SQL Server의 모든 보안 가능 항목에는 보안 주체에게 부여할 수 있는 관련 권한이 있습니다. 이 항목에서는 다음 정보를 제공합니다.
사용 권한 명명 규칙
다음은 명명 권한에 대해 따르는 일반적인 규칙에 대해 설명합니다.
제어
양도받는 사람에게 소유권과 유사한 권한을 부여합니다. 수혜자는 보안 가능 항목에 대해 정의된 모든 권한을 효과적으로 가지고 있습니다. CONTROL이 부여된 보안 주체는 보안 개체에 대한 사용 권한을 부여할 수도 있습니다. SQL Server 보안 모델은 계층적이므로 특정 범위의 CONTROL에는 해당 범위의 모든 보안 개체에 대한 CONTROL이 암시적으로 포함됩니다. 예를 들어 데이터베이스에 대한 CONTROL은 데이터베이스에 대한 모든 권한, 데이터베이스의 모든 어셈블리에 대한 모든 권한, 데이터베이스의 모든 스키마에 대한 모든 권한 및 데이터베이스 내의 모든 스키마 내의 개체에 대한 모든 사용 권한을 의미합니다.
바꾸다
특정 보안 개체의 소유권을 제외한 속성을 변경하는 기능을 부여합니다. 범위에 부여된 경우 ALTER는 해당 범위 내에 포함된 보안 개체를 변경, 생성 또는 삭제하는 기능도 부여합니다. 예를 들어 스키마에 대한 ALTER 권한에는 스키마에서 개체를 만들고, 변경하고, 삭제하는 기능이 포함됩니다.
ALTER ANY <Server Securable>. 여기서 Server Securable은 어떤 서버 보안 요소라도 될 수 있습니다.
서버 보안 개체의 개별 인스턴스를 만들거나 변경하거나 삭제하는 기능을 부여합니다. 예를 들어 ALTER ANY LOGIN은 인스턴스에서 로그인을 만들거나 변경하거나 삭제하는 기능을 부여합니다.
ALTER ANY <데이터베이스 보안 개체>는 데이터베이스 수준에서 보안 가능한 모든 개체를 의미합니다.
데이터베이스 보안 개체의 개별 인스턴스를 생성, ALTER 또는 DROP하는 기능을 부여합니다. 예를 들어 ALTER ANY SCHEMA는 데이터베이스에서 스키마를 만들거나 변경하거나 삭제하는 기능을 부여합니다.
소유권을 취하다
수령인이 부여받은 보안이 가능한 요소의 소유권을 가져올 수 있도록 합니다.
IMPERSONATE <로그인>
수혜자가 로그인을 대리할 수 있도록 합니다.
IMPERSONATE <사용자>
수혜자가 사용자를 가장할 수 있도록 합니다.
CREATE <Server Securable>
수혜자에게 서버 보안 개체를 만들 수 있는 기능을 부여합니다.
CREATE <Database Securable>
수혜자에게 데이터베이스 보안 개체를 생성할 수 있는 권한을 부여합니다.
CREATE <스키마 포함 보안 개체>
스키마 내 보안 개체를 생성할 수 있는 권한을 부여합니다. 그러나 특정 스키마에서 보안 개체를 만들려면 스키마에 대한 ALTER 권한이 필요합니다.
정의 보기
수혜자가 메타데이터에 접근할 수 있도록 합니다.
참고 문헌
테이블에 대한 REFERENCES 권한은 해당 테이블을 참조하는 FOREIGN KEY 제약 조건을 만드는 데 필요합니다.
FUNCTION 또는 VIEW에 해당 개체를 참조하는
WITH SCHEMABINDING절을 포함하려면 개체에 대한 REFERENCES 권한이 필요합니다.
SQL Server 사용 권한 차트
모든 데이터베이스 엔진 사용 권한의 포스터 크기 차트를 pdf 형식으로 보려면 .를 참조하세요 https://github.com/microsoft/sql-server-samples/blob/master/samples/features/security/permissions-posters/Microsoft_SQL_Server_2017_and_Azure_SQL_Database_permissions_infographic.pdf.
특정 보안 개체에 적용할 수 있는 권한
다음 표에서는 사용 권한의 주요 클래스 및 적용할 수 있는 보안 개체의 종류를 나열합니다.
| 허가 | 적용 대상 |
|---|---|
| 선택 | 동의어 테이블 및 열 테이블 반환 함수, Transact-SQL 및 CLR(공용 언어 런타임) 및 열 보기 및 열 |
| 변경 내용 추적 보기 | 테이블 스키마 |
| 업데이트 | 동의어 테이블 및 열 보기 및 열 시퀀스 개체 |
| 참고 문헌 | 스칼라 및 집계 함수(Transact-SQL 및 CLR) 서비스 브로커 대기열 테이블 및 열 테이블 값 함수 (Transact-SQL 및 CLR) 및 열 유형 보기 및 열 시퀀스 개체 |
| 삽입 | 동의어 테이블 및 열 보기 및 열 |
| 삭제 | 동의어 테이블 및 열 보기 및 열 |
| 실행하다 | 프로시저(Transact-SQL 및 CLR) 스칼라 및 집계 함수(Transact-SQL 및 CLR) 동의어 CLR 형식 |
| 받다 | 서비스 브로커 큐 |
| 정의 보기 | 가용성 그룹 프로시저(Transact-SQL 및 CLR) Service Broker 큐 스칼라 및 집계 함수(Transact-SQL 및 CLR) 로그인, 사용자 및 역할 동의어 테이블 테이블 반환 함수(Transact-SQL 및 CLR) 조회수 시퀀스 개체 |
| 바꾸다 | 가용성 그룹 프로시저(Transact-SQL 및 CLR) 스칼라 및 집계 함수(Transact-SQL 및 CLR) 시퀀스 개체 로그인, 사용자 및 역할 Service Broker 큐 테이블 테이블 반환 함수(Transact-SQL 및 CLR) 조회수 |
| 소유권을 장악하다 | 가용성 그룹 역할 프로시저(Transact-SQL 및 CLR) 스칼라 및 집계 함수(Transact-SQL 및 CLR) 서버 역할 동의어 테이블 테이블 값 함수(Transact-SQL 및 CLR) 조회수 시퀀스 개체 |
| 제어 | 가용성 그룹 프로시저(Transact-SQL 및 CLR) 스칼라 및 집계 함수(Transact-SQL 및 CLR) 로그인, 사용자 및 역할 Service Broker 대기열 동의어 테이블 테이블 값 함수(Transact-SQL 및 CLR) 조회수 시퀀스 개체 |
| 사칭하다 | 로그인 및 사용자 |
주의
설치 시 시스템 개체에 부여된 기본 권한은 가능한 위협에 대해 신중하게 평가되며 SQL Server 설치 강화의 일부로 변경할 필요가 없습니다. 시스템 개체에 대한 사용 권한을 변경하면 기능이 제한되거나 중단될 수 있으며 SQL Server 설치가 지원되지 않는 상태로 남을 수 있습니다.
SQL Server 및 SQL Database 사용 권한
다음 표에서는 SQL Server 권한의 전체 목록을 제공합니다. SQL Database 권한은 지원되는 기본 보안 개체에만 사용할 수 있습니다. SQL Database에서는 서버 수준 권한을 부여할 수 없지만, 경우에 따라 데이터베이스 사용 권한을 대신 사용할 수 있습니다.
| 기본 보안 개체 | 기본 보안 가능 요소에 대한 세분화된 권한 | 권한 유형 코드 | 기본 보안 개체를 포함하는 보안 개체 | 기본 보안 개체에 대한 세분화된 권한을 의미하는 컨테이너 보안 개체에 대한 권한 |
|---|---|---|---|---|
| 애플리케이션 역할 | 바꾸다 | 알 (AL) | 데이터베이스 | 애플리케이션 역할 변경 권한 (ALTER ANY APPLICATION ROLE) |
| 애플리케이션 역할 | 제어 | CL | 데이터베이스 | 제어 |
| 애플리케이션 역할 | 정의 보기 | 폭스바겐 | 데이터베이스 | 정의 보기 |
| 의회 | 바꾸다 | 알 (AL) | 데이터베이스 | 모든 어셈블리 수정 |
| 의회 | 제어 | CL | 데이터베이스 | 제어 |
| 의회 | 참고 문헌 | RF | 데이터베이스 | 참고 문헌 |
| 의회 | 책임을 지세요 | 에게 | 데이터베이스 | 제어 |
| 의회 | 정의 보기 | 폭스바겐 | 데이터베이스 | 정의 보기 |
| 비대칭 키 | 바꾸다 | 알 (AL) | 데이터베이스 | ALTER ANY 비대칭 키 |
| 비대칭 키 | 제어 | CL | 데이터베이스 | 제어 |
| 비대칭 키 | 참고 문헌 | RF | 데이터베이스 | 참고 문헌 |
| 비대칭 키 | 소유권을 취하다 | 에게 | 데이터베이스 | 제어 |
| 비대칭 키 | 정의 보기 | 폭스바겐 | 데이터베이스 | 정의 보기 |
| 가용성 그룹 | 바꾸다 | 알 (AL) | 서버 | 가용성 그룹 변경 권한 부여 |
| 가용성 그룹 | 제어 | CL | 서버 | 제어 서버 |
| 가용성 그룹 | 책임을 지다 | 에게 | 서버 | 제어 서버 |
| 가용성 그룹 | 정의 보기 | 폭스바겐 | 서버 | 모든 정의 보기 |
| 증명서 | 바꾸다 | 알 (AL) | 데이터베이스 | 모든 인증서 수정 |
| 증명서 | 제어 | CL | 데이터베이스 | 제어 |
| 증명서 | 참고 문헌 | RF | 데이터베이스 | 참고 문헌 |
| 증명서 | 책임을 맡다 | 에게 | 데이터베이스 | 제어 |
| 증명서 | 정의 보기 | 폭스바겐 | 데이터베이스 | 정의 보기 |
| 계약 | 바꾸다 | 알 (AL) | 데이터베이스 | 모든 계약 변경 |
| 계약 | 제어 | CL | 데이터베이스 | 제어 |
| 계약 | 참고 문헌 | RF | 데이터베이스 | 참고 문헌 |
| 계약 | 소유권을 획득하세요 | 에게 | 데이터베이스 | 제어 |
| 계약 | 정의 보기 | 폭스바겐 | 데이터베이스 | 정의 보기 |
| 데이터베이스 | 바꾸다 | 알 (AL) | 서버 | 모든 데이터베이스 변경 |
| 데이터베이스 | 모든 애플리케이션 역할 변경 | ALAR | 서버 | 제어 서버 |
| 데이터베이스 | 모든 어셈블리 수정 권한 | 아아 | 서버 | 제어 서버 |
| 데이터베이스 | 모든 비대칭 키 ALTER | ALAK | 서버 | 제어 서버 |
| 데이터베이스 | 모든 인증서를 변경하기 | ALCF | 서버 | 컨트롤 서버 |
| 데이터베이스 | 모든 계약 수정 | ALSC | 서버 | 제어 서버 |
| 데이터베이스 | 모든 데이터베이스 감사 변경 | ALDA | 서버 | 서버 감사 수정 권한 (ALTER ANY SERVER AUDIT) |
| 데이터베이스 | 모든 데이터베이스 DDL 트리거 변경 | ALTG | 서버 | 제어 서버 |
| 데이터베이스 | ALTER ANY DATABASE 이벤트 알림 수정 | ALED | 서버 | 어떤 이벤트 알림이라도 변경 |
| 데이터베이스 | 모든 데이터베이스 이벤트 세션 변경 | AADS 참고: SQL Database에만 적용됩니다. |
서버 | 어떤 이벤트 세션 변경 |
| 데이터베이스 | 모든 DATASPACE 변경 | ALDS | 서버 | 제어 서버 |
| 데이터베이스 | 모든 전문 검색 카탈로그 변경 | ALFT | 서버 | 제어 서버 |
| 데이터베이스 | 아무 메시지 형식 변경 | ALMT | 서버 | 제어 서버 |
| 데이터베이스 | 모든 원격 서비스 바인딩 변경 | ALSB | 서버 | 제어 서버 |
| 데이터베이스 | 모든 역할 변경 | ALRL | 서버 | 제어 서버 |
| 데이터베이스 | 모든 경로 변경 | ALRT | 서버 | 제어 서버 |
| 데이터베이스 | 스키마 변경 권한 부여 | ALSM | 서버 | 제어 서버 |
| 데이터베이스 | 모든 보안 정책 변경 | ALSP 참고: SQL Database에만 적용됩니다. |
서버 | 제어 서버 |
| 데이터베이스 | 모든 서비스를 변경 | ALSV | 서버 | 제어 서버 |
| 데이터베이스 | 임의의 대칭 키 수정 | ALSK | 서버 | 제어 서버 |
| 데이터베이스 | 모든 사용자 변경 | ALUS | 서버 | 제어 서버 |
| 데이터베이스 | 인증 | 인증 | 서버 | 서버 인증 |
| 데이터베이스 | 데이터베이스 백업 | BADB | 서버 | 제어 서버 |
| 데이터베이스 | 백업 로그 | BALO | 서버 | 제어 서버 |
| 데이터베이스 | 점검 지점 | CP | 서버 | 제어 서버 |
| 데이터베이스 | 연결하다 | 일산화탄소 | 서버 | 제어 서버 |
| 데이터베이스 | 복제 연결 | 회사 | 서버 | 제어 서버 |
| 데이터베이스 | 제어 | CL | 서버 | 제어 서버 |
| 데이터베이스 | 집계 생성 | CRAG | 서버 | 제어 서버 |
| 데이터베이스 | 어셈블리 생성 | CRAS | 서버 | 제어 서버 |
| 데이터베이스 | 비대칭 키 만들기 | CRAK | 서버 | 제어 서버 |
| 데이터베이스 | 인증서 생성 | CRCF | 서버 | 제어 서버 |
| 데이터베이스 | 계약 작성 | CRSC | 서버 | 제어 서버 |
| 데이터베이스 | 데이터베이스 생성 | CRDB | 서버 | 어떤 데이터베이스든 생성하기 |
| 데이터베이스 | 데이터베이스 DDL 이벤트 알림 생성 | 크레드 | 서버 | CREATE DDL 이벤트 알림 |
| 데이터베이스 | 기본값 생성 | CRDF | 서버 | 제어 서버 |
| 데이터베이스 | 전체 텍스트 카탈로그 만들기 | CRFT | 서버 | 제어 서버 |
| 데이터베이스 | 함수 생성 | CRFN | 서버 | 제어 서버 |
| 데이터베이스 | 메시지 형식 만들기 | CRMT | 서버 | 제어 서버 |
| 데이터베이스 | 프로시저 생성 | CRPR | 서버 | 제어 서버 |
| 데이터베이스 | 큐 생성 | CRQU | 서버 | 제어 서버 |
| 데이터베이스 | 원격 서비스 바인딩 만들기 | CRSB | 서버 | 제어 서버 |
| 데이터베이스 | 역할 생성 | CRRL | 서버 | 제어 서버 |
| 데이터베이스 | 경로 생성 | CRRT | 서버 | 제어 서버 |
| 데이터베이스 | 규칙 생성 | CRRU | 서버 | 컨트롤 서버 |
| 데이터베이스 | 스키마 생성 | CRSM | 서버 | 제어 서버 |
| 데이터베이스 | 서비스 생성 | CRSV | 서버 | 제어 서버 |
| 데이터베이스 | 대칭 키 생성 | CRSK | 서버 | 제어 서버 |
| 데이터베이스 | 동의어 생성 | CRSN | 서버 | 제어 서버 |
| 데이터베이스 | 테이블 생성 | CRTB | 서버 | 제어 서버 |
| 데이터베이스 | 유형 만들기 | CRTY | 서버 | 제어 서버 |
| 데이터베이스 | 보기 만들기 | CRVW | 서버 | 제어 서버 |
| 데이터베이스 | XML 스키마 컬렉션 생성 | CRXS | 서버 | 제어 서버 |
| 데이터베이스 | 삭제 | DL | 서버 | 제어 서버 |
| 데이터베이스 | 실행하다 | 전 | 서버 | 제어 서버 |
| 데이터베이스 | 삽입 | 인도 | 서버 | 제어 서버 |
| 데이터베이스 | 데이터베이스 연결 종료 | KIDC 참고: SQL Database에만 적용됩니다. SQL Server에서 ALTER ANY CONNECTION을 사용합니다. |
서버 | 모든 연결 변경 |
| 데이터베이스 | 참고 문헌 | RF | 서버 | 제어 서버 |
| 데이터베이스 | 선택 | SL | 서버 | 제어 서버 |
| 데이터베이스 | 쇼플랜 | SPLN | 서버 | 추적 변경 |
| 데이터베이스 | 쿼리 알림 구독 | SUQN | 서버 | 컨트롤 서버 |
| 데이터베이스 | 소유권을 취하다 | 에게 | 서버 | 제어 서버 |
| 데이터베이스 | 업데이트 | 위로 | 서버 | 제어 서버 |
| 데이터베이스 | 데이터베이스 상태 보기 | VWDS | 서버 | 서버 상태 보기 |
| 데이터베이스 | 정의 보기 | 폭스바겐 | 서버 | 모든 정의 보기 |
| 엔드포인트 | 바꾸다 | 알 (AL) | 서버 | ALTER ANY ENDPOINT |
| 엔드포인트 | 연결하다 | 일산화탄소 | 서버 | 제어 서버 |
| 엔드포인트 | 제어 | CL | 서버 | 제어 서버 |
| 엔드포인트 | 책임을 지다 | 에게 | 서버 | 제어 서버 |
| 엔드포인트 | 정의 보기 | 폭스바겐 | 서버 | 모든 정의 보기 |
| 전체 텍스트 카탈로그 | 바꾸다 | 알 (AL) | 데이터베이스 | "모든 전문 검색 카탈로그를 변경" |
| 전체 텍스트 카탈로그 | 제어 | CL | 데이터베이스 | 제어 |
| 전체 텍스트 카탈로그 | 참고 문헌 | RF | 데이터베이스 | 참고 문헌 |
| 전체 텍스트 카탈로그 | 책임을 지다 | 에게 | 데이터베이스 | 제어 |
| 전체 텍스트 카탈로그 | 정의 보기 | 폭스바겐 | 데이터베이스 | 정의 보기 |
| FULLTEXT 중지어 목록 | 바꾸다 | 알 (AL) | 데이터베이스 | 전체 텍스트 카탈로그 수정 권한 |
| FULLTEXT 중지어 목록 | 제어 | CL | 데이터베이스 | 제어 |
| FULLTEXT 중지어 목록 | 참고 문헌 | RF | 데이터베이스 | 참고 문헌 |
| FULLTEXT 중지어 목록 | 소유권을 취하다 | 에게 | 데이터베이스 | 제어 |
| FULLTEXT 중지어 목록 | 정의 보기 | 폭스바겐 | 데이터베이스 | 정의 보기 |
| 로그인 | 바꾸다 | 알 (AL) | 서버 | 모든 로그인을 수정하십시오 |
| 로그인 | 제어 | CL | 서버 | 제어 서버 |
| 로그인 | 사칭하다 | 인스턴트 메시지 | 서버 | 제어 서버 |
| 로그인 | 정의 보기 | 폭스바겐 | 서버 | 모든 정의 보기 |
| 메시지 유형 | 바꾸다 | 알 (AL) | 데이터베이스 | 모든 메시지 유형 변경 |
| 메시지 유형 | 제어 | CL | 데이터베이스 | 제어 |
| 메시지 유형 | 참고 문헌 | RF | 데이터베이스 | 참고 문헌 |
| 메시지 유형 | 책임을 맡다 | 에게 | 데이터베이스 | 제어 |
| 메시지 유형 | 정의 보기 | 폭스바겐 | 데이터베이스 | 정의 보기 |
| 객체 | 바꾸다 | 알 (AL) | 스키마 | 바꾸다 |
| 객체 | 제어 | CL | 스키마 | 제어 |
| 객체 | 삭제 | DL | 스키마 | 삭제 |
| 객체 | 실행하다 | EX | 스키마 | 실행하다 |
| 객체 | 삽입 | 인도 | 스키마 | 삽입 |
| 객체 | 받다 | RC | 스키마 | 제어 |
| 객체 | 참고 문헌 | RF | 스키마 | 참고 문헌 |
| 객체 | 선택 | SL | 스키마 | 선택 |
| 객체 | 소유권을 가져가라 | 에게 | 스키마 | 제어 |
| 객체 | 업데이트 | 위로 | 스키마 | 업데이트 |
| 객체 | 변경 내용 추적 보기 | VWCT | 스키마 | 변경 내용 추적 보기 |
| 객체 | 정의 보기 | 폭스바겐 | 스키마 | 정의 보기 |
| 원격 서비스 바인딩 | 바꾸다 | 알 (AL) | 데이터베이스 | 모든 원격 서비스 바인딩 변경 |
| 원격 서비스 바인딩 | 제어 | CL | 데이터베이스 | 제어 |
| 원격 서비스 바인딩 | 소유권을 확보하다 | 에게 | 데이터베이스 | 제어 |
| 원격 서비스 바인딩 | 정의 보기 | 폭스바겐 | 데이터베이스 | 정의 보기 |
| 역할 | 바꾸다 | 알 (AL) | 데이터베이스 | 모든 역할 변경 |
| 역할 | 제어 | CL | 데이터베이스 | 제어 |
| 역할 | 소유권을 취하다 | 에게 | 데이터베이스 | 제어 |
| 역할 | 정의 보기 | 폭스바겐 | 데이터베이스 | 정의 보기 |
| 경로 | 바꾸다 | 알 (AL) | 데이터베이스 | 모든 경로 변경 |
| 경로 | 제어 | CL | 데이터베이스 | 제어 |
| 경로 | 소유권을 가지다 | 에게 | 데이터베이스 | 제어 |
| 경로 | 정의 보기 | 폭스바겐 | 데이터베이스 | 정의 보기 |
| 부동산 검색 목록 | 바꾸다 | 알 (AL) | 서버 | 모든 전체 텍스트 카탈로그 변경 |
| 부동산 검색 목록 | 제어 | CL | 서버 | 제어 |
| 부동산 검색 목록 | 참고 문헌 | RF(라디오 주파수) | 서버 | 참고 문헌 |
| 부동산 검색 목록 | 소유권을 취득하다 | 에게 | 서버 | 제어 |
| 부동산 검색 목록 | 정의 보기 | 폭스바겐 | 서버 | 정의 보기 |
| 스키마 | 바꾸다 | 알 (AL) | 데이터베이스 | 스키마 수정 가능 |
| 스키마 | 제어 | CL | 데이터베이스 | 제어 |
| 스키마 | 시퀀스 생성 | CRSO | 데이터베이스 | 제어 |
| 스키마 | 삭제 | DL | 데이터베이스 | 삭제 |
| 스키마 | 실행하다 | 예 | 데이터베이스 | 실행하다 |
| 스키마 | 삽입 | 인도 | 데이터베이스 | 삽입 |
| 스키마 | 참고 문헌 | RF | 데이터베이스 | 참고 문헌 |
| 스키마 | 선택 | SL | 데이터베이스 | 선택 |
| 스키마 | 소유하세요 | 에게 | 데이터베이스 | 제어 |
| 스키마 | 업데이트 | 위로 | 데이터베이스 | 업데이트 |
| 스키마 | 변경 내용 추적 보기 | VWCT | 데이터베이스 | 변경 내용 추적 보기 |
| 스키마 | 정의 보기 | 폭스바겐 | 데이터베이스 | 정의 보기 |
| 서버 | 대량 작업 관리 | ADBO | 해당 없음 | 해당 없음 |
| 서버 | 연결 변경 권한 부여 | ALCO | 해당 없음 | 해당 없음 |
| 서버 | 모든 자격 증명 변경 | ALCD | 해당 없음 | 해당 없음 |
| 서버 | 모든 데이터베이스 수정 | ALDB | 해당 없음 | 해당 없음 |
| 서버 | 모든 엔드포인트 변경 | ALHE | 해당 없음 | 해당 없음 |
| 서버 | 모든 이벤트 알림 변경 | ALES | 해당 없음 | 해당 없음 |
| 서버 | 모든 이벤트 세션 변경 | AAES | 해당 없음 | 해당 없음 |
| 서버 | 모든 연결된 서버를 변경하기 | ALLS | 해당 없음 | 해당 없음 |
| 서버 | 로그인 변경 권한 부여 | ALLG | 해당 없음 | 해당 없음 |
| 서버 | 모든 서버 감사 항목 변경 | ALAA | 해당 없음 | 해당 없음 |
| 서버 | 모든 서버 역할 수정 | ALSR | 해당 없음 | 해당 없음 |
| 서버 | 가용성 그룹 변경 | ALAG | 해당 없음 | 해당 없음 |
| 서버 | 자원 수정 | ALRS | 해당 없음 | 해당 없음 |
| 서버 | 서버 상태 변경 | ALSS | 해당 없음 | 해당 없음 |
| 서버 | 설정 변경 | ALST | 해당 없음 | 해당 없음 |
| 서버 | 추적 변경 | ALTR | 해당 없음 | 해당 없음 |
| 서버 | 서버 인증 | 인증 | 해당 없음 | 해당 없음 |
| 서버 | 모든 데이터베이스 연결 | CADB | 해당 없음 | 해당 없음 |
| 서버 | SQL 연결 | COSQ | 해당 없음 | 해당 없음 |
| 서버 | 제어 서버 | CL | 해당 없음 | 해당 없음 |
| 서버 | 모든 데이터베이스 생성 | CRDB | 해당 없음 | 해당 없음 |
| 서버 | 사용 가능 그룹 생성 | 크락 | 해당 없음 | 해당 없음 |
| 서버 | CREATE DDL 이벤트 알림 | CRDE | 해당 없음 | 해당 없음 |
| 서버 | 생성 엔드포인트 | CRHE | 해당 없음 | 해당 없음 |
| 서버 | 서버 역할 생성 | CRSR | 해당 없음 | 해당 없음 |
| 서버 | 추적 이벤트 알림 만들기 | CRTE | 해당 없음 | 해당 없음 |
| 서버 | 외부 액세스 어셈블리 | XA | 해당 없음 | 해당 없음 |
| 서버 | 모든 로그인을 사칭합니다. | IAL | 해당 없음 | 해당 없음 |
| 서버 | 모든 사용자 보안 가능한 항목 선택 | SUS | 해당 없음 | 해당 없음 |
| 서버 | 시스템 종료 | SHDN | 해당 없음 | 해당 없음 |
| 서버 | 안전하지 않은 어셈블리 | XU | 해당 없음 | 해당 없음 |
| 서버 | 모든 데이터베이스 보기 | VWDB | 해당 없음 | 해당 없음 |
| 서버 | 모든 정의 보기 | VWAD | 해당 없음 | 해당 없음 |
| 서버 | 서버 상태 보기 | VWSS | 해당 없음 | 해당 없음 |
| 서버 역할 | 바꾸다 | 알 (AL) | 서버 | 모든 서버 역할 변경 |
| 서버 역할 | 제어 | CL | 서버 | 제어 서버 (CONTROL SERVER) |
| 서버 역할 | 책임을 지다 | 에게 | 서버 | 제어 서버 |
| 서버 역할 | 정의 보기 | 폭스바겐 | 서버 | 모든 정의 보기 |
| 서비스 | 바꾸다 | 알 (AL) | 데이터베이스 | 모든 서비스를 변경 |
| 서비스 | 제어 | CL | 데이터베이스 | 제어 |
| 서비스 | 보내기 | SN | 데이터베이스 | 제어 |
| 서비스 | 책임을 지다 | 에게 | 데이터베이스 | 제어 |
| 서비스 | 정의 보기 | 폭스바겐 | 데이터베이스 | 정의 보기 |
| 대칭 키 | 바꾸다 | 알 (AL) | 데이터베이스 | ALTER ANY 대칭키 수정 |
| 대칭 키 | 제어 | CL | 데이터베이스 | 제어 |
| 대칭 키 | 참고 문헌 | RF | 데이터베이스 | 참고 문헌 |
| 대칭 키 | 소유권을 취득하다 | 에게 | 데이터베이스 | 제어 |
| 대칭 키 | 정의 보기 | 폭스바겐 | 데이터베이스 | 정의 보기 |
| 유형 | 제어 | CL | 스키마 | 제어 |
| 유형 | 실행하다 | 전 | 스키마 | 실행하다 |
| 유형 | 참고 문헌 | RF | 스키마 | 참고 문헌 |
| 유형 | 소유권을 취득하다 | 에게 | 스키마 | 제어 |
| 유형 | 정의 보기 | 폭스바겐 | 스키마 | 정의 보기 |
| 사용자 | 바꾸다 | 알 (AL) | 데이터베이스 | 모든 사용자 변경 |
| 사용자 | 제어 | CL | 데이터베이스 | 제어 |
| 사용자 | 사칭하다 | 인스턴트 메시지 | 데이터베이스 | 제어 |
| 사용자 | 정의 보기 | 폭스바겐 | 데이터베이스 | 정의 보기 |
| XML 스키마 컬렉션 | 바꾸다 | 알 (AL) | 스키마 | 바꾸다 |
| XML 스키마 컬렉션 | 제어 | CL | 스키마 | 제어 |
| XML 스키마 컬렉션 | 실행하다 | 전 | 스키마 | 실행하다 |
| XML 스키마 컬렉션 | 참고 문헌 | RF(무선 주파수) | 스키마 | 참고 문헌 |
| XML 스키마 컬렉션 | 책임을 맡다 | 에게 | 스키마 | 제어 |
| XML 스키마 컬렉션 | 정의 보기 | 폭스바겐 | 스키마 | 정의 보기 |
사용 권한 검사 알고리즘 요약
권한 확인은 복잡할 수 있습니다. 사용 권한 검사 알고리즘에는 명시적 및 암시적 사용 권한인 겹치는 그룹 멤버 자격 및 소유권 체인이 포함되며 보안 개체를 포함하는 보안 개체 클래스에 대한 사용 권한의 영향을 받을 수 있습니다. 알고리즘의 일반적인 프로세스는 모든 관련 권한을 수집하는 것입니다. 차단 DENY가 없으면 알고리즘은 충분한 액세스를 제공하는 GRANT를 검색합니다. 알고리즘에는 보안 컨텍스트, 사용 권한 공간 및 필요한 사용 권한의 세 가지 필수 요소가 포함됩니다.
비고
sa, dbo, 엔터티 소유자, information_schema, sys 또는 자신에게 권한을 부여, 거부 또는 취소할 수 없습니다.
보안 컨텍스트
액세스 검사에 권한을 제공하는 보안 주체 그룹입니다. 이러한 권한은 EXECUTE AS 문을 사용하여 보안 컨텍스트가 다른 로그인 또는 사용자로 변경되지 않는 한 현재 로그인 또는 사용자와 관련된 권한입니다. 보안 컨텍스트에는 다음 주요 주체가 포함됩니다.
로그인
사용자
역할별 멤버십
Windows 그룹 멤버 자격
모듈 서명이 사용되는 경우, 사용자가 현재 실행하고 있는 모듈에 서명하는 데 사용된 인증서와 관련된 로그인 또는 사용자 계정, 그리고 그 보안 주체의 연결된 역할 구성원이 포함됩니다.
사용 권한 공간
이는 보안 가능한 개체 및 보안 가능한 개체를 포함하는 모든 보안 클래스입니다. 예를 들어 테이블(보안 개체)은 스키마 보안 개체 클래스와 데이터베이스 보안 개체 클래스에 의해 포함됩니다. 액세스는 테이블, 스키마, 데이터베이스 및 서버 수준 권한의 영향을 받을 수 있습니다. 자세한 내용은 사용 권한 계층(데이터베이스 엔진)을 참조하세요.
필요한 권한
필요한 사용 권한의 종류입니다. 예를 들어 INSERT, UPDATE, DELETE, SELECT, EXECUTE, ALTER, CONTROL 등이 있습니다.
다음 예제와 같이 액세스에 여러 권한이 필요할 수 있습니다.
저장 프로시저에는 저장 프로시저에 대한 EXECUTE 권한과 저장 프로시저에서 참조하는 여러 테이블에 대한 INSERT 권한이 모두 필요할 수 있습니다.
동적 관리 뷰에는 뷰에 대한 VIEW SERVER STATE 및 SELECT 권한이 모두 필요할 수 있습니다.
알고리즘의 일반 단계
알고리즘이 보안 개체에 대한 액세스를 허용할지 여부를 결정할 때 사용하는 정확한 단계는 보안 주체 및 관련된 보안 개체에 따라 달라질 수 있습니다. 그러나 알고리즘은 다음과 같은 일반적인 단계를 수행합니다.
로그인이 sysadmin 고정 서버 역할의 멤버인지 또는 사용자가 현재 데이터베이스의 dbo 사용자인지 여부를 권한 검사를 무시합니다.
소유권 체인이 적용 가능하고 체인의 앞부분에 있는 개체에 대한 액세스 확인이 보안 검사를 통과한 경우 액세스를 허용합니다.
호출자와 연결된 서버 수준, 데이터베이스 수준 및 서명된 모듈 ID를 집계하여 보안 컨텍스트를 만듭니다.
해당 보안 컨텍스트의 경우 사용 권한 공간에 대해 부여되거나 거부된 모든 권한을 수집합니다. 권한은 GRANT, GRANT WITH GRANT, 또는 DENY로 명시적으로 지정할 수 있습니다. 또한, 권한은 암시적이거나 GRANT 또는 DENY를 포함하는 권한일 수 있습니다. 예를 들어 스키마에 대한 CONTROL 권한은 테이블에 대한 CONTROL을 의미합니다. 테이블의 CONTROL은 SELECT를 의미합니다. 따라서 스키마에 대한 CONTROL이 부여된 경우 테이블에 대한 SELECT가 부여됩니다. 테이블에서 CONTROL이 거부된 경우 테이블의 SELECT가 거부됩니다.
비고
열 수준 권한에 대한 GRANT는 개체 수준의 DENY를 무효화합니다.
필요한 사용 권한을 식별합니다.
필요한 권한이권한 공간 내의 개체에 대한 보안 컨텍스트의 ID에 직접 또는 암시적으로 거부되면 권한 검사에 실패합니다.
필요한 사용 권한이 거부되지 않았으며 권한 공간의 모든 개체에 대해 보안 컨텍스트의 ID에 직접적으로 또는 암시적으로 GRANT 또는 GRANT WITH GRANT 권한이 포함되어 있는 경우, 사용 권한 검사를 통과합니다.
예시
이 섹션의 예제에서는 사용 권한 정보를 검색하는 방법을 보여 줍니다.
A. 부여할 수 있는 권한의 전체 목록 반환
다음 문은 함수를 사용하여 모든 데이터베이스 엔진 권한을 반환합니다 fn_builtin_permissions . 자세한 내용은 sys.fn_builtin_permissions(Transact-SQL)를 참조하세요.
SELECT * FROM fn_builtin_permissions(default);
GO
B. 특정 개체 클래스에 대한 사용 권한 반환
다음 예제에서는 fn_builtin_permissions를 사용하여 보안 개체 범주에 사용할 수 있는 모든 권한을 봅니다. 이 예제에서는 어셈블리에 대한 사용 권한을 반환합니다.
SELECT * FROM fn_builtin_permissions('assembly');
GO
C. 개체의 실행 주체에 부여된 사용 권한 반환
다음 예제에서는 호출 주체가 지정된 보안 개체에 보유하는 유효 사용 권한 목록을 반환하는 데 사용합니다 fn_my_permissions . 이 예제에서는 명명 Orders55된 개체에 대한 사용 권한을 반환합니다. 자세한 내용은 sys.fn_my_permissions(Transact-SQL)를 참조하세요.
SELECT * FROM fn_my_permissions('Orders55', 'object');
GO
D. 지정된 개체에 적용할 수 있는 사용 권한 반환
다음 예제에서는 호출 Yttrium된 개체에 적용할 수 있는 권한을 반환합니다. 기본 제공 함수 OBJECT_ID 는 개체 Yttrium의 ID를 검색하는 데 사용됩니다.
SELECT * FROM sys.database_permissions
WHERE major_id = OBJECT_ID('Yttrium');
GO