適用対象:
SQL ServerAzure SQL DatabaseAzure SQL Managed InstanceAzure Synapse AnalyticsAnalytics Platform System (PDW)Microsoft Fabric の SQL 分析エンドポイントMicrosoft Fabric のウェアハウスMicrosoft Fabric の SQL データベース
SQL Server のデータベースに対する権限を拒否します。
Syntax
DENY <permission> [ ,...n ]
TO <database_principal> [ ,...n ] [ CASCADE ]
[ AS <database_principal> ]
<permission> ::=
permission | ALL [ PRIVILEGES ]
<database_principal> ::=
Database_user
| Database_role
| Application_role
| Database_user_mapped_to_Windows_User
| Database_user_mapped_to_Windows_Group
| Database_user_mapped_to_certificate
| Database_user_mapped_to_asymmetric_key
| Database_user_with_no_login
Arguments
permission: データベースで取り消すことができる権限を指定します。 権限の一覧については、後の「解説」を参照してください。
ALL: このオプションに設定しても、可能な権限がすべて拒否されるわけではありません。 ALL を指定した場合は、次の権限を拒否することになります:BACKUP DATABASE、BACKUP LOG、CREATE DATABASE、CREATE DEFAULT、CREATE FUNCTION、CREATE PROCEDURE、CREATE RULE、CREATE TABLE、CREATE VIEW。
PRIVILEGES: ISO 準拠のために用意されています。 ALL の動作は変更されません。
CASCADE: 指定したプリンシパルが権限を許可したプリンシパルに対しても、権限を拒否することを示します。
AS <database_principal> このクエリを実行するプリンシパルが権限を拒否する権利の派生元のプリンシパルを指定します。
Database_user: データベース ユーザーを指定します。
Database_role: データベース ロールを指定します。
Application_role適用対象: SQL Server 2008 (10.0.x) 以降、SQL Database。
アプリケーション ロールを指定します。
Database_user_mapped_to_Windows_User: Windows ユーザーにマップされているデータベース ユーザーを指定します。
Database_user_mapped_to_Windows_Group: Windows グループにマップされているデータベース ユーザーを指定します。
Database_user_mapped_to_certificate: 証明書にマップされているデータベース ユーザーを指定します。
Database_user_mapped_to_asymmetric_key: 非対称キーにマップされているデータベース ユーザーを指定します。
Database_user_with_no_login: 対応するサーバー レベルのプリンシパルがないデータベース ユーザーを指定します。
Remarks
データベースは、セキュリティ保護可能なリソースで、権限の階層で親となっているサーバーに含まれています。 次の表に、データベースで拒否できる権限のうち最も限定的なものを、それらを暗黙的に含む一般的な権限と共に示します。
| データベース許可 | 権限が含まれるデータベース権限 | 権限が含まれるサーバー権限 |
|---|---|---|
| データベースの一括処理の管理 適用対象: SQL Database。 |
CONTROL | 制御サーバー |
| ALTER | CONTROL | 任意のデータベースを変更する |
| 任意のアプリケーション ロールを変更する | ALTER | 制御サーバー |
| 任意のアセンブリを変更 | ALTER | 制御サーバー |
| 非対称キーを変更する | ALTER | 制御サーバー |
| 任意の証明書を変更する | ALTER | 制御サーバー |
| 任意の列の暗号化キーを変更します。 | ALTER | 制御サーバー |
| 任意のカラムマスターキー定義を変更する | ALTER | 制御サーバー |
| 任意の契約を変更する | ALTER | 制御サーバー |
| 任意のデータベース監査の変更 | ALTER | サーバー監査の変更許可 |
| ALTER ANY DATABASE DDL トリガー | ALTER | 制御サーバー |
| 任意のデータベースイベント通知を変更する | ALTER | 任意のイベント通知を変更する |
| ALTER ANY DATABASE イベント セッション 適用対象: Azure SQL データベース |
ALTER | 任意のイベントセッションを変更する |
| いずれのデータベース スコープ設定も変更する 適用対象: SQL Server 2016 (13.x) 以降、SQL Database。 |
CONTROL | 制御サーバー |
| 任意のデータスペースを変更する | ALTER | 制御サーバー |
| すべての外部データ ソースを変更します。 | ALTER | 制御サーバー |
| 任意の外部のファイル形式を変更します。 | ALTER | 制御サーバー |
| ALTER ANY EXTERNAL LIBRARY 適用対象: SQL Server 2017 (14.x) |
CONTROL | 制御サーバー |
| 任意のフルテキストカタログを変更 | ALTER | 制御サーバー |
| 任意のマスクを変更します。 | CONTROL | 制御サーバー |
| 任意のメッセージ型を変更する | ALTER | 制御サーバー |
| 任意のリモートサービスバインディングを変更する | ALTER | 制御サーバー |
| あらゆるロールを変更する | ALTER | 制御サーバー |
| 任意のルートを変更 | ALTER | 制御サーバー |
| すべてのセキュリティ ポリシーを変更します。 適用対象: SQL Server 2016 (13.x) 以降、Azure SQL データベース。 |
CONTROL | 制御サーバー |
| 任意のスキーマを変更する | ALTER | 制御サーバー |
| 任意のサービスを変更する | ALTER | 制御サーバー |
| 対称鍵の変更可能 | ALTER | 制御サーバー |
| 任意のユーザーを変更する | ALTER | 制御サーバー |
| AUTHENTICATE | CONTROL | サーバーの認証 |
| データベースをバックアップ | CONTROL | 制御サーバー |
| バックアップ ログ | CONTROL | 制御サーバー |
| CHECKPOINT | CONTROL | 制御サーバー |
| CONNECT | コネクト・レプリケーション | 制御サーバー |
| コネクト・レプリケーション | CONTROL | 制御サーバー |
| CONTROL | CONTROL | 制御サーバー |
| 集計関数を作成する | ALTER | 制御サーバー |
| アセンブリを作成 | 任意のアセンブリを変更 | 制御サーバー |
| 非対称キーを作成する | 非対称キーを変更する | 制御サーバー |
| 証明書の作成 | 任意の証明書を変更する | 制御サーバー |
| 契約を作成 | 任意の契約を変更する | 制御サーバー |
| データベースを作成 | CONTROL | 任意のデータベースを作成する |
| データベースDDLイベント通知の作成 | 任意のデータベースイベント通知を変更する | CREATE DDL イベント通知 |
| デフォルトを作成する | ALTER | 制御サーバー |
| フルテキスト カタログの作成 | 任意のフルテキストカタログを変更 | 制御サーバー |
| CREATE 関数 | ALTER | 制御サーバー |
| メッセージの種類を作成する | 任意のメッセージ型を変更する | 制御サーバー |
| プロシージャを作成 | ALTER | 制御サーバー |
| キューを作成 | ALTER | 制御サーバー |
| リモート サービス バインディングを作成する | 任意のリモートサービスバインディングを変更する | 制御サーバー |
| 役割を作成 | あらゆるロールを変更する | 制御サーバー |
| ルートを作成 | 任意のルートを変更 | 制御サーバー |
| ルールを作成 | ALTER | 制御サーバー |
| スキーマを作成 (CREATE SCHEMA) | 任意のスキーマを変更する | 制御サーバー |
| サービスを作成 | 任意のサービスを変更する | 制御サーバー |
| 対称キーの作成 | 対称鍵の変更可能 | 制御サーバー |
| シノニムの作成 | ALTER | 制御サーバー |
| CREATE TABLE | ALTER | 制御サーバー |
| タイプの作成 | ALTER | 制御サーバー |
| ビューを作成 | ALTER | 制御サーバー |
| XML スキーマ コレクションの作成 | ALTER | 制御サーバー |
| DELETE | CONTROL | 制御サーバー |
| EXECUTE | CONTROL | 制御サーバー |
| EXECUTE ANY EXTERNAL SCRIPT 適用対象: SQL Server 2016 (13.x) |
CONTROL | 制御サーバー |
| INSERT | CONTROL | 制御サーバー |
| データベース接続の終了 適用対象: Azure SQL データベース |
CONTROL | 任意の接続を変更する |
| REFERENCES | CONTROL | 制御サーバー |
| SELECT | CONTROL | 制御サーバー |
| SHOWPLAN | CONTROL | ALTER TRACE |
| クエリ通知をサブスクライブする | CONTROL | 制御サーバー |
| 所有権 | CONTROL | 制御サーバー |
| UNMASK | CONTROL | 制御サーバー |
| UPDATE | CONTROL | 制御サーバー |
| 列暗号化キーを表示する | CONTROL | 任意の定義を表示 |
| マスター キー定義を表示する | CONTROL | 任意の定義を表示 |
| データベースの状態の表示 | CONTROL | サーバー状態を表示 |
| ビューの定義 | CONTROL | 任意の定義を表示 |
Permissions
このステートメントを実行するプリンシパル (または AS オプションで指定したプリンシパル) には、データベースに対する CONTROL 権限、またはデータベースに対する CONTROL 権限を暗黙的に許可する上位レベルの権限が与えられている必要があります。
AS オプションを使用する場合、指定するプリンシパルはデータベースを所有している必要があります。
Examples
A. 証明書を作成する権限を拒否する
次の例では、CREATE CERTIFICATE データベースでの AdventureWorks2025 権限を、ユーザー MelanieK に対して拒否します。
USE AdventureWorks2022;
DENY CREATE CERTIFICATE TO MelanieK;
GO
B. アプリケーション ロールに対して REFERENCES 権限を拒否する
次の例では、REFERENCES データベースでの AdventureWorks2025 権限を、アプリケーション ロール AuditMonitor に対して拒否します。
適用対象: SQL Server 2008 (10.0.x) 以降、SQL Database。
USE AdventureWorks2022;
DENY REFERENCES TO AuditMonitor;
GO
C. CASCADE を指定して VIEW DEFINITION を拒否する
次の例では、VIEW DEFINITION データベースでの AdventureWorks2025 権限を、ユーザー CarmineEs と、CarmineEs が VIEW DEFINITION 権限を許可したすべてのプリンシパルに対して拒否します。
USE AdventureWorks2022;
DENY VIEW DEFINITION TO CarmineEs CASCADE;
GO