions.
SELECT * FROM fn_my_permissions('Orders55', 'object');
GO
D. Restituzione delle autorizzazioni applicabili a un oggetto specificato
Nell'esempio seguente vengono restituite le autorizzazioni applicabili a un oggetto denominato Yttrium. La funzione predefinita OBJECT_ID viene usata per recuperare l'ID dell'oggetto Yttrium.
SELECT * FROM sys.database_permissions
WHERE major_id = OBJECT_ID('Yttrium');
GO