適用対象:
SQL ServerAzure SQL DatabaseAzure SQL Managed InstanceAzure Synapse AnalyticsAnalytics Platform System (PDW)Microsoft Fabric の SQL 分析エンドポイントMicrosoft Fabric のウェアハウスMicrosoft Fabric の SQL データベース
SQL Server のデータベースに対する権限を付与します。
Syntax
GRANT <permission> [ ,...n ]
TO <database_principal> [ ,...n ] [ WITH GRANT OPTION ]
[ AS <database_principal> ]
<permission>::=
permission | ALL [ PRIVILEGES ]
<database_principal> ::=
Database_user
| Database_role
| Application_role
| Database_user_mapped_to_Windows_User
| Database_user_mapped_to_Windows_Group
| Database_user_mapped_to_certificate
| Database_user_mapped_to_asymmetric_key
| Database_user_with_no_login
Arguments
permission: データベースで許可できる権限を指定します。 権限の一覧については、後の「解説」を参照してください。
ALL: このオプションに設定しても、可能な権限がすべて許可されるわけではありません。 ALL を指定すると、次のアクセス許可が許可されます。BACKUP DATABASE、BACKUP LOG、CREATE DEFAULT、CREATE FUNCTION、CREATE PROCEDURE、CREATE RULE、CREATE TABLE、CREATE VIEW。
PRIVILEGES: ANSI-92 準拠のために用意されています。 ALL の動作は変更されません。
WITH GRANT OPTION: 権限が許可されたプリンシパルが、この権限を他のプリンシパルにも許可できることを示します。
AS
Database_user: データベース ユーザーを指定します。
Database_role: データベース ロールを指定します。
Application_role適用対象: SQL Server 2008 (10.0.x) 以降、SQL Database
アプリケーション ロールを指定します。
Database_user_mapped_to_Windows_User適用対象: SQL Server 2008 (10.0.x) 以降
Windows ユーザーにマップされているデータベース ユーザーを指定します。
Database_user_mapped_to_Windows_Group適用対象: SQL Server 2008 (10.0.x) 以降
Windows グループにマップされているデータベース ユーザーを指定します。
Database_user_mapped_to_certificate適用対象: SQL Server 2008 (10.0.x) 以降
証明書にマップされているデータベース ユーザーを指定します。
Database_user_mapped_to_asymmetric_key適用対象: SQL Server 2008 (10.0.x) 以降
非対称キーにマップされているデータベース ユーザーを指定します。
Database_user_with_no_login: 対応するサーバー レベルのプリンシパルがないデータベース ユーザーを指定します。
Remarks
Important
権限許可対象ユーザーは、ALTER 権限と REFERENCE 権限を組み合わせて使用することで、データを表示したり、許可されていない関数を実行できる場合があります。 次に例を示します。テーブルの ALTER 権限と関数の REFERENCE 権限を持つユーザーは、関数を介した計算列を作成して実行できます。 この場合、ユーザーには計算列の SELECT 権限も必要です。
データベースは、セキュリティ保護可能なリソースで、権限の階層で親となっているサーバーに含まれています。 次の表に、データベースで許可できる権限のうち最も限定的なものを、それらを暗黙的に含む一般的な権限と共に示します。
| データベース許可 | 権限が含まれるデータベース権限 | 権限が含まれるサーバー権限 |
|---|---|---|
| データベースの一括処理の管理 適用対象: SQL Database。 |
CONTROL | 制御サーバー |
| ALTER | CONTROL | 任意のデータベースを変更する |
| 任意のアプリケーション ロールを変更する | ALTER | 制御サーバー |
| 任意のアセンブリを変更 | ALTER | 制御サーバー |
| 非対称キーを変更する | ALTER | 制御サーバー |
| 任意の証明書を変更する | ALTER | 制御サーバー |
| 任意の列の暗号化キーを変更します。 | ALTER | 制御サーバー |
| 任意のカラムマスターキー定義を変更する | ALTER | 制御サーバー |
| 任意の契約を変更する | ALTER | 制御サーバー |
| 任意のデータベース監査の変更 | ALTER | サーバー監査の変更許可 |
| ALTER ANY DATABASE DDL トリガー | ALTER | 制御サーバー |
| 任意のデータベースイベント通知を変更する | ALTER | 任意のイベント通知を変更する |
| ALTER ANY DATABASE イベント セッション 適用対象: SQL Database。 |
ALTER | 任意のイベントセッションを変更する |
| いずれのデータベース スコープ設定も変更する 適用対象: SQL Server 2016 (13.x) 以降、SQL Database。 |
CONTROL | 制御サーバー |
| 任意のデータスペースを変更する | ALTER | 制御サーバー |
| すべての外部データ ソースを変更します。 | ALTER | 制御サーバー |
| 任意の外部のファイル形式を変更します。 | ALTER | 制御サーバー |
| ALTER ANY EXTERNAL LIBRARY 適用対象: SQL Server 2017 (14.x) |
CONTROL | 制御サーバー |
| 任意のフルテキストカタログを変更 | ALTER | 制御サーバー |
| 任意のマスクを変更します。 | CONTROL | 制御サーバー |
| 任意のメッセージ型を変更する | ALTER | 制御サーバー |
| 任意のリモートサービスバインディングを変更する | ALTER | 制御サーバー |
| あらゆるロールを変更する | ALTER | 制御サーバー |
| 任意のルートを変更 | ALTER | 制御サーバー |
| 任意のスキーマを変更する | ALTER | 制御サーバー |
| すべてのセキュリティ ポリシーを変更します。 適用対象: Azure SQL データベース |
CONTROL | 制御サーバー |
| あらゆる感度分類を変更する 適用対象: SQL Server (SQL Server 2019 以降)、Azure SQL Database。 |
CONTROL | 制御サーバー |
| 任意のサービスを変更する | ALTER | 制御サーバー |
| 対称鍵の変更可能 | ALTER | 制御サーバー |
| 任意のユーザーを変更する | ALTER | 制御サーバー |
| AUTHENTICATE | CONTROL | サーバーの認証 |
| データベースをバックアップ | CONTROL | 制御サーバー |
| バックアップ ログ | CONTROL | 制御サーバー |
| CHECKPOINT | CONTROL | 制御サーバー |
| CONNECT | コネクト・レプリケーション | 制御サーバー |
| コネクト・レプリケーション | CONTROL | 制御サーバー |
| CONTROL | CONTROL | 制御サーバー |
| 集計関数を作成する | ALTER | 制御サーバー |
| 外部ライブラリを作成する 適用対象: SQL Server 2017 (14.x) |
CONTROL | 制御サーバー |
| アセンブリを作成 | 任意のアセンブリを変更 | 制御サーバー |
| 非対称キーを作成する | 非対称キーを変更する | 制御サーバー |
| 証明書の作成 | 任意の証明書を変更する | 制御サーバー |
| 契約を作成 | 任意の契約を変更する | 制御サーバー |
| データベースを作成 | CONTROL | 任意のデータベースを作成する |
| データベースDDLイベント通知の作成 | 任意のデータベースイベント通知を変更する | CREATE DDL イベント通知 |
| デフォルトを作成する | ALTER | 制御サーバー |
| フルテキスト カタログの作成 | 任意のフルテキストカタログを変更 | 制御サーバー |
| CREATE 関数 | ALTER | 制御サーバー |
| メッセージの種類を作成する | 任意のメッセージ型を変更する | 制御サーバー |
| プロシージャを作成 | ALTER | 制御サーバー |
| キューを作成 | ALTER | 制御サーバー |
| リモート サービス バインディングを作成する | 任意のリモートサービスバインディングを変更する | 制御サーバー |
| 役割を作成 | あらゆるロールを変更する | 制御サーバー |
| ルートを作成 | 任意のルートを変更 | 制御サーバー |
| ルールを作成 | ALTER | 制御サーバー |
| スキーマを作成 (CREATE SCHEMA) | 任意のスキーマを変更する | 制御サーバー |
| サービスを作成 | 任意のサービスを変更する | 制御サーバー |
| 対称キーの作成 | 対称鍵の変更可能 | 制御サーバー |
| シノニムの作成 | ALTER | 制御サーバー |
| CREATE TABLE | ALTER | 制御サーバー |
| タイプの作成 | ALTER | 制御サーバー |
| ビューを作成 | ALTER | 制御サーバー |
| XML スキーマ コレクションの作成 | ALTER | 制御サーバー |
| DELETE | CONTROL | 制御サーバー |
| EXECUTE | CONTROL | 制御サーバー |
| 外部エンドポイントを実行する 適用対象: Azure SQL データベース |
CONTROL | 制御サーバー |
| EXECUTE ANY EXTERNAL SCRIPT 適用対象: SQL Server 2016 (13.x) |
CONTROL | 制御サーバー |
| 外部スクリプトを実行する 適用対象: SQL Server 2019 (15.x)。 |
外部スクリプトを実行する | 制御サーバー |
| INSERT | CONTROL | 制御サーバー |
| データベース接続の終了 適用対象: Azure SQL データベース |
CONTROL | 任意の接続を変更する |
| REFERENCES | CONTROL | 制御サーバー |
| SELECT | CONTROL | 制御サーバー |
| SHOWPLAN | CONTROL | ALTER TRACE |
| クエリ通知をサブスクライブする | CONTROL | 制御サーバー |
| 所有権 | CONTROL | 制御サーバー |
| UNMASK | CONTROL | 制御サーバー |
| UPDATE | CONTROL | 制御サーバー |
| 列の暗号化キーの定義を表示します。 | CONTROL | 任意の定義を表示 |
| 任意の列のマスター_キーの定義の表示 | CONTROL | 任意の定義を表示 |
| データベースの状態の表示 | CONTROL | サーバー状態を表示 |
| ビューの定義 | CONTROL | 任意の定義を表示 |
Permissions
権限の許可者 (または AS オプションで指定されたプリンシパル) は、GRANT OPTION によって与えられた権限を保持しているか、権限が暗黙的に与えられる上位の権限を保持している必要があります。
AS オプションを使用している場合は、次の追加要件があります。
| granting_principal | 必要な追加権限 |
|---|---|
| データベース ユーザー | ユーザーに対する IMPERSONATE 権限、db_securityadmin 固定データベース ロールのメンバーシップ、db_owner 固定データベース ロールのメンバーシップ、または sysadmin 固定サーバー ロールのメンバーシップ。 |
| Windows ログインにマップされているデータベース ユーザー | ユーザーに対する IMPERSONATE 権限、db_securityadmin 固定データベース ロールのメンバーシップ、db_owner 固定データベース ロールのメンバーシップ、または sysadmin 固定サーバー ロールのメンバーシップ。 |
| Windows グループにマップされているデータベース ユーザー | Windows グループのメンバーシップ、db_securityadmin 固定データベース ロールのメンバーシップ、db_owner 固定データベース ロールのメンバーシップ、または sysadmin 固定サーバー ロールのメンバーシップ。 |
| 証明書にマップされているデータベース ユーザー | db_securityadmin 固定データベース ロールのメンバーシップ、db_owner 固定データベース ロールのメンバーシップ、または sysadmin 固定サーバー ロールのメンバーシップ。 |
| 非対称キーにマップされているデータベース ユーザー | db_securityadmin 固定データベース ロールのメンバーシップ、db_owner 固定データベース ロールのメンバーシップ、または sysadmin 固定サーバー ロールのメンバーシップ。 |
| サーバー プリンシパルにマップされていないデータベース ユーザー | ユーザーに対する IMPERSONATE 権限、db_securityadmin 固定データベース ロールのメンバーシップ、db_owner 固定データベース ロールのメンバーシップ、または sysadmin 固定サーバー ロールのメンバーシップ。 |
| データベース ロール | ロールに対する ALTER 権限、db_securityadmin 固定データベース ロールのメンバーシップ、db_owner 固定データベース ロールのメンバーシップ、または sysadmin 固定サーバー ロールのメンバーシップ。 |
| アプリケーション ロール | ロールに対する ALTER 権限、db_securityadmin 固定データベース ロールのメンバーシップ、db_owner 固定データベース ロールのメンバーシップ、または sysadmin 固定サーバー ロールのメンバーシップ。 |
オブジェクトの所有者は、所有するオブジェクトの権限を許可できます。 セキュリティ保護可能なリソースに対して CONTROL 権限があるプリンシパルは、そのリソースの権限を許可できます。
sysadmin 固定サーバー ロールのメンバーなど、CONTROL SERVER 権限が許可されているユーザーは、サーバー内のセキュリティ保護可能なリソースに対する権限を許可できます。
Examples
A. テーブルを作成する権限を許可する
次の例では、CREATE TABLE データベースでの AdventureWorks 権限を、ユーザー MelanieK に対して許可します。
USE AdventureWorks;
GRANT CREATE TABLE TO MelanieK;
GO
B. SHOWPLAN 権限をアプリケーション ロールに許可する
次の例では、SHOWPLAN データベースでの AdventureWorks2025 権限を、アプリケーション ロール AuditMonitor に対して許可します。
適用対象: SQL Server 2008 (10.0.x)、SQL Database
USE AdventureWorks2022;
GRANT SHOWPLAN TO AuditMonitor;
GO
C. GRANT OPTION を指定して CREATE VIEW 権限を許可する
次の例では、ユーザー CREATE VIEW に対して、AdventureWorks2025 データベースでの CarmineEs 権限を許可すると共に、他のプリンシパルに CREATE VIEW を許可する権利を与えます。
USE AdventureWorks2022;
GRANT CREATE VIEW TO CarmineEs WITH GRANT OPTION;
GO
D. データベース ユーザーに CONTROL 権限を許可する
次の例では、CONTROL データベースでの AdventureWorks2025 権限を、データベース ユーザー Sarah に対して許可します。 ユーザーはデータベース内に存在する必要があり、コンテキストはデータベースに設定されている必要があります。
USE AdventureWorks2022;
GRANT CONTROL ON DATABASE::AdventureWorks2022 TO Sarah;
GO