権限 (データベース エンジン)
適用対象:
SQL ServerAzure SQL DatabaseAzure SQL Managed InstanceAzure Synapse AnalyticsAnalytics Platform System (PDW)
SQL Server のセキュリティ保護可能なリソースにはすべて、プリンシパルに許可できる権限が関連付けられています。 データベース エンジン の権限は、ログインおよびサーバー ロールに割り当てられたサーバー レベル、およびデータベース ユーザーおよびデータベース ロールに割り当てられたデータベース レベルで管理されます。 Azure SQL Database のモデルには、データベースのアクセス許可に対して同じシステムがありますが、サーバー レベルのアクセス許可は使用できません。 この記事には、アクセス許可の完全な一覧が含まれています。 アクセス許可の一般的な実装については、「 Getting Started with Database Engine Permissions」を参照してください。
SQL Server 2022 (16.x) のアクセス許可の合計数は 292 です。 Azure SQL Database では、292 個のアクセス許可が公開されます。 ほとんどのアクセス許可はすべてのプラットフォームに適用されますが、適用されないものもあります。 たとえば、ほとんどのサーバー レベルのアクセス許可は Azure SQL Database では付与できません。また、いくつかのアクセス許可は、Azure SQL Database でのみ有効です。 新しいリリースでは、新しいアクセス許可が段階的に導入されています。 SQL Server 2019 (15.x) では、248 のアクセス許可が公開されます。SQL Server 2017 (14.x) では、238 個のアクセス許可が公開されました。 SQL Server 2016 (13.x) は 230 の権限を公開します。 SQL Server 2014 (12.x) は 219 の権限を公開します。 SQL Server 2012 (11.x) は 214 の権限を公開します。 SQL Server 2008 R2 (10.50.x) は 195 のアクセス許可を公開しました。 sys.fn_builtin_permissions記事では、最近のバージョンで新しいアクセス許可を指定します。
権限を理解したら、 GRANT、 REVOKE、および DENY ステートメントを使用してサーバー レベルの権限をログインまたはサーバー ロールとデータベース レベルの権限ユーザーまたはデータベース ロールに付与します。 たとえば次のようになります。
GRANT SELECT ON SCHEMA::HumanResources TO role_HumanResourcesDept;
REVOKE SELECT ON SCHEMA::HumanResources TO role_HumanResourcesDept;
権限システムの計画のヒントについては、「 データベース エンジンの権限の概要」を参照してください。
権限の名前付け規則
ここでは、権限に名前を付ける際に従う一般的な規則について説明します。
CONTROL
権限を与えられたユーザーに所有権のような権限を与えます。 権限を与えられたユーザーは、事実上、セキュリティ保護可能なリソースに対する定義済みのすべての権限を持っています。 CONTROL を許可されたプリンシパルには、セキュリティ保護可能なリソースに対する権限も許可できます。 SQL Server セキュリティ モデルは階層構造であるため、特定のスコープの CONTROL には、そのスコープ下のセキュリティ保護可能なすべてのリソースに対する CONTROL が暗黙的に含まれます。 たとえば、データベースに対する CONTROL は、データベースに対するすべての権限、データベース内のすべてのアセンブリに対するすべての権限、データベース内のすべてのスキーマに対するすべての権限、およびデータベース内のすべてのスキーマに含まれているオブジェクトに対するすべての権限を意味します。
ALTER
セキュリティ保護可能な特定のリソースのプロパティを変更できるようにします。ただし、所有権は変更できません。 スコープに対して許可された場合、ALTER では、そのスコープに含まれているセキュリティ保護可能なすべてのリソースの変更、作成、または削除も行えるようになります。 たとえば、スキーマに対する ALTER 権限には、スキーマのオブジェクトを作成、変更、および削除する権限が含まれています。
ALTER ANY <Server Securable>。 サーバー のセキュリティ保護可能な 任意のサーバー のセキュリティ保護が可能です。
Server Securableの個々のインスタンスを作成、変更、削除できるようにします。 たとえば、ALTER ANY LOGIN では、インスタンス内の任意のログインを作成、変更、または削除できます。
ALTER ANY <Database Securable>。 データベース セキュリティ保護可能な リソースは、データベース レベルで任意のセキュリティ保護可能にすることができます。
Database Securableの個々のインスタンスを CREATE、ALTER、DROP できるようにします。 たとえば、ALTER ANY SCHEMA では、データベース内の任意のスキーマを作成、変更、または削除できます。
TAKE OWNERSHIP
権限を与えられたユーザーが、許可されたセキュリティ保護可能なリソースの所有権を使用できるようにします。
IMPERSONATE <ログイン>
権限を与えられたユーザーが、Login の権限を借用できるようにします。
IMPERSONATE <ユーザー>
権限を与えられたユーザーが、User の権限を借用できるようにします。
CREATE <Server Securable>
権限を与えられたユーザーが Server Securableを作成できるようにします。
CREATE <Database Securable>
権限を与えられたユーザーが Database Securableを作成できるようにします。
CREATE <スキーマに含まれるセキュリティ保護可能なリソース>
スキーマに含まれているセキュリティ保護可能なリソースを作成できるようにします。 ただし、特定のスキーマ内でセキュリティ保護可能なリソースを作成するには、そのスキーマに対する ALTER 権限が必要です。
VIEW DEFINITION
権限を与えられたユーザーがメタデータにアクセスできるようにします。
REFERENCES
テーブルを参照する FOREIGN KEY 制約を作成するには、そのテーブルに対する REFERENCES 権限が必要です。
オブジェクトを参照する
WITH SCHEMABINDING句を含む関数またはビューを作成するには、そのオブジェクトに対する REFERENCES 権限が必要です。
SQL Serverアクセス許可のグラフ
次の図は、アクセス許可と相互の関係を示しています。 一部の高いレベルの許可 ( CONTROL SERVERなど) は複数回列挙されています。 この記事のポスターは、読み取るには小さすぎます。 フルサイズの データベース エンジン権限ポスター は PDF 形式でダウンロードできます。
特定のセキュリティ保護可能なリソースに適用されるアクセス許可
次の表に、主な権限のクラスおよび各権限を適用できるセキュリティ保護可能なリソースの種類を示します。
| 権限 | 適用対象 |
|---|---|
| ALTER | オブジェクトのすべてのクラス (TYPE を除く)。 |
| CONTROL | オブジェクトのすべてのクラス: AGGREGATE、 APPLICATION ROLE、 ASSEMBLY、 ASYMMETRIC KEY、 AVAILABILITY GROUP、 CERTIFICATE、 CONTRACT、 資格 情報 DATABASE、 DATABASE SCOPED CREDENTIAL、 DEFAULT、 ENDPOINT、 FULLTEXT CATALOG、 FULLTEXT STOPLIST、 FUNCTION、 LOGIN、 MESSAGE TYPE、 PROCEDURE、 QUEUE、 REMOTE SERVICE BINDING、 ROLE、 ROUTE、 RULE、 SCHEMA、 SEARCH PROPERTY LIST、 SERVER、 SERVER ROLE、 SERVICE、 SYMMETRIC KEY、 SYNONYM、 TABLE、 TYPE、 USER, VIEW、および XML SCHEMA COLLECTION |
| DELETE | オブジェクトのすべてのクラス (DATABASE SCOPED CONFIGURATION、SERVER、および TYPE を除く)。 |
| EXECUTE | CLR 型、外部スクリプト、プロシージャ (Transact-SQL と CLR)、スカラー関数と集計関数 (Transact-SQL および CLR)、シノニム |
| IMPERSONATE | ログインとユーザー |
| INSERT | シノニム、テーブルと列、ビューと列。 データベース、スキーマ、またはオブジェクト レベルで権限を付与できます。 |
| RECEIVE | Service Broker キュー |
| REFERENCES | AGGREGATE、 ASSEMBLY、 ASYMMETRIC KEY、 CERTIFICATE、 CONTRACT、 CREDENTIAL (SQL Server 2022 (16.x) 以降に適用) DATABASE、 DATABASE SCOPED CREDENTIAL、 FULLTEXT CATALOG、 FULLTEXT STOPLIST、 FUNCTION、 MESSAGE TYPE、 PROCEDURE、 QUEUE、 RULE、 SCHEMA、 SEARCH PROPERTY LIST、 SEQUENCE OBJECT、 SYMMETRIC KEY、 TABLE、 TYPE、 VIEW、および XML SCHEMA COLLECTION |
| SELECT | シノニム、テーブルと列、ビューと列。 データベース、スキーマ、またはオブジェクト レベルで権限を付与できます。 |
| TAKE OWNERSHIP | オブジェクトのすべてのクラス (DATABASE SCOPED CONFIGURATION、LOGIN、SERVER、および USER を除く)。 |
| UPDATE | シノニム、テーブルと列、ビューと列。 データベース、スキーマ、またはオブジェクト レベルで権限を付与できます。 |
| VIEW CHANGE TRACKING | スキーマとテーブル |
| VIEW DEFINITION | オブジェクトのすべてのクラス (DATABASE SCOPED CONFIGURATION および SERVER を除く)。 |
注意事項
セットアップ時にシステム オブジェクトに付与された既定のアクセス許可は、発生する可能性のある脅威に対して慎重に評価されているため、 SQL Server のインストールの際、セキュリティ強化の一部として変更する必要はありません。 システム オブジェクトのアクセス許可の変更はどのようなものであっても、機能を制限または中断する可能性があり、 SQL Server のインストールがサポートされていない状態のままになる場合があります。
SQL Server 権限
次の表に、 SQL Server のすべての権限の一覧を示します。 Azure SQL データベース のアクセス許可は、サポートされている基本のセキュリティ保護可能なリソースにのみ使用できます。 Azure SQL Database ではサーバー レベルのアクセス許可を付与できませんが、代わりにデータベース権限を使用できる場合があります。
| セキュリティ保護可能な基本リソース | セキュリティ保護可能な基本リソースに対する粒度の細かい権限 | 権限の種類のコード | 基本リソースを含んでいる別のセキュリティ保護可能なリソース | セキュリティ保護可能なコンテナーに対する権限 (基本リソースに対する粒度の細かい権限を暗示) |
|---|---|---|---|---|
| APPLICATION ROLE | ALTER | AL | DATABASE | ALTER ANY APPLICATION ROLE |
| APPLICATION ROLE | CONTROL | CL | DATABASE | CONTROL |
| APPLICATION ROLE | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| ASSEMBLY | ALTER | AL | DATABASE | ALTER ANY ASSEMBLY |
| ASSEMBLY | CONTROL | CL | DATABASE | CONTROL |
| ASSEMBLY | REFERENCES | RF | DATABASE | REFERENCES |
| ASSEMBLY | TAKE OWNERSHIP | TO | DATABASE | CONTROL |
| ASSEMBLY | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| ASYMMETRIC KEY | ALTER | AL | DATABASE | ALTER ANY ASYMMETRIC KEY |
| ASYMMETRIC KEY | CONTROL | CL | DATABASE | CONTROL |
| ASYMMETRIC KEY | REFERENCES | RF | DATABASE | REFERENCES |
| ASYMMETRIC KEY | TAKE OWNERSHIP | TO | DATABASE | CONTROL |
| ASYMMETRIC KEY | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| AVAILABILITY GROUP | ALTER | AL | SERVER | ALTER ANY AVAILABILITY GROUP |
| AVAILABILITY GROUP | CONTROL | CL | SERVER | CONTROL SERVER |
| AVAILABILITY GROUP | TAKE OWNERSHIP | TO | SERVER | CONTROL SERVER |
| AVAILABILITY GROUP | VIEW DEFINITION | VW | SERVER | VIEW ANY DEFINITION |
| CERTIFICATE | ALTER | AL | DATABASE | ALTER ANY CERTIFICATE |
| CERTIFICATE | CONTROL | CL | DATABASE | CONTROL |
| CERTIFICATE | REFERENCES | RF | DATABASE | REFERENCES |
| CERTIFICATE | TAKE OWNERSHIP | TO | DATABASE | CONTROL |
| CERTIFICATE | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| CONTRACT | ALTER | AL | DATABASE | ALTER ANY CONTRACT |
| CONTRACT | CONTROL | CL | DATABASE | CONTROL |
| CONTRACT | REFERENCES | RF | DATABASE | REFERENCES |
| CONTRACT | TAKE OWNERSHIP | TO | DATABASE | CONTROL |
| CONTRACT | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| CREDENTIAL | CONTROL | CL | SERVER | CONTROL SERVER |
| CREDENTIAL | REFERENCES | RF | SERVER | ALTER ANY CREDENTIAL |
| DATABASE | ADMINISTER DATABASE BULK OPERATIONS | DABO | SERVER | CONTROL SERVER |
| DATABASE | ALTER | AL | SERVER | ALTER ANY DATABASE |
| DATABASE | ALTER ANY APPLICATION ROLE | ALAR | SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY ASSEMBLY | ALAS | SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY ASYMMETRIC KEY | ALAK | SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY CERTIFICATE | ALCF | SERVER | CONTROL SERVER |
| DATABASE | 任意の列の暗号化キーを変更します。 | ALCK 適用対象 SQL Server (SQL Server 2016 (13.x) から現在のバージョンまで)、 Azure SQL データベース。 |
SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY COLUMN MASTER KEY | ALCM 適用対象 SQL Server (SQL Server 2016 (13.x) から現在のバージョンまで)、 Azure SQL データベース。 |
SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY CONTRACT | ALSC | SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY DATABASE AUDIT | ALDA | SERVER | ALTER ANY SERVER AUDIT |
| DATABASE | ALTER ANY DATABASE DDL TRIGGER | ALTG | SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY DATABASE EVENT NOTIFICATION | ALED | SERVER | ALTER ANY EVENT NOTIFICATION |
| DATABASE | ALTER ANY DATABASE EVENT SESSION | AADS | SERVER | ALTER ANY EVENT SESSION |
| DATABASE | ALTER ANY DATABASE EVENT SESSION ADD EVENT | LDAE | SERVER | ALTER ANY EVENT SESSION ADD EVENT |
| DATABASE | ALTER ANY DATABASE EVENT SESSION ADD TARGET | LDAT | SERVER | ALTER ANY EVENT SESSION ADD TARGET |
| DATABASE | ALTER ANY DATABASE EVENT SESSION DISABLE | Dde | SERVER | ALTER ANY EVENT SESSION DISABLE |
| DATABASE | ALTER ANY DATABASE EVENT SESSION DROP EVENT | LDDE | SERVER | ALTER ANY EVENT SESSION DROP EVENT |
| DATABASE | ALTER ANY DATABASE EVENT SESSION DROP TARGET | Lddt | SERVER | ALTER ANY EVENT SESSION DROP TARGET |
| DATABASE | ALTER ANY DATABASE EVENT SESSION ENABLE | EDES | SERVER | ALTER ANY EVENT SESSION ENABLE |
| DATABASE | ALTER ANY DATABASE EVENT SESSION オプション | LDSO | SERVER | ALTER ANY EVENT SESSION OPTION |
| DATABASE | ALTER ANY DATABASE SCOPED CONFIGURATION | ALDC 適用対象 SQL Server (SQL Server 2016 (13.x) から現在のバージョンまで)、 Azure SQL データベース。 |
SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY DATASPACE | ALDS | SERVER | CONTROL SERVER |
| DATABASE | すべての外部データ ソースを変更します。 | AEDS | SERVER | CONTROL SERVER |
| DATABASE | 任意の外部のファイル形式を変更します。 | AEFF | SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY EXTERNAL JOB | AESJ | SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY EXTERNAL LANGUAGE | アッラ | SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY EXTERNAL LIBRARY | ALEL | SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY EXTERNAL STREAM | AEST | SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY FULLTEXT CATALOG | ALFT | SERVER | CONTROL SERVER |
| DATABASE | 任意のマスクを変更します。 | AAMK 適用対象 SQL Server (SQL Server 2016 (13.x) から現在のバージョンまで)、 Azure SQL データベース。 |
SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY MESSAGE TYPE | ALMT | SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY REMOTE SERVICE BINDING | ALSB | SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY ROLE | ALRL | SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY ROUTE | ALRT | SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY SCHEMA | ALSM | SERVER | CONTROL SERVER |
| DATABASE | すべてのセキュリティ ポリシーを変更します。 | ALSP 適用対象 SQL Server (SQL Server 2016 (13.x) から現在のバージョンまで)、 Azure SQL データベース。 |
SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY SENSITIVITY CLASSIFICATION | AASC 適用対象 SQL Server (SQL Server 2019 (15.x) から現在のバージョンまで)、Azure SQL データベース。 |
SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY SERVICE | ALSV | SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY SYMMETRIC KEY | ALSK | SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY USER | ALUS | SERVER | CONTROL SERVER |
| DATABASE | ALTER LEDGER | ALR | SERVER | CONTROL |
| DATABASE | ALTER LEDGER の構成 | Alc | SERVER | CONTROL SERVER |
| DATABASE | AUTHENTICATE | AUTH | SERVER | AUTHENTICATE SERVER |
| DATABASE | BACKUP DATABASE | BADB | SERVER | CONTROL SERVER |
| DATABASE | BACKUP LOG | BALO | SERVER | CONTROL SERVER |
| DATABASE | CHECKPOINT | CP | SERVER | CONTROL SERVER |
| DATABASE | CONNECT | CO | SERVER | CONTROL SERVER |
| DATABASE | CONNECT REPLICATION | CORP | SERVER | CONTROL SERVER |
| DATABASE | CONTROL | CL | SERVER | CONTROL SERVER |
| DATABASE | CREATE AGGREGATE | CRAG | SERVER | CONTROL SERVER |
| DATABASE | 任意のデータベース イベント セッションを作成する | CRDS | SERVER | 任意のイベント セッションを作成する |
| DATABASE | CREATE ASSEMBLY | CRAS | SERVER | CONTROL SERVER |
| DATABASE | CREATE ASYMMETRIC KEY | CRAK | SERVER | CONTROL SERVER |
| DATABASE | CREATE CERTIFICATE | CRCF | SERVER | CONTROL SERVER |
| DATABASE | CREATE CONTRACT | CRSC | SERVER | CONTROL SERVER |
| DATABASE | CREATE DATABASE | CRDB | SERVER | CREATE ANY DATABASE |
| DATABASE | CREATE DATABASE DDL EVENT NOTIFICATION | CRED | SERVER | CREATE DDL EVENT NOTIFICATION |
| DATABASE | CREATE DEFAULT | CRDF | SERVER | CONTROL SERVER |
| DATABASE | 外部言語を作成する | CRLA | SERVER | CONTROL SERVER |
| DATABASE | CREATE EXTERNAL LIBRARY | CREL | SERVER | CONTROL SERVER |
| DATABASE | CREATE FULLTEXT CATALOG | CRFT | SERVER | CONTROL SERVER |
| DATABASE | CREATE FUNCTION | CRFN | SERVER | CONTROL SERVER |
| DATABASE | CREATE MESSAGE TYPE | CRMT | SERVER | CONTROL SERVER |
| DATABASE | CREATE PROCEDURE | CRPR | SERVER | CONTROL SERVER |
| DATABASE | CREATE QUEUE | CRQU | SERVER | CONTROL SERVER |
| DATABASE | CREATE REMOTE SERVICE BINDING | CRSB | SERVER | CONTROL SERVER |
| DATABASE | CREATE ROLE | CRRL | SERVER | CONTROL SERVER |
| DATABASE | CREATE ROUTE | CRRT | SERVER | CONTROL SERVER |
| DATABASE | CREATE RULE | CRRU | SERVER | CONTROL SERVER |
| DATABASE | CREATE SCHEMA | CRSM | SERVER | CONTROL SERVER |
| DATABASE | CREATE SERVICE | CRSV | SERVER | CONTROL SERVER |
| DATABASE | CREATE SYMMETRIC KEY | CRSK | SERVER | CONTROL SERVER |
| DATABASE | CREATE SYNONYM | CRSN | SERVER | CONTROL SERVER |
| DATABASE | CREATE TABLE | CRTB | SERVER | CONTROL SERVER |
| DATABASE | CREATE TYPE | CRTY | SERVER | CONTROL SERVER |
| DATABASE | CREATE USER | CUSR | SERVER | CONTROL SERVER |
| DATABASE | CREATE VIEW | CRVW | SERVER | CONTROL SERVER |
| DATABASE | CREATE XML SCHEMA COLLECTION | CRXS | SERVER | CONTROL SERVER |
| DATABASE | DELETE | DL | SERVER | CONTROL SERVER |
| DATABASE | データベース イベント セッションを削除する | DRDS | SERVER | 任意のイベント セッションを削除する |
| DATABASE | ENABLE LEDGER | EL | SERVER | CONTROL |
| DATABASE | EXECUTE | EX | SERVER | CONTROL SERVER |
| DATABASE | EXECUTE ANY EXTERNAL ENDPOINT | EAEE | SERVER | CONTROL SERVER |
| DATABASE | EXECUTE ANY EXTERNAL SCRIPT | EAES 適用対象 SQL Server (SQL Server 2016 (13.x) から現在のバージョンまで)。 |
SERVER | CONTROL SERVER |
| DATABASE | INSERT | IN | SERVER | CONTROL SERVER |
| DATABASE | KILL DATABASE CONNECTION | KIDC Azure SQL データベースだけに適用されます。 SQL Serverで ALTER ANY CONNECTION を使用する。 |
SERVER | ALTER ANY CONNECTION |
| DATABASE | REFERENCES | RF | SERVER | CONTROL SERVER |
| DATABASE | SELECT | SL | SERVER | CONTROL SERVER |
| DATABASE | SHOWPLAN | SPLN | SERVER | ALTER TRACE |
| DATABASE | SUBSCRIBE QUERY NOTIFICATIONS | SUQN | SERVER | CONTROL SERVER |
| DATABASE | TAKE OWNERSHIP | TO | SERVER | CONTROL SERVER |
| DATABASE | マスク解除します。 | UMSK 適用対象 SQL Server (SQL Server 2016 (13.x) から現在のバージョンまで)、 Azure SQL データベース。 |
SERVER | CONTROL SERVER |
| DATABASE | UPDATE | UP | SERVER | CONTROL SERVER |
| DATABASE | 列の暗号化キーの定義を表示します。 | VWCK 適用対象 SQL Server (SQL Server 2016 (13.x) から現在のバージョンまで)、 Azure SQL データベース。 |
SERVER | VIEW SERVER STATE |
| DATABASE | 任意の列のマスター_キーの定義の表示 | VWCM 適用対象 SQL Server (SQL Server 2016 (13.x) から現在のバージョンまで)、 Azure SQL データベース。 |
SERVER | VIEW SERVER STATE |
| DATABASE | 秘密度分類を表示する | VASC | SERVER | CONTROL SERVER |
| DATABASE | 暗号化されたセキュリティで保護された定義を表示する | Vcd | SERVER | 暗号化されたセキュリティで保護された定義を表示する |
| DATABASE | データベースのパフォーマンス状態の表示 | Vdp | SERVER | サーバーのパフォーマンス状態の表示 |
| DATABASE | データベース セキュリティ監査の表示 | VDSA | SERVER | CONTROL SERVER |
| DATABASE | データベースのセキュリティ状態を表示する | VDS | SERVER | サーバーのセキュリティ状態を表示する |
| DATABASE | VIEW DATABASE STATE | VWDS | SERVER | VIEW SERVER STATE |
| DATABASE | VIEW DEFINITION | VW | SERVER | VIEW ANY DEFINITION |
| DATABASE | VIEW LEDGER CONTENT | VLC | SERVER | CONTROL |
| DATABASE | VIEW SECURITY DEFINITION | Vws | SERVER | VIEW ANY SECURITY DEFINITION |
| DATABASE | パフォーマンス定義の表示 | Vwp | SERVER | パフォーマンス定義を表示する |
| DATABASE SCOPED CREDENTIAL | ALTER | AL | DATABASE | CONTROL |
| DATABASE SCOPED CREDENTIAL | CONTROL | CL | DATABASE | CONTROL |
| DATABASE SCOPED CREDENTIAL | REFERENCES | RF | DATABASE | REFERENCES |
| DATABASE SCOPED CREDENTIAL | TAKE OWNERSHIP | TO | DATABASE | CONTROL |
| DATABASE SCOPED CREDENTIAL | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| ENDPOINT | ALTER | AL | SERVER | ALTER ANY ENDPOINT |
| ENDPOINT | CONNECT | CO | SERVER | CONTROL SERVER |
| ENDPOINT | CONTROL | CL | SERVER | CONTROL SERVER |
| ENDPOINT | TAKE OWNERSHIP | TO | SERVER | CONTROL SERVER |
| ENDPOINT | VIEW DEFINITION | VW | SERVER | VIEW ANY DEFINITION |
| FULLTEXT CATALOG | ALTER | AL | DATABASE | ALTER ANY FULLTEXT CATALOG |
| FULLTEXT CATALOG | CONTROL | CL | DATABASE | CONTROL |
| FULLTEXT CATALOG | REFERENCES | RF | DATABASE | REFERENCES |
| FULLTEXT CATALOG | TAKE OWNERSHIP | TO | DATABASE | CONTROL |
| FULLTEXT CATALOG | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| FULLTEXT STOPLIST | ALTER | AL | DATABASE | ALTER ANY FULLTEXT CATALOG |
| FULLTEXT STOPLIST | CONTROL | CL | DATABASE | CONTROL |
| FULLTEXT STOPLIST | REFERENCES | RF | DATABASE | REFERENCES |
| FULLTEXT STOPLIST | TAKE OWNERSHIP | TO | DATABASE | CONTROL |
| FULLTEXT STOPLIST | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| Login | ALTER | AL | SERVER | ALTER ANY LOGIN |
| Login | CONTROL | CL | SERVER | CONTROL SERVER |
| Login | IMPERSONATE | IM | SERVER | CONTROL SERVER |
| Login | VIEW DEFINITION | VW | SERVER | VIEW ANY DEFINITION |
| MESSAGE TYPE | ALTER | AL | DATABASE | ALTER ANY MESSAGE TYPE |
| MESSAGE TYPE | CONTROL | CL | DATABASE | CONTROL |
| MESSAGE TYPE | REFERENCES | RF | DATABASE | REFERENCES |
| MESSAGE TYPE | TAKE OWNERSHIP | TO | DATABASE | CONTROL |
| MESSAGE TYPE | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| OBJECT | ALTER | AL | SCHEMA | ALTER |
| OBJECT | CONTROL | CL | SCHEMA | CONTROL |
| OBJECT | DELETE | DL | SCHEMA | DELETE |
| OBJECT | EXECUTE | EX | SCHEMA | EXECUTE |
| OBJECT | INSERT | IN | SCHEMA | INSERT |
| OBJECT | RECEIVE | RC | SCHEMA | CONTROL |
| OBJECT | REFERENCES | RF | SCHEMA | REFERENCES |
| OBJECT | SELECT | SL | SCHEMA | SELECT |
| OBJECT | TAKE OWNERSHIP | TO | SCHEMA | CONTROL |
| OBJECT | マスク解除します。 | UMSK | SCHEMA | マスク解除します。 |
| OBJECT | UPDATE | UP | SCHEMA | UPDATE |
| OBJECT | VIEW CHANGE TRACKING | VWCT | SCHEMA | VIEW CHANGE TRACKING |
| OBJECT | VIEW DEFINITION | VW | SCHEMA | VIEW DEFINITION |
| REMOTE SERVICE BINDING | ALTER | AL | DATABASE | ALTER ANY REMOTE SERVICE BINDING |
| REMOTE SERVICE BINDING | CONTROL | CL | DATABASE | CONTROL |
| REMOTE SERVICE BINDING | TAKE OWNERSHIP | TO | DATABASE | CONTROL |
| REMOTE SERVICE BINDING | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| ROLE | ALTER | AL | DATABASE | ALTER ANY ROLE |
| ROLE | CONTROL | CL | DATABASE | CONTROL |
| ROLE | TAKE OWNERSHIP | TO | DATABASE | CONTROL |
| ROLE | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| ROUTE | ALTER | AL | DATABASE | ALTER ANY ROUTE |
| ROUTE | CONTROL | CL | DATABASE | CONTROL |
| ROUTE | TAKE OWNERSHIP | TO | DATABASE | CONTROL |
| ROUTE | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| SCHEMA | ALTER | AL | DATABASE | ALTER ANY SCHEMA |
| SCHEMA | CONTROL | CL | DATABASE | CONTROL |
| SCHEMA | CREATE SEQUENCE | CRSO | DATABASE | CONTROL |
| SCHEMA | DELETE | DL | DATABASE | DELETE |
| SCHEMA | EXECUTE | EX | DATABASE | EXECUTE |
| SCHEMA | INSERT | IN | DATABASE | INSERT |
| SCHEMA | REFERENCES | RF | DATABASE | REFERENCES |
| SCHEMA | SELECT | SL | DATABASE | SELECT |
| SCHEMA | TAKE OWNERSHIP | TO | DATABASE | CONTROL |
| SCHEMA | マスク解除します。 | UMSK | DATABASE | マスク解除します。 |
| SCHEMA | UPDATE | UP | DATABASE | UPDATE |
| SCHEMA | VIEW CHANGE TRACKING | VWCT | DATABASE | VIEW CHANGE TRACKING |
| SCHEMA | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| SEARCH PROPERTY LIST | ALTER | AL | SERVER | ALTER ANY FULLTEXT CATALOG |
| SEARCH PROPERTY LIST | CONTROL | CL | SERVER | CONTROL |
| SEARCH PROPERTY LIST | REFERENCES | RF | SERVER | REFERENCES |
| SEARCH PROPERTY LIST | TAKE OWNERSHIP | TO | SERVER | CONTROL |
| SEARCH PROPERTY LIST | VIEW DEFINITION | VW | SERVER | VIEW DEFINITION |
| SERVER | ADMINISTER BULK OPERATIONS | ADBO | 適用なし | 適用なし |
| SERVER | ALTER ANY AVAILABILITY GROUP | ALAG | 適用なし | 適用なし |
| SERVER | ALTER ANY CONNECTION | ALCO | 適用なし | 適用なし |
| SERVER | ALTER ANY CREDENTIAL | ALCD | 適用なし | 適用なし |
| SERVER | ALTER ANY DATABASE | ALDB | 適用なし | 適用なし |
| SERVER | ALTER ANY ENDPOINT | ALHE | 適用なし | 適用なし |
| SERVER | ALTER ANY EVENT NOTIFICATION | ALES | 適用なし | 適用なし |
| SERVER | ALTER ANY EVENT SESSION | AAES | 適用なし | 適用なし |
| SERVER | ALTER ANY EVENT SESSION ADD EVENT | LSAE | 該当なし | 適用なし |
| SERVER | ALTER ANY EVENT SESSION ADD TARGET | LSAT | 該当なし | 適用なし |
| SERVER | ALTER ANY EVENT SESSION DISABLE | DES | 該当なし | 適用なし |
| SERVER | ALTER ANY EVENT SESSION DROP EVENT | LSDE | 該当なし | 適用なし |
| SERVER | ALTER ANY EVENT SESSION DROP TARGET | LSDT | 該当なし | 適用なし |
| SERVER | ALTER ANY EVENT SESSION ENABLE | Ees | 該当なし | 適用なし |
| SERVER | ALTER ANY EVENT SESSION OPTION | LESO | 該当なし | 適用なし |
| SERVER | ALTER ANY LINKED SERVER | ALLS | 適用なし | 適用なし |
| SERVER | ALTER ANY LOGIN | ALLG | 適用なし | 適用なし |
| SERVER | ALTER ANY SERVER AUDIT | ALAA | 適用なし | 適用なし |
| SERVER | ALTER ANY SERVER ROLE | ALSR | 適用なし | 適用なし |
| SERVER | ALTER RESOURCES | ALRS | 適用なし | 適用なし |
| SERVER | ALTER SERVER STATE | ALSS | 適用なし | 適用なし |
| SERVER | ALTER SETTINGS | ALST | 適用なし | 適用なし |
| SERVER | ALTER TRACE | ALTR | 適用なし | 適用なし |
| SERVER | AUTHENTICATE SERVER | AUTH | 適用なし | 適用なし |
| SERVER | CONNECT ANY DATABASE | CADB | 適用なし | 適用なし |
| SERVER | CONNECT SQL | COSQ | 適用なし | 適用なし |
| SERVER | CONTROL SERVER | CL | 適用なし | 適用なし |
| SERVER | CREATE ANY DATABASE | CRDB | 適用なし | 適用なし |
| SERVER | CREATE AVAILABILITY GROUP | CRAC | 適用なし | 適用なし |
| SERVER | CREATE DDL EVENT NOTIFICATION | CRDE | 適用なし | 適用なし |
| SERVER | CREATE ENDPOINT | CRHE | 適用なし | 適用なし |
| SERVER | CREATE SERVER ROLE | CRSR | 適用なし | 適用なし |
| SERVER | CREATE TRACE EVENT NOTIFICATION | CRTE | 適用なし | 適用なし |
| SERVER | EXTERNAL ACCESS ASSEMBLY | XA | 適用なし | 適用なし |
| SERVER | IMPERSONATE ANY LOGIN | IAL | 適用なし | 適用なし |
| SERVER | SELECT ALL USER SECURABLES | SUS | 適用なし | 適用なし |
| SERVER | SHUTDOWN | SHDN | 適用なし | 適用なし |
| SERVER | UNSAFE ASSEMBLY | XU | 適用なし | 適用なし |
| SERVER | VIEW ANY DATABASE | VWDB | 適用なし | 適用なし |
| SERVER | VIEW ANY DEFINITION | VWAD | 適用なし | 適用なし |
| SERVER | VIEW SERVER STATE | VWSS | 適用なし | 適用なし |
| SERVER ROLE | ALTER | AL | SERVER | ALTER ANY SERVER ROLE |
| SERVER ROLE | CONTROL | CL | SERVER | CONTROL SERVER |
| SERVER ROLE | TAKE OWNERSHIP | TO | SERVER | CONTROL SERVER |
| SERVER ROLE | VIEW DEFINITION | VW | SERVER | VIEW ANY DEFINITION |
| SERVICE | ALTER | AL | DATABASE | ALTER ANY SERVICE |
| SERVICE | CONTROL | CL | DATABASE | CONTROL |
| SERVICE | SEND | SN | DATABASE | CONTROL |
| SERVICE | TAKE OWNERSHIP | TO | DATABASE | CONTROL |
| SERVICE | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| SYMMETRIC KEY | ALTER | AL | DATABASE | ALTER ANY SYMMETRIC KEY |
| SYMMETRIC KEY | CONTROL | CL | DATABASE | CONTROL |
| SYMMETRIC KEY | REFERENCES | RF | DATABASE | REFERENCES |
| SYMMETRIC KEY | TAKE OWNERSHIP | TO | DATABASE | CONTROL |
| SYMMETRIC KEY | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| TYPE | CONTROL | CL | SCHEMA | CONTROL |
| TYPE | EXECUTE | EX | SCHEMA | EXECUTE |
| TYPE | REFERENCES | RF | SCHEMA | REFERENCES |
| TYPE | TAKE OWNERSHIP | TO | SCHEMA | CONTROL |
| TYPE | VIEW DEFINITION | VW | SCHEMA | VIEW DEFINITION |
| User | ALTER | AL | DATABASE | ALTER ANY USER |
| User | CONTROL | CL | DATABASE | CONTROL |
| User | IMPERSONATE | IM | DATABASE | CONTROL |
| User | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| XML SCHEMA COLLECTION | ALTER | AL | SCHEMA | ALTER |
| XML SCHEMA COLLECTION | CONTROL | CL | SCHEMA | CONTROL |
| XML SCHEMA COLLECTION | EXECUTE | EX | SCHEMA | EXECUTE |
| XML SCHEMA COLLECTION | REFERENCES | RF | SCHEMA | REFERENCES |
| XML SCHEMA COLLECTION | TAKE OWNERSHIP | TO | SCHEMA | CONTROL |
| XML SCHEMA COLLECTION | VIEW DEFINITION | VW | SCHEMA | VIEW DEFINITION |
SQL Server 2022 に追加された新しい詳細なアクセス許可
SQL Server 2022 には、次のアクセス許可が追加されます。
システム メタデータへのアクセスを許可する 10 個の新しいアクセス許可が追加されました。
拡張イベントに対して 18 個の新しいアクセス許可が追加されました。
セキュリティ関連のオブジェクトに関して、9 つの新しいアクセス許可が追加されました。
Ledger に 4 つのアクセス許可が追加されました。
3 つの追加のデータベースアクセス許可。
詳細については、「SQL Server 2022 の新しい詳細なアクセス許可」と「PoLP の準拠を改善するためのAzure SQL」を参照してください。
システム メタデータのアクセス許可へのアクセス
サーバー レベル:
- VIEW ANY SECURITY DEFINITION
- パフォーマンス定義を表示する
- サーバーのセキュリティ状態を表示する
- サーバーのパフォーマンス状態の表示
- 暗号化されたセキュリティで保護された定義を表示する
データベース レベル:
- データベースのセキュリティ状態を表示する
- データベースのパフォーマンス状態の表示
- VIEW SECURITY DEFINITION
- パフォーマンス定義の表示
- 暗号化されたセキュリティで保護された定義を表示する
拡張イベントのアクセス許可
サーバー レベル:
- 任意のイベント セッションを作成する
- 任意のイベント セッションを削除する
- ALTER ANY EVENT SESSION OPTION
- ALTER ANY EVENT SESSION ADD EVENT
- ALTER ANY EVENT SESSION DROP EVENT
- ALTER ANY EVENT SESSION ENABLE
- ALTER ANY EVENT SESSION DISABLE
- ALTER ANY EVENT SESSION ADD TARGET
- ALTER ANY EVENT SESSION DROP TARGET
これらのアクセス許可はすべて、同じ親アクセス許可の下にあります。 ALTER ANY EVENT SESSION
データベース レベル:
- 任意のデータベース イベント セッションを作成する
- データベース イベント セッションを削除する
- ALTER ANY DATABASE EVENT SESSION オプション
- ALTER ANY DATABASE EVENT SESSION ADD EVENT
- ALTER ANY DATABASE EVENT SESSION DROP EVENT
- ALTER ANY DATABASE EVENT SESSION ENABLE
- ALTER ANY DATABASE EVENT SESSION DISABLE
- ALTER ANY DATABASE EVENT SESSION ADD TARGET
- ALTER ANY DATABASE EVENT SESSION DROP TARGET
これらすべてのアクセス許可は、同じ親アクセス許可の下にあります: ALTER ANY DATABASE EVENT SESSION
セキュリティ関連のオブジェクトのアクセス許可
- CONTROL (CREDENTIAL)
- CREATE LOGIN
- CREATE USER
- REFERENCES (CREDENTIAL)
- UNMASK (OBJECT)
- UNMASK (SCHEMA)
- エラー ログを表示する
- サーバー セキュリティ監査の表示
- データベース セキュリティ監査の表示
台帳のアクセス許可
- ALTER LEDGER
- ALTER LEDGER の構成
- ENABLE LEDGER
- VIEW LEDGER CONTENT
その他のデータベースのアクセス許可
- ALTER ANY EXTERNAL JOB
- ALTER ANY EXTERNAL STREAM
- EXECUTE ANY EXTERNAL ENDPOINT
アクセス許可チェック アルゴリズムの概要
権限のチェックは複雑な場合があります。 権限チェック アルゴリズムには、グループ メンバーシップの重複、所有権の継承、明示的および暗黙的な権限が含まれます。また、セキュリティ保護可能なエンティティを含むセキュリティ保護可能なクラスに対する権限の影響を受けることもあります。 アルゴリズムの一般的な手順では、関連する権限がすべて収集されます。 ブロックする DENY が見つからない場合、十分なアクセス権を付与する GRANT が検索されます。 アルゴリズムには、不可欠な要素が 3 つあります。 セキュリティ コンテキスト、 権限領域、および 必要な権限です。
注意
sa、dbo、エンティティ所有者、information_schema、sys、または自分自身に対する権限を許可、拒否、または取り消すことはできません。
セキュリティ コンテキスト
これは、アクセス チェックに対して権限を与えるプリンシパルのグループです。 EXECUTE AS ステートメントを使用してセキュリティ コンテキストが別のログインまたはユーザーに変更されていない限り、現在のログインまたはユーザーに関連した権限です。 セキュリティ コンテキストには次のプリンシパルが含まれます。
ログイン
ユーザー
ロールのメンバーシップ
Windows グループのメンバーシップ
モジュール署名が使用されている場合、ユーザーが現在実行しているモジュールの署名に使用された証明書のログインまたはユーザー アカウント、およびそのプリンシパルに関連付けられたロールのメンバーシップ
権限領域
これは、セキュリティ保護可能なエンティティと、それを含むすべてのセキュリティ保護可能なクラスです。 たとえば、あるテーブル (セキュリティ保護可能なエンティティ) が、セキュリティ保護可能なクラスであるスキーマとデータベースに含まれているとします。 この場合のアクセスは、テーブル、スキーマ、データベース、サーバーの各レベルの権限による影響を受けます。 詳細については、「 権限階層 (データベース エンジン)」を参照してください。
必要な権限
必要とされる権限の種類です。 INSERT、UPDATE、DELETE、SELECT、EXECUTE、ALTER、CONTROL などがあります。
次の例のように、アクセスに複数の権限が必要な場合もあります。
ストアド プロシージャでは、ストアド プロシージャ自体に対する EXECUTE 権限に加えて、ストアド プロシージャによって参照されている複数のテーブルに対する INSERT 権限が必要な場合があります。
動的管理ビューでは、ビューに対する VIEW SERVER STATE 権限と SELECT 権限の両方が必要な場合があります。
アルゴリズムの一般的な手順
セキュリティ保護可能なリソースに対するアクセスを許可するかどうかを判断するためにアルゴリズムが実際に使用する手順は、関連するプリンシパルとセキュリティ保護可能なリソースによって異なる場合があります。 ただし、アルゴリズムは一般に次の手順を実行します。
ログインが sysadmin 固定サーバー ロールのメンバーであるか、ユーザーが現在のデータベースの dbo ユーザーである場合は、権限チェックを行いません。
所有権の継承が適用され、その継承内でオブジェクトに対するアクセス チェックが以前にセキュリティ チェックに合格している場合は、アクセスを許可します。
呼び出し元に関連付けられたサーバーレベル、データベースレベル、署名付きモジュールの各 ID を集計して、 セキュリティ コンテキストを作成します。
その セキュリティ コンテキスト用に、 権限領域に対して許可または拒否された権限をすべて収集します。 権限は、GRANT、GRANT WITH GRANT、または DENY として明示的に指定される場合と、暗黙権限または包含権限の GRANT または DENY である場合があります。 たとえば、スキーマに対する CONTROL 権限を使用した場合、テーブルに対する CONTROL 権限も暗黙的に適用されます。 また、テーブルに対して CONTROL 権限を使用した場合、SELECT 権限も暗黙的に適用されます。 したがって、スキーマに対する CONTROL 権限が許可された場合、テーブルに対する SELECT 権限も許可されます。 テーブルに対する CONTROL 権限が拒否された場合、テーブルに対する SELECT 権限も拒否されます。
注意
列レベルの権限の GRANT により、オブジェクト レベルの DENY がオーバーライドされます。 詳細については、 DENY オブジェクトのアクセス許可 (Transact-SQL) を参照してください。
必要な権限を識別します。
権限領域 内のオブジェクトについて、 必要な権限 が、 セキュリティ コンテキストの任意の ID に対し直接または暗黙的に拒否されている場合は、権限チェックが不合格となります。
必要なアクセス許可が拒否されておらず、必要なアクセス許可に GRANT または GRANT WITH GRANT アクセス許可が直接または暗黙的に含まれている場合は、アクセス許可チェックを、アクセス許可空間内の任意のオブジェクトのセキュリティ コンテキスト内の任意の ID に渡します。
列レベルのアクセス許可に関する特別な考慮事項
列レベルのアクセス許可は、構文 <table_name>(<列_name>)を使用して付与されます。 次に例を示します。
GRANT SELECT ON OBJECT::Customer(CustomerName) TO UserJoe;
テーブルの DENY は、列の GRANT によりオーバーライドされます。 ただし、その後にテーブルの DENY があると、列の GRANT は削除されます。
例
このセクションでは、権限に関する情報を取得する例を示します。
A. 許可可能なアクセス許可の完全な一覧を返します
次のステートメントでは、 データベース エンジン 関数によって、すべての fn_builtin_permissions 権限が返されます。 詳細については、「 sys.fn_builtin_permissions (Transact-SQL)」を参照してください。
SELECT * FROM fn_builtin_permissions(default);
GO
B. オブジェクトの特定のクラスに対するアクセス許可を返します
次の例では、 fn_builtin_permissions を使用してセキュリティ保護可能なカテゴリに使用できるすべての権限を表示します。 この例では、アセンブリに対する権限を返します。
SELECT * FROM fn_builtin_permissions('assembly');
GO
C. オブジェクトの実行中のプリンシパルに付与されたアクセス許可を返します
次の例では、 fn_my_permissions を使用して、指定したセキュリティ保護可能なリソースについて、呼び出し元のプリンシパルが保持している有効な権限の一覧を返します。 この例では、Orders55 という名前のオブジェクトに対する権限を返します。 詳細については、「 sys.fn_my_permissions (Transact-SQL)」を参照してください。
SELECT * FROM fn_my_permissions('Orders55', 'object');
GO
D. 指定したオブジェクトに適用できるアクセス許可を返します
次の例は、 Yttriumと呼ばれるオブジェクトに適用できる権限を返します。 オブジェクト OBJECT_ID の ID を取得するために、組み込み関数 Yttriumが使用されていることに注意してください。
SELECT * FROM sys.database_permissions
WHERE major_id = OBJECT_ID('Yttrium');
GO