階層メンバーの権限 (マスター データ サービス)
適用対象: 
SQL Server - Windows のみ Azure SQL Managed Instance
階層メンバーの権限はオプションであり、特定のメンバーに対するユーザーのアクセスを制限する場合にのみ使用します。 [階層メンバー] タブで権限を割り当てていなければ、ユーザーの権限は、 [モデル] タブで割り当てられた権限のみに基づいて決定されます。
階層メンバーのアクセス許可は、マスター データ マネージャーのユーザー インターフェイス (UI) で、[階層メンバー] タブの [ユーザーとグループのアクセス許可] 機能領域に割り当てられます。これらのアクセス許可によって、UI のエクスプローラー機能領域でユーザーがアクセスできるメンバーが決まります。
[階層メンバー] タブでは、各階層がツリー構造として表されます。 ツリー内のノードに権限を割り当てると、下位レベルで権限が明示的に割り当てられていない限り、すべての子がその権限を継承します。
Note
階層内のいずれかのノードに権限を割り当てると、同じレベル以上にある、それ以外のノード内のメンバーはすべて暗黙的に拒否されます。
[エクスプローラー]では、メンバーが表示されるすべての領域にメンバー権限が適用されます。 たとえば、 Read 権限が与えられているメンバーは、属しているすべてのエンティティ、階層、コレクションを読み取ることができます。
階層メンバーの権限は、それらを割り当てたモデル バージョンと、そのバージョンの以降のコピーに適用されます。 割り当てたバージョンよりも前のバージョンには適用されません。
| 権限 | 説明 |
|---|---|
| 読み取り | メンバーが表示されます。 注: 読み取り 権限を ルートに割り当てた場合、 ルート の下のメンバーは読み取り専用になります。ただし、明示的階層およびコレクションでは、ユーザーはメンバーを ルート に移動したり、新しいメンバーを ルートに追加したりできます。 |
| 作成 | 作成権限は、階層メンバー権限では使用できません。 |
| 更新プログラム | メンバーが表示され、ユーザーはメンバーを変更できます。 また、メンバーが属する明示的階層またはコレクションでメンバーを移動することもできます。 |
| 削除 | メンバーが表示され、ユーザーがそれらを削除できます。 |
| Deny | メンバーが表示されません。 |
[階層メンバー] タブでは、権限を割り当ててもすぐには有効になりません。 権限が適用される頻度は、マスター データ サービス データベースの System Settings テーブルの [メンバーのセキュリティ処理間隔の設定] に応じて異なります。 メンバー権限を直ちに適用するには、「メンバー権限を直ちに適用する (マスター データ サービス)」に追加したりできます。
Note
階層メンバーの権限は、再帰型階層、明示的なキャップを持つ派生階層、およびレベルを非表示にした階層に割り当てることはできません。
重複の可能性がある権限
メンバーに権限を割り当てる際、権限の重複を解決することが必要になる場合があります。
1 つのメンバーが複数の階層に属している場合
複数の階層に同じメンバーを含めることができます。
ある階層ノードに 更新 権限が割り当てられ、別の階層ノードに 読み取り権限が割り当てられている場合、ノード内のメンバーの権限は 読み取りになります。
ある階層ノードに 更新 権限と 作成 権限が割り当てられ、別の階層ノードに 更新 権限と 削除 権限が割り当てられている場合、ノード内のメンバーを更新できます。
ある階層ノードに 作成/読み取り/更新/削除 の各権限の組み合わせが割り当てられ、別のノードに 拒否 権限が割り当てられている場合、ノード内のメンバーへのアクセスが拒否されます。
外部リソース
msdn.com のブログ投稿「 Security Improvements (セキュリティの向上)」をご覧ください。
参照
階層メンバーの権限を割り当てる (マスター データ サービス)
権限の決定方法 (マスター データ サービス)
メンバー (マスター データ サービス)
階層 (マスター データ サービス)
メンバー権限を直ちに適用する (マスター データ サービス)