適用対象:
SQL ServerAzure SQL DatabaseAzure SQL Managed InstanceAzure Synapse AnalyticsAnalytics Platform System (PDW)Microsoft Fabric の SQL 分析エンドポイントMicrosoft Fabric のウェアハウスMicrosoft Fabric の SQL データベース
SQL Server のすべてのセキュリティ保護可能なリソースには、プリンシパルに付与できるアクセス許可が関連付けられています。 Database Engine のアクセス許可は、ログインおよびサーバー ロールに割り当てられたサーバー レベル、およびデータベース ユーザーおよびデータベース ロールに割り当てられたデータベース レベルで管理されます。 Azure SQL Database のモデルは、データベース レベルのアクセス許可に関しては同じしくみを採用していますが、サーバー レベルのアクセス許可は使用できません。 この記事は、アクセス許可の一覧を示します。 アクセス許可の一般的な実装については、「 データベース エンジンのアクセス許可の概要」を参照してください。
SQL Server 2022 (16.x) におけるアクセス許可の総数は 292 件です。 Azure SQL Database でも 292 件のアクセス許可が公開されています。 ほとんどのアクセス許可はすべてのプラットフォームに適用されますが、一部は適用されません。 たとえば、多くのサーバー レベルのアクセス許可は Azure SQL Database では付与できず、一部のアクセス許可は Azure SQL Database でのみ機能します。 新しいアクセス許可は、新しいリリースに伴って段階的に追加されています。 SQL Server 2019 (15.x) では 248 件、SQL Server 2017 (14.x) では 238 件のアクセス許可が公開されていました。 SQL Server 2016 (13.x) では 230 件のアクセス許可が公開されていました。 SQL Server 2014 (12.x) では 219 件のアクセス許可が公開されていました。 SQL Server 2012 (11.x) では 214 件のアクセス許可が公開されていました。 SQL Server 2008 R2 (10.50.x) では 195 件のアクセス許可が公開されていました。 sys.fn_builtin_permissions 記事では、最近のバージョンでどのアクセス許可が新しいかが明確に記載されています。
Microsoft Fabric の SQL データベースでは、データベース レベルのユーザーとロールのみがサポートされます。 サーバー レベルのログイン、ロール、 sa アカウントは使用できません。 Microsoft Fabric の SQL データベースでは、データベース ユーザーの Microsoft Entra ID のみがサポートされている認証方法です。 詳細については、Microsoft Fabric の SQL Database における認可に関する記事を参照してください。
必要なアクセス許可を把握したら、GRANT、REVOKE、DENY ステートメントを使用して、ログインまたはサーバー ロールにサーバー レベルのアクセス許可を、ユーザーまたはデータベース ロールにデータベース レベルのアクセス許可を適用できます。 例えば次が挙げられます。
GRANT SELECT ON SCHEMA::HumanResources TO role_HumanResourcesDept;
REVOKE SELECT ON SCHEMA::HumanResources TO role_HumanResourcesDept;
アクセス許可システムの計画に関するヒントについては、「 データベース エンジンのアクセス許可の概要」を参照してください。
アクセス許可の名前付け規則
ここでは、アクセス許可に名前を付ける際に従う一般的な規則について説明します。
CONTROL
権限を与えられたユーザーに所有権のような権限を与えます。 アクセス許可を与えられたユーザーは、事実上、セキュリティ保護可能なリソースに対する定義済みのすべてのアクセス許可を持っています。 CONTROL を付与されたプリンシパルは、セキュリティ保護可能なリソースに対するアクセス許可も付与できます。 SQL Server セキュリティ モデルは階層構造であるため、特定のスコープの CONTROL には、そのスコープ下のセキュリティ保護可能なすべてのリソースに対する CONTROL が暗黙的に含まれます。 たとえば、データベースに対する CONTROL は、データベースに対するすべてのアクセス許可、データベース内のすべてのアセンブリに対するすべてのアクセス許可、データベース内のすべてのスキーマに対するすべてのアクセス許可、およびデータベース内のすべてのスキーマに含まれているオブジェクトに対するすべてのアクセス許可を意味します。
ALTER
セキュリティ保護可能な特定のリソースのプロパティを変更できるようにします。ただし、所有権は変更できません。 スコープに対して付与された場合、ALTER では、そのスコープに含まれているセキュリティ保護可能なすべてのリソースの変更、作成、または削除も行えるようになります。 たとえば、スキーマに対する ALTER アクセス許可には、スキーマのオブジェクトを作成、変更、および削除するアクセス許可が含まれています。
ALTER ANY <Server Securable>。ここで、Server Securable には、任意のセキュリティ保護可能なサーバーを指定できます。
Server Securableの個々のインスタンスを作成、変更、削除できるようにします。 たとえば、ALTER ANY LOGIN では、インスタンス内の任意のログインを作成、変更、または削除できます。
ALTER ANY <Database Securable>。ここで、Database Securable には、データベース レベルの任意のセキュリティ保護可能なリソースを指定できます。
Database Securableの個々のインスタンスを CREATE、ALTER、DROP できるようにします。 たとえば、ALTER ANY SCHEMA では、データベース内の任意のスキーマを作成、変更、または削除できます。
所有権
このアクセス許可が付与されたユーザーは、その対象のセキュリティ保護可能なリソースの所有権を取得できるようになります。
IMPERSONATE <ログイン>
権限を与えられたユーザーが、Login の権限を借用できるようにします。
ユーザーになりすます <ユーザー>
権限を与えられたユーザーが、User の権限を借用できるようにします。
CREATE <Server Securable>
権限を与えられたユーザーが Server Securableを作成できるようにします。
CREATE <Database Securable>
権限を与えられたユーザーが Database Securableを作成できるようにします。
CREATE <Schema に含まれるセキュリティ保護可能なリソース>
スキーマに含まれているセキュリティ保護可能なリソースを作成できるようにします。 ただし、特定のスキーマ内でセキュリティ保護可能なリソースを作成するには、そのスキーマに対する ALTER アクセス許可が必要です。
ビューの定義
権限を与えられたユーザーがメタデータにアクセスできるようにします。
REFERENCES
テーブルを参照する FOREIGN KEY 制約を作成するには、そのテーブルに対する REFERENCES アクセス許可が必要です。
オブジェクトを参照する
WITH SCHEMABINDING句を含む関数またはビューを作成するには、そのオブジェクトに対する REFERENCES アクセス許可が必要です。
SQL Server アクセス許可の一覧表
次の図は、アクセス許可とそれらの関連性を示します。 一部の高いレベルの許可 ( CONTROL SERVERなど) は複数回列挙されています。 この記事のポスターは、読み取るには小さすぎます。
Database Engine のアクセス許可ポスターは PDF 形式のフルサイズ版としてダウンロードできます。
特定のセキュリティ保護可能なリソースに適用できるアクセス許可
次の表に、主なアクセス許可のクラスおよび各アクセス許可を適用できるセキュリティ保護可能なリソースの種類を示します。
| Permission | 対象 |
|---|---|
| ALTER | オブジェクトのすべてのクラス (TYPE を除く)。 |
| CONTROL | オブジェクトのすべてのクラス: AGGREGATE, アプリケーション ロール、 ASSEMBLY, 非対称キー 可用性グループ、 CERTIFICATE, CONTRACT, CREDENTIALS, DATABASE, DATABASE SCOPED CREDENTIAL、 DEFAULT, ENDPOINT, FULLTEXTカタログ (全文テキストカタログ) フルテキスト検索の停止リスト (FULLTEXT STOPLIST) FUNCTION, LOGIN, メッセージの種類、 PROCEDURE, QUEUE, REMOTE SERVICE BINDING、 ROLE, ROUTE, RULE, SCHEMA, SEARCH PROPERTY LIST、 SERVER, サーバーの役割 SERVICE, 対称キー、 SYNONYM, TABLE, TYPE, USER, VIEW、および XML スキーマ コレクション |
| DELETE | オブジェクトのすべてのクラス (DATABASE SCOPED CONFIGURATION、SERVER、および TYPE を除く)。 |
| EXECUTE | CLR 型、外部スクリプト、ストアド プロシージャ (Transact-SQL および CLR)、スカラー関数および集約関数 (Transact-SQL および CLR)、シノニム |
| IMPERSONATE | ログインとユーザー |
| INSERT | シノニム、テーブルと列、ビューと列。 データベース、スキーマ、またはオブジェクト レベルでアクセス許可を付与できます。 |
| RECEIVE | Service Broker キュー |
| REFERENCES | AGGREGATE, ASSEMBLY, 非対称キー、 CERTIFICATE, CONTRACT, CREDENTIAL (SQL Server 2022 (16.x) 以降に適用)、 DATABASE, DATABASE SCOPED CREDENTIAL、 FULLTEXT CATALOG, FULLTEXT STOPLIST(フルテキスト ストップリスト) FUNCTION, メッセージの種類、 PROCEDURE, QUEUE, RULE, SCHEMA, SEARCH PROPERTY LIST、 SEQUENCE オブジェクト、 対称キー TABLE, TYPE, VIEW、および XML スキーマ コレクション |
| SELECT | シノニム、テーブルと列、ビューと列。 データベース、スキーマ、またはオブジェクト レベルでアクセス許可を付与できます。 |
| 所有権 | オブジェクトのすべてのクラス (DATABASE SCOPED CONFIGURATION、LOGIN、SERVER、および USER を除く)。 |
| UPDATE | シノニム、テーブルと列、ビューと列。 データベース、スキーマ、またはオブジェクト レベルでアクセス許可を付与できます。 |
| 変更の追跡を表示する | スキーマとテーブル |
| ビューの定義 | オブジェクトのすべてのクラス (DATABASE SCOPED CONFIGURATION および SERVER を除く)。 |
Caution
セットアップ時にシステム オブジェクトに付与された既定のアクセス許可は、発生する可能性のある脅威に対して慎重に評価されているため、SQL Server のインストールの際、セキュリティ強化の一部として変更する必要はありません。 システム オブジェクトのアクセス許可の変更はどのようなものであっても、SQL Server の機能を制限または中断する可能性があり、SQL Server のインストール環境がサポート対象外の状態になる場合があります。
SQL Server アクセス許可
次の表に、SQL Server のすべてのアクセス許可の一覧を示します。 Azure SQL Database のアクセス許可は、サポートされている基本のセキュリティ保護可能なリソースに対してのみ有効です。 Azure SQL Database ではサーバー レベルのアクセス許可は付与できませんが、代わりにデータベース レベルのアクセス許可が使用できる場合があります。
| セキュリティが確保可能なもの | セキュリティ保護可能な基本リソースに対する粒度の細かいアクセス許可 | アクセス許可の種類のコード | 基本リソースを含んでいる別のセキュリティ保護可能なリソース | セキュリティ保護可能なコンテナーに対するアクセス許可 (基本リソースに対する粒度の細かいアクセス許可を暗示) |
|---|---|---|---|---|
| アプリケーション ロール | ALTER | AL | DATABASE | 任意のアプリケーション ロールを変更する |
| アプリケーション ロール | CONTROL | CL | DATABASE | CONTROL |
| アプリケーション ロール | ビューの定義 | VW | DATABASE | ビューの定義 |
| ASSEMBLY | ALTER | AL | DATABASE | 任意のアセンブリを変更 |
| ASSEMBLY | CONTROL | CL | DATABASE | CONTROL |
| ASSEMBLY | REFERENCES | RF | DATABASE | REFERENCES |
| ASSEMBLY | 所有権 | TO | DATABASE | CONTROL |
| ASSEMBLY | ビューの定義 | VW | DATABASE | ビューの定義 |
| 非対称キー | ALTER | AL | DATABASE | 非対称キーを変更する |
| 非対称キー | CONTROL | CL | DATABASE | CONTROL |
| 非対称キー | REFERENCES | RF | DATABASE | REFERENCES |
| 非対称キー | 所有権 | TO | DATABASE | CONTROL |
| 非対称キー | ビューの定義 | VW | DATABASE | ビューの定義 |
| 可用性グループ (Availability Group) | ALTER | AL | SERVER | すべての可用性グループを変更 |
| 可用性グループ (Availability Group) | CONTROL | CL | SERVER | 制御サーバー |
| 可用性グループ (Availability Group) | 所有権 | TO | SERVER | 制御サーバー |
| 可用性グループ (Availability Group) | ビューの定義 | VW | SERVER | 任意の定義を表示 |
| CERTIFICATE | ALTER | AL | DATABASE | 任意の証明書を変更する |
| CERTIFICATE | CONTROL | CL | DATABASE | CONTROL |
| CERTIFICATE | REFERENCES | RF | DATABASE | REFERENCES |
| CERTIFICATE | 所有権 | TO | DATABASE | CONTROL |
| CERTIFICATE | ビューの定義 | VW | DATABASE | ビューの定義 |
| CONTRACT | ALTER | AL | DATABASE | 任意の契約を変更する |
| CONTRACT | CONTROL | CL | DATABASE | CONTROL |
| CONTRACT | REFERENCES | RF | DATABASE | REFERENCES |
| CONTRACT | 所有権 | TO | DATABASE | CONTROL |
| CONTRACT | ビューの定義 | VW | DATABASE | ビューの定義 |
| CREDENTIAL | CONTROL | CL | SERVER | 制御サーバー |
| CREDENTIAL | REFERENCES | RF | SERVER | 任意の資格情報を変更する |
| DATABASE | データベースの一括処理の管理 | DABO | SERVER | 制御サーバー |
| DATABASE | ALTER | AL | SERVER | 任意のデータベースを変更する |
| DATABASE | 任意のアプリケーション ロールを変更する | ALAR | SERVER | 制御サーバー |
| DATABASE | 任意のアセンブリを変更 | ALAS | SERVER | 制御サーバー |
| DATABASE | 非対称キーを変更する | ALAK | SERVER | 制御サーバー |
| DATABASE | 任意の証明書を変更する | ALCF | SERVER | 制御サーバー |
| DATABASE | 任意の列暗号化キーを変更する | ALCK SQL Server (SQL Server 2016 (13.x) から現在のバージョンまで)、Azure SQL Database に適用されます。 |
SERVER | 制御サーバー |
| DATABASE | 任意のカラムマスターキーを変更する | ALCM SQL Server (SQL Server 2016 (13.x) から現在のバージョンまで)、Azure SQL Database に適用されます。 |
SERVER | 制御サーバー |
| DATABASE | 任意の契約を変更する | ALSC | SERVER | 制御サーバー |
| DATABASE | 任意のデータベース監査の変更 | ALDA | SERVER | サーバー監査の変更許可 |
| DATABASE | ALTER ANY DATABASE DDL トリガー | ALTG | SERVER | 制御サーバー |
| DATABASE | 任意のデータベースイベント通知を変更する | ALED | SERVER | 任意のイベント通知を変更する |
| DATABASE | ALTER ANY DATABASE イベント セッション | AADS | SERVER | 任意のイベントセッションを変更する |
| DATABASE | 任意のデータベース イベント セッションをALTERし、イベントを追加する | LDAE | SERVER | ALTER ANY EVENT SESSION ADD EVENT |
| DATABASE | 任意のデータベースイベントセッションを変更してターゲットを追加します | LDAT | SERVER | ALTER ANY EVENT SESSION ADD TARGET |
| DATABASE | あらゆるデータベースのイベントセッションを無効にする | DDES | SERVER | いずれかのイベント セッションを無効にする権限を変更する |
| DATABASE | 任意のデータベースイベントセッションを変更してイベントを削除する | LDDE | SERVER | ALTER ANY EVENT SESSION DROP EVENT (Note: In this context, maintaining the original text is purposeful due to its technical nature and common usage across international standards.) |
| DATABASE | すべてのデータベースイベントセッションのターゲット削除を変更 | LDDT | SERVER | 任意のイベントセッションを変更してターゲットをドロップする |
| DATABASE | ALTER ANY DATABASE EVENT SESSION ENABLE(任意のデータベースイベントセッションを有効化する) | EDES | SERVER | ALTER ANY EVENT SESSION ENABLE (すべてのイベント セッションを有効化) |
| DATABASE | 任意のデータベースイベントセッションオプションを変更 | LDSO | SERVER | 任意のイベントセッションオプションを変更する |
| DATABASE | いずれのデータベース スコープ設定も変更する | ALDC SQL Server (SQL Server 2016 (13.x) から現在のバージョンまで)、Azure SQL Database に適用されます。 |
SERVER | 制御サーバー |
| DATABASE | 任意のデータスペースを変更する | ALDS | SERVER | 制御サーバー |
| DATABASE | すべての外部データ ソースを変更します。 | AEDS | SERVER | 制御サーバー |
| DATABASE | 任意の外部のファイル形式を変更します。 | AEFF | SERVER | 制御サーバー |
| DATABASE | ALTER ANY EXTERNAL JOB(任意の外部ジョブを変更) | AESJ | SERVER | 制御サーバー |
| DATABASE | 任意の外部言語を変更する | ALLA | SERVER | 制御サーバー |
| DATABASE | 任意の外部ライブラリを変更する | ALEL | SERVER | 制御サーバー |
| DATABASE | 任意の外部ストリームを変更する | AEST | SERVER | 制御サーバー |
| DATABASE | 任意のフルテキストカタログを変更 | ALFT | SERVER | 制御サーバー |
| DATABASE | 任意のマスクを変更します。 | AAMK SQL Server (SQL Server 2016 (13.x) から現在のバージョンまで)、Azure SQL Database に適用されます。 |
SERVER | 制御サーバー |
| DATABASE | 任意のメッセージ型を変更する | ALMT | SERVER | 制御サーバー |
| DATABASE | 任意のリモートサービスバインディングを変更する | ALSB | SERVER | 制御サーバー |
| DATABASE | あらゆるロールを変更する | ALRL | SERVER | 制御サーバー |
| DATABASE | 任意のルートを変更 | ALRT | SERVER | 制御サーバー |
| DATABASE | 任意のスキーマを変更する | ALSM | SERVER | 制御サーバー |
| DATABASE | すべてのセキュリティ ポリシーを変更します。 | ALSP SQL Server (SQL Server 2016 (13.x) から現在のバージョンまで)、Azure SQL Database に適用されます。 |
SERVER | 制御サーバー |
| DATABASE | あらゆる感度分類を変更する | AASC SQL Server (SQL Server 2019 (15.x) から現在のバージョンまで)、Azure SQL Database に適用されます。 |
SERVER | 制御サーバー |
| DATABASE | 任意のサービスを変更する | ALSV | SERVER | コントロールサーバー |
| DATABASE | 対称鍵の変更可能 | ALSK | SERVER | コントロールサーバー |
| DATABASE | 任意のユーザーを変更する | ALUS | SERVER | 制御サーバー |
| DATABASE | ALTER LEDGER | ALR | SERVER | CONTROL |
| DATABASE | ALTER LEDGER の構成 | ALC | SERVER | 制御サーバー |
| DATABASE | AUTHENTICATE | AUTH | SERVER | サーバーの認証 |
| DATABASE | データベースをバックアップ | BADB | SERVER | 管理サーバー |
| DATABASE | バックアップ ログ | BALO | SERVER | コントロールサーバー |
| DATABASE | CHECKPOINT | CP | SERVER | コントロールサーバー |
| DATABASE | CONNECT | CO | SERVER | コントロールサーバー |
| DATABASE | コネクト・レプリケーション | CORP | SERVER | コントロールサーバー |
| DATABASE | CONTROL | CL | SERVER | コントロールサーバー |
| DATABASE | 集計関数を作成する | CRAG | SERVER | コントロールサーバー |
| DATABASE | 任意のデータベース イベント セッションを作成する | CRDS | SERVER | 任意のイベント セッションを作成する |
| DATABASE | アセンブリを作成 | CRAS | SERVER | コントロールサーバー |
| DATABASE | 非対称キーを作成する | CRAK | SERVER | コントロールサーバー |
| DATABASE | 証明書の作成 | CRCF | SERVER | 制御サーバー |
| DATABASE | 契約を作成 | CRSC | SERVER | 制御サーバー |
| DATABASE | データベースを作成 | CRDB | SERVER | 任意のデータベースを作成する |
| DATABASE | データベースDDLイベント通知の作成 | CRED | SERVER | CREATE DDL イベント通知 |
| DATABASE | デフォルトを作成する | CRDF | SERVER | コントロールサーバー |
| DATABASE | 外部言語を作成する | CRLA | SERVER | コントロールサーバー |
| DATABASE | 外部ライブラリを作成する | CREL | SERVER | コントロールサーバー |
| DATABASE | フルテキスト カタログの作成 | CRFT | SERVER | 制御サーバー |
| DATABASE | CREATE 関数 | CRFN | SERVER | コントロールサーバー |
| DATABASE | メッセージの種類を作成する | CRMT | SERVER | 制御サーバー |
| DATABASE | プロシージャを作成 | CRPR | SERVER | 制御サーバー |
| DATABASE | キューを作成 | CRQU | SERVER | 制御サーバー |
| DATABASE | リモート サービス バインディングを作成する | CRSB | SERVER | コントロールサーバー |
| DATABASE | 役割を作成 | CRRL | SERVER | コントロールサーバー |
| DATABASE | ルートを作成 | CRRT | SERVER | コントロールサーバー |
| DATABASE | ルールを作成 | CRRU | SERVER | 制御サーバー |
| DATABASE | スキーマを作成 (CREATE SCHEMA) | CRSM | SERVER | コントロールサーバー |
| DATABASE | サービスを作成 | CRSV | SERVER | コントロールサーバー |
| DATABASE | 対称キーの作成 | CRSK | SERVER | コントロールサーバー |
| DATABASE | シノニムの作成 | CRSN | SERVER | 制御サーバー |
| DATABASE | CREATE TABLE | CRTB | SERVER | 制御サーバー |
| DATABASE | タイプの作成 | CRTY | SERVER | コントロールサーバー |
| DATABASE | ユーザーを作成する | CUSR | SERVER | コントロールサーバー |
| DATABASE | ビューを作成 | CRVW | SERVER | 制御サーバー |
| DATABASE | XML スキーマ コレクションの作成 | CRXS | SERVER | コントロールサーバー |
| DATABASE | DELETE | DL | SERVER | コントロールサーバー |
| DATABASE | データベース イベント セッションを削除する | DRDS | SERVER | 任意のイベント セッションを削除する |
| DATABASE | 台帳を有効にする | EL | SERVER | CONTROL |
| DATABASE | EXECUTE | EX | SERVER | コントロールサーバー |
| DATABASE | どの外部エンドポイントでも実行する | EAEE | SERVER | 制御サーバー |
| DATABASE | 外部スクリプトを実行する | EAES SQL Server (SQL Server 2016 (13.x) から現在のバージョンまで) に適用されます。 |
SERVER | 制御サーバー |
| DATABASE | INSERT | IN | SERVER | コントロールサーバー |
| DATABASE | データベース接続の終了 | KIDC Azure SQL Database にのみ適用されます。 SQL Server では ALTER ANY CONNECTION を使用します。 |
SERVER | 任意の接続を変更する |
| DATABASE | REFERENCES | RF | SERVER | コントロールサーバー |
| DATABASE | SELECT | SL | SERVER | 制御サーバー |
| DATABASE | SHOWPLAN | SPLN | SERVER | ALTER TRACE |
| DATABASE | クエリ通知をサブスクライブする | SUQN | SERVER | コントロールサーバー |
| DATABASE | 所有権 | TO | SERVER | 制御サーバー |
| DATABASE | UNMASK | UMSK SQL Server (SQL Server 2016 (13.x) から現在のバージョンまで)、Azure SQL Database に適用されます。 |
SERVER | 制御サーバー |
| DATABASE | UPDATE | UP | SERVER | 制御サーバー |
| DATABASE | 列の暗号化キーの定義を表示します。 | VWCK SQL Server (SQL Server 2016 (13.x) から現在のバージョンまで)、Azure SQL Database に適用されます。 |
SERVER | サーバー状態を表示 |
| DATABASE | 任意の列のマスター_キーの定義の表示 | VWCM SQL Server (SQL Server 2016 (13.x) から現在のバージョンまで)、Azure SQL Database に適用されます。 |
SERVER | サーバー状態を表示 |
| DATABASE | 任意の機密性分類を表示する | VASC | SERVER | コントロールサーバー |
| DATABASE | 暗号化されたセキュリティで保護された定義を表示する | VCD | SERVER | 暗号化で保護された定義を表示する |
| DATABASE | データベースのパフォーマンス状態の表示 | VDP | SERVER | サーバーのパフォーマンス状態の表示 |
| DATABASE | データベース セキュリティ監査の表示 | VDSA | SERVER | 制御サーバー |
| DATABASE | データベースのセキュリティ状態の表示 | VDS | SERVER | サーバーのセキュリティ状態の表示 |
| DATABASE | データベースの状態の表示 | VWDS | SERVER | サーバー状態を表示 |
| DATABASE | ビューの定義 | VW | SERVER | 任意の定義を表示 |
| DATABASE | 台帳のコンテンツを表示する | VLC | SERVER | CONTROL |
| DATABASE | セキュリティ定義の表示 | VWS | SERVER | セキュリティ定義を表示する |
| DATABASE | パフォーマンス定義の表示 | VWP | SERVER | パフォーマンス定義を表示する |
| データベース スコープ付き認証情報 | ALTER | AL | DATABASE | CONTROL |
| データベース スコープ付き認証情報 | CONTROL | CL | DATABASE | CONTROL |
| データベース スコープ付き認証情報 | REFERENCES | RF | DATABASE | REFERENCES |
| データベース スコープ付き認証情報 | 所有権 | TO | DATABASE | CONTROL |
| データベース スコープ付き認証情報 | ビューの定義 | VW | DATABASE | ビューの定義 |
| ENDPOINT | ALTER | AL | SERVER | 任意のエンドポイントを変更する |
| ENDPOINT | CONNECT | CO | SERVER | コントロールサーバー |
| ENDPOINT | CONTROL | CL | SERVER | 制御サーバー |
| ENDPOINT | 所有権 | TO | SERVER | 制御サーバー |
| ENDPOINT | ビューの定義 | VW | SERVER | 任意の定義を表示 |
| FULLTEXT カタログ | ALTER | AL | DATABASE | 任意のフルテキストカタログを変更 |
| FULLTEXT カタログ | CONTROL | CL | DATABASE | CONTROL |
| FULLTEXT カタログ | REFERENCES | RF | DATABASE | REFERENCES |
| FULLTEXT カタログ | 所有権 | TO | DATABASE | CONTROL |
| FULLTEXT カタログ | ビューの定義 | VW | DATABASE | ビューの定義 |
| 全文テキスト・ストップリスト | ALTER | AL | DATABASE | 任意のフルテキストカタログを変更 |
| 全文テキスト・ストップリスト | CONTROL | CL | DATABASE | CONTROL |
| 全文テキスト・ストップリスト | REFERENCES | RF | DATABASE | REFERENCES |
| 全文テキスト・ストップリスト | 所有権 | TO | DATABASE | CONTROL |
| 全文テキスト・ストップリスト | ビューの定義 | VW | DATABASE | ビューの定義 |
| LOGIN | ALTER | AL | SERVER | 任意のログインを変更する |
| LOGIN | CONTROL | CL | SERVER | 制御サーバー |
| LOGIN | IMPERSONATE | IM | SERVER | 制御サーバー |
| LOGIN | ビューの定義 | VW | SERVER | 任意の定義を表示 |
| メッセージの種類 | ALTER | AL | DATABASE | 任意のメッセージ型を変更する |
| メッセージの種類 | CONTROL | CL | DATABASE | CONTROL |
| メッセージの種類 | REFERENCES | RF | DATABASE | REFERENCES |
| メッセージの種類 | 所有権 | TO | DATABASE | CONTROL |
| メッセージの種類 | ビューの定義 | VW | DATABASE | ビューの定義 |
| OBJECT | ALTER | AL | SCHEMA | ALTER |
| OBJECT | CONTROL | CL | SCHEMA | CONTROL |
| OBJECT | DELETE | DL | SCHEMA | DELETE |
| OBJECT | EXECUTE | EX | SCHEMA | EXECUTE |
| OBJECT | INSERT | IN | SCHEMA | INSERT |
| OBJECT | RECEIVE | RC | SCHEMA | CONTROL |
| OBJECT | REFERENCES | RF | SCHEMA | REFERENCES |
| OBJECT | SELECT | SL | SCHEMA | SELECT |
| OBJECT | 所有権 | TO | SCHEMA | CONTROL |
| OBJECT | UNMASK | UMSK | SCHEMA | UNMASK |
| OBJECT | UPDATE | UP | SCHEMA | UPDATE |
| OBJECT | 変更の追跡を表示する | VWCT | SCHEMA | 変更の追跡を表示する |
| OBJECT | ビューの定義 | VW | SCHEMA | ビューの定義 |
| リモート サービス バインド | ALTER | AL | DATABASE | 任意のリモートサービスバインディングを変更する |
| リモート サービス バインド | CONTROL | CL | DATABASE | CONTROL |
| リモート サービス バインド | 所有権 | TO | DATABASE | CONTROL |
| リモート サービス バインド | ビューの定義 | VW | DATABASE | ビューの定義 |
| ROLE | ALTER | AL | DATABASE | あらゆるロールを変更する |
| ROLE | CONTROL | CL | DATABASE | CONTROL |
| ROLE | 所有権 | TO | DATABASE | CONTROL |
| ROLE | ビューの定義 | VW | DATABASE | ビューの定義 |
| ROUTE | ALTER | AL | DATABASE | 任意のルートを変更 |
| ROUTE | CONTROL | CL | DATABASE | CONTROL |
| ROUTE | 所有権 | TO | DATABASE | CONTROL |
| ROUTE | ビューの定義 | VW | DATABASE | ビューの定義 |
| SCHEMA | ALTER | AL | DATABASE | 任意のスキーマを変更する |
| SCHEMA | CONTROL | CL | DATABASE | CONTROL |
| SCHEMA | シーケンスを作成 | CRSO | DATABASE | CONTROL |
| SCHEMA | DELETE | DL | DATABASE | DELETE |
| SCHEMA | EXECUTE | EX | DATABASE | EXECUTE |
| SCHEMA | INSERT | IN | DATABASE | INSERT |
| SCHEMA | REFERENCES | RF | DATABASE | REFERENCES |
| SCHEMA | SELECT | SL | DATABASE | SELECT |
| SCHEMA | 所有権 | TO | DATABASE | CONTROL |
| SCHEMA | UNMASK | UMSK | DATABASE | UNMASK |
| SCHEMA | UPDATE | UP | DATABASE | UPDATE |
| SCHEMA | 変更の追跡を表示する | VWCT | DATABASE | 変更の追跡を表示する |
| SCHEMA | ビューの定義 | VW | DATABASE | ビューの定義 |
| 物件リストを検索 | ALTER | AL | SERVER | 任意のフルテキストカタログを変更 |
| 物件リストを検索 | CONTROL | CL | SERVER | CONTROL |
| 物件リストを検索 | REFERENCES | RF | SERVER | REFERENCES |
| 物件リストを検索 | 所有権 | TO | SERVER | CONTROL |
| 物件リストを検索 | ビューの定義 | VW | SERVER | ビューの定義 |
| SERVER | 一括操作の管理 | ADBO | 適用なし | 適用なし |
| SERVER | すべての可用性グループを変更 | ALAG | 適用なし | 適用なし |
| SERVER | 任意の接続を変更する | ALCO | 適用なし | 適用なし |
| SERVER | 任意の資格情報を変更する | ALCD | 適用なし | 適用なし |
| SERVER | 任意のデータベースを変更する | ALDB | 適用なし | 適用なし |
| SERVER | 任意のエンドポイントを変更する | ALHE | 適用なし | 適用なし |
| SERVER | 任意のイベント通知を変更する | ALES | 適用なし | 適用なし |
| SERVER | 任意のイベントセッションを変更する | AAES | 適用なし | 適用なし |
| SERVER | ALTER ANY EVENT SESSION ADD EVENT | LSAE | 適用なし | 適用なし |
| SERVER | ALTER ANY EVENT SESSION ADD TARGET | LSAT | 適用なし | 適用なし |
| SERVER | ALTER ANY EVENT SESSION を無効にする | DES | 適用なし | 適用なし |
| SERVER | ALTER ANY EVENT SESSION DROP EVENT (Note: In this context, maintaining the original text is purposeful due to its technical nature and common usage across international standards.) | LSDE | 適用なし | 適用なし |
| SERVER | 任意のイベントセッションを変更してターゲットをドロップする | LSDT | 適用なし | 適用なし |
| SERVER | ALTER ANY EVENT SESSION ENABLE (すべてのイベント セッションを有効化) | EES | 適用なし | 適用なし |
| SERVER | 任意のイベントセッションオプションを変更する | LESO | 適用なし | 適用なし |
| SERVER | 任意のリンク サーバーを変更する | ALLS | 適用なし | 適用なし |
| SERVER | 任意のログインを変更する | ALLG | 適用なし | 適用なし |
| SERVER | サーバー監査の変更許可 | ALAA | 適用なし | 適用なし |
| SERVER | 任意のサーバー ロールを変更する | ALSR | 適用なし | 適用なし |
| SERVER | リソースの変更 | ALRS | 適用なし | 適用なし |
| SERVER | サーバーの状態を変更 | ALSS | 適用なし | 適用なし |
| SERVER | 設定を変更 | ALST | 適用なし | 適用なし |
| SERVER | ALTER TRACE | ALTR | 適用なし | 適用なし |
| SERVER | サーバーの認証 | AUTH | 適用なし | 適用なし |
| SERVER | 任意のデータベースを接続する | CADB | 適用なし | 適用なし |
| SERVER | SQLに接続 | COSQ | 適用なし | 適用なし |
| SERVER | コントロールサーバー | CL | 適用なし | 適用なし |
| SERVER | 任意のデータベースを作成する | CRDB | 適用なし | 適用なし |
| SERVER | 可用性グループの作成 | CRAC | 適用なし | 適用なし |
| SERVER | CREATE DDL イベント通知 | CRDE | 適用なし | 適用なし |
| SERVER | CREATE ENDPOINT | CRHE | 適用なし | 適用なし |
| SERVER | CREATE SERVER ROLE(サーバーロールを作成) | CRSR | 適用なし | 適用なし |
| SERVER | トレース イベント通知の作成 | CRTE | 適用なし | 適用なし |
| SERVER | 外部アクセスアセンブリ | XA | 適用なし | 適用なし |
| SERVER | 任意のログインを偽装する | IAL | 適用なし | 適用なし |
| SERVER | すべてのユーザー セキュリティ保護可能なリソースを選択する | SUS | 適用なし | 適用なし |
| SERVER | SHUTDOWN | SHDN | 適用なし | 適用なし |
| SERVER | 危険なアセンブリ | XU | 適用なし | 適用なし |
| SERVER | 任意のデータベースを表示 | VWDB | 適用なし | 適用なし |
| SERVER | 任意の定義を表示 | VWAD | 適用なし | 適用なし |
| SERVER | サーバー状態を表示 | VWSS | 適用なし | 適用なし |
| サーバーロール | ALTER | AL | SERVER | 任意のサーバー ロールを変更する |
| サーバーロール | CONTROL | CL | SERVER | コントロール サーバー |
| サーバーロール | 所有権 | TO | SERVER | コントロールサーバー |
| サーバーロール | ビューの定義 | VW | SERVER | 任意の定義を表示 |
| SERVICE | ALTER | AL | DATABASE | 任意のサービスを変更する |
| SERVICE | CONTROL | CL | DATABASE | CONTROL |
| SERVICE | SEND | SN | DATABASE | CONTROL |
| SERVICE | 所有権 | TO | DATABASE | CONTROL |
| SERVICE | ビューの定義 | VW | DATABASE | ビューの定義 |
| 対称キー | ALTER | AL | DATABASE | 対称鍵の変更可能 |
| 対称キー | CONTROL | CL | DATABASE | CONTROL |
| 対称キー | REFERENCES | RF | DATABASE | REFERENCES |
| 対称キー | 所有権 | TO | DATABASE | CONTROL |
| 対称キー | ビューの定義 | VW | DATABASE | ビューの定義 |
| TYPE | CONTROL | CL | SCHEMA | CONTROL |
| TYPE | EXECUTE | EX | SCHEMA | EXECUTE |
| TYPE | REFERENCES | RF | SCHEMA | REFERENCES |
| TYPE | 所有権 | TO | SCHEMA | CONTROL |
| TYPE | ビューの定義 | VW | SCHEMA | ビューの定義 |
| USER | ALTER | AL | DATABASE | 任意のユーザーを変更する |
| USER | CONTROL | CL | DATABASE | CONTROL |
| USER | IMPERSONATE | IM | DATABASE | CONTROL |
| USER | ビューの定義 | VW | DATABASE | ビューの定義 |
| XML スキーマ コレクション | ALTER | AL | SCHEMA | ALTER |
| XML スキーマ コレクション | CONTROL | CL | SCHEMA | CONTROL |
| XML スキーマ コレクション | EXECUTE | EX | SCHEMA | EXECUTE |
| XML スキーマ コレクション | REFERENCES | RF | SCHEMA | REFERENCES |
| XML スキーマ コレクション | 所有権 | TO | SCHEMA | CONTROL |
| XML スキーマ コレクション | ビューの定義 | VW | SCHEMA | ビューの定義 |
SQL Server 2022 で追加・細分化された新しいアクセス許可
SQL Server 2022 には、次のアクセス許可が追加されています。
システム メタデータへのアクセスを許可する 10 件の新しいアクセス許可が追加されました。
拡張イベントに対する 18 件の新しいアクセス許可が追加されました。
セキュリティ関連オブジェクトに対する 9 件の新しいアクセス許可が追加されました。
レジャーに対する 4 件のアクセス許可が追加されました。
その他、3 件のデータベース レベルのアクセス許可が追加されました。
詳細については、PoLP 準拠を強化するために SQL Server 2022 および Azure SQL で追加・細分化された新しいアクセス許可に関する記事を参照してください。
システム メタデータに対するアクセス許可
サーバー レベル:
- セキュリティ定義を表示する
- パフォーマンス定義を表示する
- サーバーのセキュリティ状態の表示
- サーバーのパフォーマンス状態の表示
- 暗号化で保護された定義を表示する
データベース レベル:
- データベースのセキュリティ状態の表示
- データベースのパフォーマンス状態の表示
- セキュリティ定義の表示
- パフォーマンス定義の表示
- 暗号化されたセキュリティで保護された定義を表示する
拡張イベントに対するアクセス許可
サーバー レベル:
- 任意のイベント セッションを作成する
- 任意のイベント セッションを削除する
- 任意のイベントセッションオプションを変更する
- 任意のイベントセッションを変更し、イベントを追加する
- ALTER ANY EVENT SESSION DROP EVENT (Note: In this context, maintaining the original text is purposeful due to its technical nature and common usage across international standards.)
- ALTER ANY EVENT SESSION ENABLE (すべてのイベント セッションを有効化)
- いずれかのイベント セッションを無効にする権限を変更する
- ALTER ANY EVENT SESSION ADD TARGET
- 任意のイベントセッションを変更してターゲットをドロップする
これらすべてのアクセス許可は、ALTER ANY EVENT SESSION という同じ親アクセス許可の下にあります。
データベース レベル:
- 任意のデータベース イベント セッションを作成する
- データベース イベント セッションを削除する
- 任意のデータベースイベントセッションオプションを変更
- 任意のデータベース イベント セッションをALTERし、イベントを追加する
- 任意のデータベースイベントセッションを変更してイベントを削除する
- ALTER ANY DATABASE EVENT SESSION ENABLE(任意のデータベースイベントセッションを有効化する)
- あらゆるデータベースのイベントセッションを無効にする
- 任意のデータベースイベントセッションを変更してターゲットを追加します
- すべてのデータベースイベントセッションのターゲット削除を変更
これらすべてのアクセス許可は、ALTER ANY DATABASE EVENT SESSION という同じ親アクセス許可の下にあります。
セキュリティ関連オブジェクトに対するアクセス許可
- CONTROL (資格情報)
- ログインの作成
- ユーザーを作成する
- 参照 (資格情報)
- UNMASK (オブジェクト)
- UNMASK (SCHEMA)
- エラー ログを表示する
- サーバー セキュリティ監査の表示
- データベース セキュリティ監査の表示
台帳のアクセス許可
- ALTER LEDGER
- ALTER LEDGER の構成
- 台帳を有効にする
- 台帳のコンテンツを表示する
その他のデータベース レベルのアクセス許可
- ALTER ANY EXTERNAL JOB(任意の外部ジョブを変更)
- 任意の外部ストリームを変更する
- どの外部エンドポイントでも実行する
アクセス許可チェック アルゴリズムの概要
アクセス許可のチェックは複雑な場合があります。 アクセス許可チェック アルゴリズムには、グループ メンバーシップの重複、所有権の継承、明示的および暗黙的なアクセス許可が含まれます。また、セキュリティ保護可能なエンティティを含むセキュリティ保護可能なクラスに対するアクセス許可の影響を受けることもあります。 アルゴリズムの一般的な手順では、関連するアクセス許可がすべて収集されます。 ブロックする DENY が見つからない場合、十分なアクセス権を付与する GRANT が検索されます。 アルゴリズムには、不可欠な要素が 3 つあります。 セキュリティ コンテキスト、 アクセス許可領域、および 必要なアクセス許可です。
Note
sa、dbo、エンティティ所有者、information_schema、sys、または自分自身に対するアクセス許可を付与、拒否、または取り消すことはできません。
セキュリティ コンテキスト
これは、アクセス チェックに対してアクセス許可を与えるプリンシパルのグループです。 EXECUTE AS ステートメントを使用してセキュリティ コンテキストが別のログインまたはユーザーに変更されていない限り、現在のログインまたはユーザーに関連したアクセス許可です。 セキュリティ コンテキストには次のプリンシパルが含まれます。
ログイン
ユーザー
ロールのメンバーシップ
Windows グループのメンバーシップ
モジュール署名が使用されている場合、ユーザーが現在実行しているモジュールの署名に使用された証明書のログインまたはユーザー アカウント、およびそのプリンシパルに関連付けられたロールのメンバーシップ
アクセス許可領域
これは、セキュリティ保護可能なエンティティと、それを含むすべてのセキュリティ保護可能なクラスです。 たとえば、あるテーブル (セキュリティ保護可能なエンティティ) が、セキュリティ保護可能なクラスであるスキーマとデータベースに含まれているとします。 この場合のアクセスは、テーブル、スキーマ、データベース、サーバーの各レベルのアクセス許可による影響を受けます。 詳細については、アクセス許可の階層 (Database Engine) に関する記事を参照してください。
必要なアクセス許可
必要とされるアクセス許可の種類です。 INSERT、UPDATE、DELETE、SELECT、EXECUTE、ALTER、CONTROL などがあります。
次の例のように、アクセスに複数のアクセス許可が必要な場合もあります。
ストアド プロシージャでは、ストアド プロシージャ自体に対する EXECUTE アクセス許可に加えて、ストアド プロシージャによって参照されている複数のテーブルに対する INSERT アクセス許可が必要な場合があります。
動的管理ビューでは、ビューに対する VIEW SERVER STATE と SELECT の両方のアクセス許可が必要な場合があります。
アルゴリズムの一般的な手順
セキュリティ保護可能なリソースに対するアクセスを許可するかどうかを判断するためにアルゴリズムが実際に使用する手順は、関連するプリンシパルとセキュリティ保護可能なリソースによって異なる場合があります。 ただし、アルゴリズムは一般に以下の手順を実行します。
ログインが sysadmin 固定サーバー ロールのメンバーであるか、ユーザーが現在のデータベースの dbo ユーザーである場合は、アクセス許可チェックを行いません。
所有権の継承が適用され、その継承内でオブジェクトに対するアクセス チェックが以前にセキュリティ チェックに合格している場合は、アクセスを許可します。
呼び出し元に関連付けられたサーバーレベル、データベースレベル、署名付きモジュールの各 ID を集計して、 セキュリティ コンテキストを作成します。
その セキュリティ コンテキスト用に、 アクセス許可領域に対して許可または拒否されたアクセス許可をすべて収集します。 アクセス許可は、GRANT、GRANT WITH GRANT、または DENY として明示的に指定される場合と、暗黙アクセス許可または包含アクセス許可の GRANT または DENY である場合があります。 たとえば、スキーマに対する CONTROL を使用した場合、テーブルに対する CONTROL も暗黙的に適用されます。 また、テーブルに対して CONTROL 権限を使用した場合、SELECT 権限も暗黙的に適用されます。 したがって、スキーマに対する CONTROL が付与された場合、テーブルに対する SELECT も付与されます。 テーブルに対する CONTROL 権限が拒否された場合、テーブルに対する SELECT 権限も拒否されます。
Note
列レベルのアクセス許可の GRANT により、オブジェクト レベルの DENY がオーバーライドされます。 詳細については、オブジェクトに対する DENY アクセス許可に関する記事を参照してください。
必要なアクセス許可を識別します。
アクセス許可領域内のオブジェクトについて、必要なアクセス許可が、セキュリティ コンテキストの任意の ID に対し直接または暗黙的に拒否されている場合は、アクセス許可チェックが不合格となります。
アクセス許可領域内のすべてのオブジェクトについて、必要なアクセス許可がセキュリティ コンテキストのいずれの ID に対しても直接または暗黙的に拒否されておらず、必要なアクセス許可に GRANT アクセス許可または GRANT WITH GRANT アクセス許可が含まれている場合は、アクセス許可チェックが合格となります。
列レベルのアクセス許可に関する特別な考慮事項
列レベルのアクセス許可は構文 <table_name>(<column _name>) を使用して付与されます。 例えば次が挙げられます。
GRANT SELECT ON OBJECT::Customer(CustomerName) TO UserJoe;
テーブルの DENY は、列の GRANT によりオーバーライドされます。 ただし、その後にテーブルの DENY があると、列の GRANT は削除されます。
Examples
このセクションでは、アクセス許可に関する情報を取得する例を示します。
A. 付与できるアクセス許可の完全な一覧を返す
次のステートメントは、fn_builtin_permissions 関数を使用してすべての Database Engine のアクセス許可を返します。 詳細については、「sys.fn_builtin_permissions」 を参照してください。
SELECT * FROM fn_builtin_permissions(default);
GO
B. オブジェクトの特定のクラスに対するアクセス許可を返す
次の例では、 fn_builtin_permissions を使用してセキュリティ保護可能なカテゴリに使用できるすべてのアクセス許可を表示します。 この例では、アセンブリに対するアクセス許可を返します。
SELECT * FROM fn_builtin_permissions('assembly');
GO
C. オブジェクトに対する実行中のプリンシパルに付与されたアクセス許可を返す
次の例では、 fn_my_permissions を使用して、指定したセキュリティ保護可能なリソースについて、呼び出し元のプリンシパルが保持している有効なアクセス許可の一覧を返します。 この例では、Orders55 という名前のオブジェクトに対するアクセス許可を返します。 詳細については、「sys.fn_my_permissions」 を参照してください。
SELECT * FROM fn_my_permissions('Orders55', 'object');
GO
D. 指定したオブジェクトに適用できるアクセス許可を返す
次の例は、 Yttriumと呼ばれるオブジェクトに適用できるアクセス許可を返します。 オブジェクト OBJECT_ID の ID を取得するために、組み込み関数 Yttrium が使用されています。
SELECT * FROM sys.database_permissions
WHERE major_id = OBJECT_ID('Yttrium');
GO