CREATE USER (Transact-SQL)
適用対象:
SQL ServerAzure SQL DatabaseAzure SQL Managed InstanceAzure Synapse AnalyticsAnalytics Platform System (PDW)
現在のデータベースにユーザーを追加します。 13 種類のユーザーの一覧を、最も基本的な構文のサンプルと共に、次に示します。
master 内のログインに基づくユーザー - これは最も一般的な種類のユーザーです。
- Windows Active Directory アカウントに基づくログインに基づくユーザー。
CREATE USER [Contoso\Fritz]; - Windows グループに基づくログインに基づくユーザー。
CREATE USER [Contoso\Sales]; - SQL Server 認証を使用したログインに基づくユーザー。
CREATE USER Mary; - Azure AD ログインに基づくユーザー。
CREATE USER [bob@contoso.com] FROM LOGIN [bob@contoso.com]Note
Azure Active Directory (Azure AD) サーバー プリンシパル (ログイン) は、現在、Azure SQL Database のパブリック プレビュー段階です。
データベースで認証されるユーザー - データベースの移植性を高めるために推奨されます。
SQL Database で常に許可されます。 SQL Server の包含データベースでのみ許可されます。
ログインのない Windows ユーザーに基づくユーザー。
CREATE USER [Contoso\Fritz];ログインのない Windows グループに基づくユーザー。
CREATE USER [Contoso\Sales];Azure Active Directory ユーザーに基づく SQL Database または Azure Synapse Analytics のユーザー。
CREATE USER [Fritz@contoso.com] FROM EXTERNAL PROVIDER;パスワードを持つ包含データベース ユーザー。 (Azure Synapse Analytics では使用できません。)
CREATE USER Mary WITH PASSWORD = '********';
Windows グループ ログインを介して接続する Windows プリンシパルに基づくユーザー
ログインのない Windows ユーザーに基づくユーザーでありながら、Windows グループのメンバーシップを介してデータベース エンジンに接続できるユーザー。
CREATE USER [Contoso\Fritz];ログインのない Windows グループに基づくユーザーでありながら、別の Windows グループのメンバーシップを介してデータベース エンジンに接続できるユーザー。
CREATE USER [Contoso\Fritz];
認証できないユーザー - これらのユーザーは SQL Server または SQL Database にログインできません。
- ログインのないユーザー。 ログインできませんが、権限の付与対象となります。
CREATE USER CustomApp WITHOUT LOGIN; - 証明書に基づくユーザー。 ログインできませんが、権限の付与対象となり、モジュールに署名できます。
CREATE USER TestProcess FOR CERTIFICATE CarnationProduction50; - 非対称キーに基づくユーザー。 ログインできませんが、権限の付与対象となり、モジュールに署名できます。
CREATE User TestProcess FROM ASYMMETRIC KEY PacificSales09;
構文
-- Syntax for SQL Server, Azure SQL Database, and Azure SQL Managed Instance
-- Syntax Users based on logins in master
CREATE USER user_name
[
{ FOR | FROM } LOGIN login_name
]
[ WITH <limited_options_list> [ ,... ] ]
[ ; ]
-- Users that authenticate at the database
CREATE USER
{
windows_principal [ WITH <options_list> [ ,... ] ]
| user_name WITH PASSWORD = 'password' [ , <options_list> [ ,... ]
| Azure_Active_Directory_principal FROM EXTERNAL PROVIDER
}
[ ; ]
-- Users based on Windows principals that connect through Windows group logins
CREATE USER
{
windows_principal [ { FOR | FROM } LOGIN windows_principal ]
| user_name { FOR | FROM } LOGIN windows_principal
}
[ WITH <limited_options_list> [ ,... ] ]
[ ; ]
-- Users that cannot authenticate
CREATE USER user_name
{
WITHOUT LOGIN [ WITH <limited_options_list> [ ,... ] ]
| { FOR | FROM } CERTIFICATE cert_name
| { FOR | FROM } ASYMMETRIC KEY asym_key_name
}
[ ; ]
<options_list> ::=
DEFAULT_SCHEMA = schema_name
| DEFAULT_LANGUAGE = { NONE | lcid | language name | language alias }
| SID = sid
| ALLOW_ENCRYPTED_VALUE_MODIFICATIONS = [ ON | OFF ] ]
<limited_options_list> ::=
DEFAULT_SCHEMA = schema_name ]
| ALLOW_ENCRYPTED_VALUE_MODIFICATIONS = [ ON | OFF ] ]
-- SQL Database syntax when connected to a federation member
CREATE USER user_name
[;]
-- Syntax for users based on Azure AD logins for Azure SQL Managed Instance
CREATE USER user_name
[ { FOR | FROM } LOGIN login_name ]
| FROM EXTERNAL PROVIDER
[ WITH <limited_options_list> [ ,... ] ]
[ ; ]
<limited_options_list> ::=
DEFAULT_SCHEMA = schema_name
| DEFAULT_LANGUAGE = { NONE | lcid | language name | language alias }
| ALLOW_ENCRYPTED_VALUE_MODIFICATIONS = [ ON | OFF ] ]
Note
作成後の Azure SQL Managed Instance 機能の Azure AD 管理者が変更されました。 詳しくは、「マネージド インスタンス用の新しい Azure AD 管理機能」をご覧ください。
-- Syntax for Azure Synapse Analytics
CREATE USER user_name
[ { { FOR | FROM } { LOGIN login_name }
| WITHOUT LOGIN
]
[ WITH DEFAULT_SCHEMA = schema_name ]
[;]
CREATE USER Azure_Active_Directory_principal FROM EXTERNAL PROVIDER
[ WITH DEFAULT_SCHEMA = schema_name ]
[;]
-- Syntax for Parallel Data Warehouse
CREATE USER user_name
[ { { FOR | FROM }
{
LOGIN login_name
}
| WITHOUT LOGIN
]
[ WITH DEFAULT_SCHEMA = schema_name ]
[;]
Note
SQL Server 2014 以前の Transact-SQL 構文を確認するには、以前のバージョンのドキュメントを参照してください。
引数
user_name
データベース内でユーザーを識別する名前を指定します。 user_name は、sysname です。 半角 128 文字まで指定できます。 Windows プリンシパルに基づいてユーザーを作成する場合、別のユーザー名を指定しないと、Windows プリンシパル名がユーザー名になります。
LOGIN login_name
作成するデータベース ユーザーのログインを指定します。 login_name は、サーバーで有効なログインである必要があります。 Windows プリンシパル (ユーザーまたはグループ)、SQL Server 認証を使用したログイン、または Azure AD プリンシパル (ユーザー、グループ、またはアプリケーション) を使用したログインに基づくログインのいずれかです。 この SQL Server ログインをデータベースに対して入力すると、データベースでは、作成されるデータベース ユーザーの名前と ID が取得されます。 Windows プリンシパルからマップされたログインを作成する場合は、[<domainName>\<loginName>] という形式を使用します。 例については、「構文の概要」を参照してください。
CREATE USER ステートメントが SQL のバッチ内の唯一のステートメントである場合、Azure SQL Database では WITH LOGIN 句がサポートされます。 CREATE USER ステートメントが SQL のバッチ内の唯一のステートメントではない場合、または動的 SQL 内で実行される場合、WITH LOGIN 句はサポートされません。
WITH DEFAULT_SCHEMA = schema_name
このデータベース ユーザー用のオブジェクトの名前を解決するときに、サーバーで最初に検索されるスキーマを指定します。
'windows_principal'
データベース ユーザーを作成する Windows プリンシパルを指定します。 windows_principal には、Windows ユーザーまたは Windows グループを指定できます。 windows_principal がログインを持たない場合でも、ユーザーは作成されます。 SQL Server に接続するときに、windows_principal がログインを持たない場合、ログインを持つ Windows グループのメンバーシップを介してデータベース エンジンで Windows プリンシパルを認証するか、または接続文字列で、包含データベースを初期カタログとして指定する必要があります。 Windows プリンシパルからユーザーを作成する場合は、[<domainName>\<loginName>] という形式を使用します。 例については、「構文の概要」を参照してください。 Active Directory ユーザーに基づくユーザーは、21 文字未満の名前に制限されます。
'Azure_Active_Directory_principal'
適用対象: SQL Database、SQL Managed Instance、Azure Synapse Analytics。
データベース ユーザーが作成される Azure Active Directory のプリンシパルを指定します。 Azure_Active_Directory_principal には、Azure Active Directory ユーザー、Azure Active Directory グループ、Azure Active Directory アプリケーションを指定できます。 (Azure Active Directory ユーザーは、SQL Database に Windows 認証ログインを持つことはできません。データベース ユーザーのみです。) 接続文字列では、初期カタログとして、包含データベースを指定する必要があります。
Azure AD プリンシパルに対して、CREATE USER 構文では次が要求されます。
Azure AD ユーザー用の Azure AD オブジェクトの UserPrincipalName。
CREATE USER [bob@contoso.com] FROM EXTERNAL PROVIDER;CREATE USER [alice@fabrikam.onmicrosoft.com] FROM EXTERNAL PROVIDER;
Azure Active Directory (Azure AD) サーバー プリンシパル (ログイン) により、仮想マスター データベース内の Azure AD ログインにマップされるユーザーの作成が導入されます。
CREATE USER [bob@contoso.com] FROM LOGIN [bob@contoso.com]2048 より多くの Azure AD セキュリティ グループに属している Azure AD のユーザーとサービス プリンシパル (Azure AD アプリケーション) は、SQL Database、SQL Managed Instance、または Azure Synapse のデータベースにログインできません。
Azure AD のグループと Azure AD アプリケーション用の Azure AD オブジェクトの DisplayName。 "看護師" セキュリティ グループがあった場合は、次を使用します。
CREATE USER [Nurses] FROM EXTERNAL PROVIDER;
詳細については、Azure Active Directory 認証を使用した SQL Database への接続に関するページを参照してください。
WITH PASSWORD = 'password'
適用対象: SQL Server 2012 (11.x) 以降、SQL Database。
包含データベースでのみ使用できます。 作成するユーザーのパスワードを指定します。 SQL Server 2012 (11.x) 以降では、保存されたパスワード情報は salt 化パスワードの SHA-512 を使用して計算されます。
WITHOUT LOGIN
ユーザーを既存のログインにマップしてはいけないことを指定します。
CERTIFICATE cert_name
適用対象: SQL Server 2008 (10.0.x) 以降、SQL Database。
作成するデータベース ユーザーの証明書を指定します。
ASYMMETRIC KEY asym_key_name
適用対象: SQL Server 2008 (10.0.x) 以降、SQL Database。
作成するデータベース ユーザーの非対称キーを指定します。
DEFAULT_LANGUAGE = { NONE | <lcid> | <language name> | <language salias> }
適用対象: SQL Server 2012 (11.x) 以降、SQL Database。
新しいユーザーの既定の言語を指定します。 ユーザーに対して既定の言語を指定した場合、データベースの既定の言語を後で変更しても、ユーザーの既定の言語は指定した言語のままになります。 既定の言語を指定しない場合、データベースの既定の言語がユーザーの既定の言語として使用されます。 ユーザーに対して既定の言語を指定しない場合、データベースの既定の言語を後で変更すると、ユーザーの既定の言語はデータベースの新しい既定の言語に変更されます。
重要
DEFAULT_LANGUAGE は包含データベース ユーザーにのみ使用します。
SID = sid
適用対象: SQL Server 2012 (11.x) 以降。
包含データベースにパスワード (SQL Server 認証) を持つユーザーに対してのみ適用されます。 新しいデータベース ユーザーの SID を指定します。 このオプションを選択しない場合は、SQL Server によって SID が自動的に割り当てられます。 複数のデータベースで同じ ID (SID) を持つユーザーを作成するには SID パラメーターを使用します。 これは、Always On フェールオーバーの準備のために、複数のデータベースにユーザーを作成する場合に役立ちます。 ユーザーの SID を特定するには、sys.database_principals でクエリを実行します。
ALLOW_ENCRYPTED_VALUE_MODIFICATIONS = [ ON | OFF ]
適用対象: SQL Server 2016 (13.x) 以降、SQL Database。
一括コピー操作でのサーバーの暗号化メタデータ チェックを抑制します。 これによりユーザーは、データを暗号化解除することなく、テーブルまたはデータベース間で暗号化データを一括コピーできます。 既定値は OFF です。
警告
このオプションを不適切に使用すると、データが破損する場合があります。 詳細については、「Always Encrypted で保護された機微なデータの移行」を参照してください。
FROM EXTERNAL PROVIDER
適用対象: SQL Database と Managed Instance。
ユーザーが Azure AD Authentication 用であることを指定します。
解説
FOR LOGIN を省略した場合、新しいデータベース ユーザーは同じユーザー名を持つ SQL Server ログインにマップされます。
既定のスキーマは、このデータベース ユーザー用のオブジェクトの名前を解決するときに、サーバーで最初に検索されるスキーマになります。 特に指定しない限り、このデータベース ユーザーによって作成されたオブジェクトの所有者になるのは、既定のスキーマです。
ユーザーに既定のスキーマが設定されている場合は、その既定のスキーマが使用されます。 ユーザーに既定のスキーマが指定されておらず、そのユーザーが所属しているグループに既定のスキーマが指定されている場合は、グループの既定のスキーマが使用されます。 ユーザーに既定のスキーマが指定されておらず、そのユーザーが複数のグループに所属している場合、そのユーザーの既定のスキーマは、最も小さい principle_id と明示的に設定された既定のスキーマを持つ Windows グループのスキーマになります。 (利用可能な既定のスキーマのいずれかを、使用するスキーマとして明示的に選択することはできません)。ユーザーに対する既定のスキーマを決定できない場合は、dbo スキーマが使用されます。
DEFAULT_SCHEMA は、このオプションが指すスキーマが作成されていなくても設定できます。
DEFAULT_SCHEMA は、証明書または非対称キーにマップされるユーザーを作成する場合には指定できません。
ユーザーが固定サーバー ロール sysadmin のメンバーである場合、DEFAULT_SCHEMA の値は無視されます。 固定サーバー ロール sysadmin のすべてのメンバーには、dbo の既定のスキーマが割り当てられます。
WITHOUT LOGIN 句でユーザーを作成する場合、ユーザーは SQL Server ログインにマップされず、 他のデータベースには guest として接続できます。 ログインのないこのユーザーには権限を割り当てることができます。セキュリティ コンテキストがログインのないユーザーに変更されると、元のユーザーはログインのないユーザーの権限を受け取ります。 例については、「D. ログインのないユーザーを作成して使用する」を参照してください。
Windows プリンシパルに割り当てられているユーザーにのみ、円記号 ( \ ) を含めることができます。
ゲスト ユーザーは各データベース内に既に存在しているため、CREATE USER を使用してゲスト ユーザーを作成することはできません。 guest ユーザーは、次のように CONNECT 権限を与えることで有効にできます。
GRANT CONNECT TO guest;
GO
データベースのユーザーに関する情報については、sys.database_principals カタログ ビューを参照してください。
Azure SQL Database と Azure SQL Managed Instance でサーバーレベルの Azure AD ログインを作成するために新しい構文拡張 FROM EXTERNAL PROVIDER を利用できます。 Azure AD ログインでは、データベースレベルの Azure AD プリンシパルをサーバーレベルの Azure AD ログインにマッピングできます。 Azure AD ログインから Azure AD ユーザーを作成するには、次の構文を使用します。
CREATE USER [AAD_principal] FROM LOGIN [Azure AD login]
Azure SQL データベースでユーザーを作成するとき、login_name が既存の Azure AD ログインに一致する必要があります。一致しない場合、FROM EXTERNAL PROVIDER 句を使用すると、マスター データベースのログインなしで Azure AD ユーザーのみが作成されます。 たとえば、このコマンドでは、包含ユーザーが作成されます。
CREATE USER [bob@contoso.com] FROM EXTERNAL PROVIDER
構文の概要
master 内のログインに基づくユーザー
ログインに基づくユーザーに関して使用できる構文を次に示します。 既定のスキーマ オプションは除外しています。
CREATE USER [Domain1\WindowsUserBarry]CREATE USER [Domain1\WindowsUserBarry] FOR LOGIN Domain1\WindowsUserBarryCREATE USER [Domain1\WindowsUserBarry] FROM LOGIN Domain1\WindowsUserBarryCREATE USER [Domain1\WindowsGroupManagers]CREATE USER [Domain1\WindowsGroupManagers] FOR LOGIN [Domain1\WindowsGroupManagers]CREATE USER [Domain1\WindowsGroupManagers] FROM LOGIN [Domain1\WindowsGroupManagers]CREATE USER SQLAUTHLOGINCREATE USER SQLAUTHLOGIN FOR LOGIN SQLAUTHLOGINCREATE USER SQLAUTHLOGIN FROM LOGIN SQLAUTHLOGIN
データベースで認証されるユーザー
包含データベースでのみ使用できるユーザーに関して使用できる構文を次に示します。 作成されるユーザーは、master データベース内のどのログインにも関連付けられません。 既定のスキーマおよび言語オプションは除外しています。
重要
この構文では、データベースへのアクセス許可とデータベース エンジンへの新しいアクセス許可がユーザーに与えられます。
CREATE USER [Domain1\WindowsUserBarry]CREATE USER [Domain1\WindowsGroupManagers]CREATE USER Barry WITH PASSWORD = 'sdjklalie8rew8337!$d'
master にログインのない Windows プリンシパルに基づくユーザー
Windows グループを介して データベース エンジン にアクセスできる一方で、master にログインを持たないユーザーが使用できる構文を次に示します。 この構文は、あらゆる種類のデータベースで使用できます。 既定のスキーマおよび言語オプションは除外しています。
この構文は master 内のログインに基づくユーザーの構文と似ていますが、このカテゴリのユーザーは master 内にログインを持ちません。 ユーザーは、Windows グループ ログインを介してデータベース エンジンにアクセスする許可が与えられている必要があります。
この構文は Windows プリンシパルに基づく包含データベース ユーザーの構文に似ていますが、このカテゴリのユーザーにはデータベース エンジンへの新しいアクセス許可は与えられません。
CREATE USER [Domain1\WindowsUserBarry]CREATE USER [Domain1\WindowsUserBarry] FOR LOGIN Domain1\WindowsUserBarryCREATE USER [Domain1\WindowsUserBarry] FROM LOGIN Domain1\WindowsUserBarryCREATE USER [Domain1\WindowsGroupManagers]CREATE USER [Domain1\WindowsGroupManagers] FOR LOGIN [Domain1\WindowsGroupManagers]CREATE USER [Domain1\WindowsGroupManagers] FROM LOGIN [Domain1\WindowsGroupManagers]
認証できないユーザー
SQL Server にログインできないユーザーに関して使用できる構文を次に示します。
CREATE USER RIGHTSHOLDER WITHOUT LOGINCREATE USER CERTUSER FOR CERTIFICATE SpecialCertCREATE USER CERTUSER FROM CERTIFICATE SpecialCertCREATE USER KEYUSER FOR ASYMMETRIC KEY SecureKeyCREATE USER KEYUSER FROM ASYMMETRIC KEY SecureKey
セキュリティ
ユーザーを作成するとデータベースへのアクセス許可が与えられますが、データベース内のオブジェクトに対するアクセス許可は自動的には与えられません。 ユーザーを作成した後の一般的な操作として、データベース オブジェクトに対する権限を持つデータベース ロールにユーザーを追加するか、またはオブジェクト権限をユーザーに付与します。 権限システムの設計の詳細については、「 データベース エンジンの権限の概要」を参照してください。
包含データベースに関する注意事項
包含データベースに接続するときに、ユーザーが master データベース内にログインを持たない場合、接続文字列に包含データベース名を初期カタログとして含める必要があります。 初期カタログ パラメーターは、パスワードを持つ包含データベース ユーザーに対して常に必要になります。
包含データベースでは、ユーザーを作成することにより、データベースとデータベース エンジンのインスタンスとを分離して、データベースを SQL Server の別のインスタンスに簡単に移動できるようになります。 詳細については、「包含データベース」および「包含データベース ユーザー - データベースの可搬性を確保する」を参照してください。 SQL Server 認証ログインに基づくデータベース ユーザーを、パスワードを持つ包含データベース ユーザーに変更する方法については、「sp_migrate_user_to_contained (Transact-SQL)」をご覧ください。
包含データベースでは、ユーザーは master データベース内にログインを持つ必要はありません。 データベース エンジン 管理者は、包含データベースに対するアクセス許可を データベース エンジン レベルではなくデータベース レベルで付与できることを理解する必要があります。 詳細については、「 Security Best Practices with Contained Databases」を参照してください。
Azure SQL データベース で包含データベース ユーザーを使用する場合、サーバー レベルのファイアウォール ルールではなく、データベース レベルのファイアウォール ルールを使用してアクセスを構成します。 詳細については、「sp_set_database_firewall_rule (Azure SQL Database)」を参照してください。
SQL Database と Azure Synapse Analytics の包含データベースのユーザーについては、SSMS で多要素認証がサポートされます。 詳細については、SQL Database と Azure Synapse Analytics での Azure AD MFA のための SSMS のサポートに関するページを参照してください。
アクセス許可
データベースに対する ALTER ANY USER 権限が必要です。
例
A. SQL Server ログインに基づくデータベース ユーザーを作成する
次の例では、最初に AbolrousHazem という SQL Server ログインを作成し、次に対応するデータベース ユーザー AbolrousHazem を AdventureWorks2012 に作成します。
CREATE LOGIN AbolrousHazem
WITH PASSWORD = '340$Uuxwp7Mcxo7Khy';
ユーザー データベースに変更します。 たとえば、SQL Server では USE AdventureWorks2012 ステートメントを使用します。 Azure Synapse Analytics と Analytics Platform System (PDW) では、ユーザー データベースへの新しい接続を作成する必要があります。
CREATE USER AbolrousHazem FOR LOGIN AbolrousHazem;
GO
B. 既定のスキーマでデータベース ユーザーを作成する
次の例では、まず WanidaBenshoof というサーバー ログインをパスワード付きで作成し、次に対応するデータベース ユーザー Wanida を既定のスキーマ Marketing で作成します。
CREATE LOGIN WanidaBenshoof
WITH PASSWORD = '8fdKJl3$nlNv3049jsKK';
USE AdventureWorks2012;
CREATE USER Wanida FOR LOGIN WanidaBenshoof
WITH DEFAULT_SCHEMA = Marketing;
GO
C. 証明書からデータベース ユーザーを作成する
次の例では、証明書 JinghaoLiu からデータベース ユーザー CarnationProduction50 を作成します。
適用対象: SQL Server 2008 (10.0.x) 以降。
USE AdventureWorks2012;
CREATE CERTIFICATE CarnationProduction50
WITH SUBJECT = 'Carnation Production Facility Supervisors',
EXPIRY_DATE = '11/11/2011';
GO
CREATE USER JinghaoLiu FOR CERTIFICATE CarnationProduction50;
GO
D. ログインのないユーザーを作成して使用する
次の例では、SQL Server ログインにマップされないデータベース ユーザー CustomApp を作成します。 その後、ユーザー adventure-works\tengiz0 に、CustomApp ユーザーの権限を借用する権限を許可します。
USE AdventureWorks2012 ;
CREATE USER CustomApp WITHOUT LOGIN ;
GRANT IMPERSONATE ON USER::CustomApp TO [adventure-works\tengiz0] ;
GO
ユーザー CustomApp が adventure-works\tengiz0 の資格情報を使用するには、次のステートメントを実行します。
EXECUTE AS USER = 'CustomApp' ;
GO
adventure-works\tengiz0 の資格情報に戻すには、次のステートメントを実行します。
REVERT ;
GO
E. パスワードを持つ包含データベース ユーザーを作成する
次の例では、パスワードを持つ包含データベース ユーザーを作成します。 この例は、包含データベースでのみ実行できます。
適用対象: SQL Server 2012 (11.x) 以降。 この例は DEFAULT_LANGUAGE が削除された場合に SQL Database で機能します。
USE AdventureWorks2012 ;
GO
CREATE USER Carlo
WITH PASSWORD='RN92piTCh%$!~3K9844 Bl*'
, DEFAULT_LANGUAGE=[Brazilian]
, DEFAULT_SCHEMA=[dbo]
GO
F. ドメイン ログインのための包含データベース ユーザーを作成する
次の例では、Contoso という名前のドメインの Fritz という名前のログインに対する包含データベース ユーザーを作成します。 この例は、包含データベースでのみ実行できます。
適用対象: SQL Server 2012 (11.x) 以降。
USE AdventureWorks2012 ;
GO
CREATE USER [Contoso\Fritz] ;
GO
G. 特定の SID を持つ包含データベース ユーザーを作成する
次の例では、CarmenW という名前の、SQL Server 認証を使用する包含データベース ユーザーを作成します。 この例は、包含データベースでのみ実行できます。
適用対象: SQL Server 2012 (11.x) 以降。
USE AdventureWorks2012 ;
GO
CREATE USER CarmenW WITH PASSWORD = 'a8ea v*(Rd##+'
, SID = 0x01050000000000090300000063FF0451A9E7664BA705B10E37DDC4B7;
H. 暗号化されたデータをコピーするためのユーザーを作成する
以下の例では、Always Encrypted 機能によって保護されたデータを、暗号化された列を含む一連のテーブルから、(同じまたは異なるデータベースに) 暗号化された列を持つ別の一連のテーブルにコピーできるユーザーを作成します。 詳細については、「Always Encrypted で保護された機微なデータの移行」を参照してください。
適用対象: SQL Server 2016 (13.x) 以降、SQL Database。
CREATE USER [Chin]
WITH
DEFAULT_SCHEMA = dbo
, ALLOW_ENCRYPTED_VALUE_MODIFICATIONS = ON ;
I. Azure SQL で Azure AD ログインから Azure AD ユーザーを作成する
Azure AD ログインから Azure AD ユーザーを作成するには、次の構文を使用します。
マネージド インスタンスの sysadmin ロールまたは SQL Database の loginmanager ロールが付与された Azure AD ログインを使用して、SQL サーバーまたはマネージド インスタンスにサインインします。 次の命令文ではログイン bob@contoso.com から Azure AD ユーザー bob@contoso.com が作成されます。 このログインは CREATE LOGIN 例で作成されました。
CREATE USER [bob@contoso.com] FROM LOGIN [bob@contoso.com];
GO
重要
Azure AD ログインから USER を作成するとき、LOGIN から同じ login_name として user_name を指定します。
グループである Azure AD ログインからグループとして Azure AD ユーザーを作成できます。
CREATE USER [AAD group] FROM LOGIN [AAD group];
GO
また、グループである Azure AD ログインから Azure AD ユーザーを作成できます。
CREATE USER [bob@contoso.com] FROM LOGIN [AAD group];
GO
J. データベースに Azure AD ログインなしで Azure AD ユーザーを作成する
次の構文は、SQL Managed Instance データベース内で Azure AD ユーザー bob@contoso.com を作成するために使用されます (包含ユーザー)。
CREATE USER [bob@contoso.com] FROM EXTERNAL PROVIDER;
GO
次のステップ
ユーザーを作成したら、ALTER ROLE ステートメントを使用して、ユーザーをデータベース ロールに追加することを検討します。
ロールに GRANT (オブジェクト権限の許可) を適用して、テーブルにアクセスできるようにすることもできます。 SQL Server セキュリティ モデルの概要については、権限に関するページを参照してください。
参照
データベース ユーザーの作成
sys.database_principals (Transact-SQL)
ALTER USER (Transact-SQL)
DROP USER (Transact-SQL)
CREATE LOGIN (Transact-SQL)
EVENTDATA (Transact-SQL)
包含データベース
Azure Active Directory の認証を使用して、SQL データベースに接続します。
データベース エンジンの権限の概要