次の方法で共有


階層メンバーの権限 (マスター データ サービス)

適用対象: SQL Server - Windows のみ Azure SQL Managed Instance

階層メンバーの権限はオプションであり、特定のメンバーに対するユーザーのアクセスを制限する場合にのみ使用します。 [階層メンバー] タブで権限を割り当てていなければ、ユーザーの権限は、 [モデル] タブで割り当てられた権限のみに基づいて決定されます。

階層メンバーのアクセス許可は、マスター データ マネージャーのユーザー インターフェイス (UI) で、[階層メンバー] タブの [ユーザーとグループのアクセス許可] 機能領域に割り当てられます。これらのアクセス許可によって、UI のエクスプローラー機能領域でユーザーがアクセスできるメンバーが決まります。

[階層メンバー] タブでは、各階層がツリー構造として表されます。 ツリー内のノードに権限を割り当てると、下位レベルで権限が明示的に割り当てられていない限り、すべての子がその権限を継承します。

Note

階層内のいずれかのノードに権限を割り当てると、同じレベル以上にある、それ以外のノード内のメンバーはすべて暗黙的に拒否されます。

[エクスプローラー]では、メンバーが表示されるすべての領域にメンバー権限が適用されます。 たとえば、 Read 権限が与えられているメンバーは、属しているすべてのエンティティ、階層、コレクションを読み取ることができます。

階層メンバーの権限は、それらを割り当てたモデル バージョンと、そのバージョンの以降のコピーに適用されます。 割り当てたバージョンよりも前のバージョンには適用されません。

権限 説明
読み取り メンバーが表示されます。



注: 読み取り 権限を ルートに割り当てた場合、 ルート の下のメンバーは読み取り専用になります。ただし、明示的階層およびコレクションでは、ユーザーはメンバーを ルート に移動したり、新しいメンバーを ルートに追加したりできます。
作成 作成権限は、階層メンバー権限では使用できません。
更新プログラム メンバーが表示され、ユーザーはメンバーを変更できます。 また、メンバーが属する明示的階層またはコレクションでメンバーを移動することもできます。
削除 メンバーが表示され、ユーザーがそれらを削除できます。
Deny メンバーが表示されません。

[階層メンバー] タブでは、権限を割り当ててもすぐには有効になりません。 権限が適用される頻度は、マスター データ サービス データベースの System Settings テーブルの [メンバーのセキュリティ処理間隔の設定] に応じて異なります。 メンバー権限を直ちに適用するには、「メンバー権限を直ちに適用する (マスター データ サービス)」に追加したりできます。

Note

階層メンバーの権限は、再帰型階層、明示的なキャップを持つ派生階層、およびレベルを非表示にした階層に割り当てることはできません。

重複の可能性がある権限

メンバーに権限を割り当てる際、権限の重複を解決することが必要になる場合があります。

1 つのメンバーが複数の階層に属している場合

複数の階層に同じメンバーを含めることができます。

  • ある階層ノードに 更新 権限が割り当てられ、別の階層ノードに 読み取り権限が割り当てられている場合、ノード内のメンバーの権限は 読み取りになります。

  • ある階層ノードに 更新 権限と 作成 権限が割り当てられ、別の階層ノードに 更新 権限と 削除 権限が割り当てられている場合、ノード内のメンバーを更新できます。

  • ある階層ノードに 作成/読み取り/更新/削除 の各権限の組み合わせが割り当てられ、別のノードに 拒否 権限が割り当てられている場合、ノード内のメンバーへのアクセスが拒否されます。

外部リソース

msdn.com のブログ投稿「 Security Improvements (セキュリティの向上)」をご覧ください。

参照

階層メンバーの権限を割り当てる (マスター データ サービス)
権限の決定方法 (マスター データ サービス)
メンバー (マスター データ サービス)
階層 (マスター データ サービス)
メンバー権限を直ちに適用する (マスター データ サービス)