다음을 통해 공유


사용 권한(데이터베이스 엔진)

모든 SQL Server 보안 개체에는 보안 주체에 부여될 수 있는 연결된 사용 권한이 있습니다. 이 항목에서는 다음 정보를 제공합니다.

  • 사용 권한 명명 규칙

  • 특정 보안 개체와 관련된 사용 권한

  • SQL Server 사용 권한

  • 사용 권한 검사 알고리즘

사용 권한 명명 규칙

다음은 사용 권한 이름 지정에 대한 일반적인 규칙 설명입니다.

  • CONTROL

    소유권과 같은 기능을 피부여자에게 줍니다. 피부여자는 보안 개체에 정의된 모든 사용 권한을 효율적으로 갖습니다. CONTROL이 부여된 보안 주체는 또한 보안 개체에 사용 권한을 부여할 수 있습니다. SQL Server 보안 모델은 계층적이기 때문에 특정 범위에서 CONTROL에는 해당 범위 하의 모든 보안 개체에 대한 CONTROL이 내재적으로 포함됩니다. 예를 들어 데이터베이스의 CONTROL은 해당 데이터베이스에 대한 모든 사용 권한, 데이터베이스의 모든 어셈블리에 대한 모든 사용 권한, 데이터베이스의 모든 스키마에 대한 모든 사용 권한 및 데이터베이스 내의 모든 스키마 내에 있는 개체에 대한 모든 사용 권한을 나타냅니다.

  • ALTER

    특정 보안 개체의 소유권을 제외한 속성을 변경할 수 있는 사용 권한을 줍니다. 범위에 부여된 경우 ALTER는 또한 해당 범위 내에 포함된 임의의 보안 개체를 변경하고, 만들고, 삭제할 수 있는 기능을 부여합니다. 예를 들어 스키마의 ALTER 사용 권한에는 스키마에서 개체를 만들고, 변경하고, 삭제할 수 있는 기능이 포함됩니다.

  • ALTER ANY <Server Securable>(여기서 Server Securable은 임의의 서버 보안 개체)

    Server Securable의 개별 인스턴스를 만들거나 변경하거나 삭제할 수 있는 기능을 제공합니다. 예를 들어 ALTER ANY LOGIN은 항목의 모든 로그인을 만들거나 변경하거나 삭제할 수 있는 기능을 제공합니다.

  • ALTER ANY <Database Securable>(여기서 Database Securable은 데이터베이스 수준의 임의의 보안 개체)

    Database Securable의 개별 인스턴스를 만들거나(CREATE) 변경하거나(ALTER) 삭제(DROP)할 수 있는 기능을 제공합니다. 예를 들어 ALTER ANY SCHEMA는 데이터베이스의 모든 스키마를 만들거나 변경하거나 삭제할 수 있는 기능을 제공합니다.

  • TAKE OWNERSHIP

    피부여자가 부여된 보안 개체의 소유권을 갖도록 합니다.

  • IMPERSONATE <Login>

    피부여자가 로그인을 가장하도록 합니다.

  • IMPERSONATE <User>

    피부여자가 사용자를 가장하도록 합니다.

  • CREATE <Server Securable>

    피부여자에게 Server Securable을 만들 수 있는 기능을 제공합니다.

  • CREATE <Database Securable>

    피부여자에게 Database Securable을 만들 수 있는 기능을 제공합니다.

  • CREATE <Schema-contained Securable>

    스키마가 포함된 보안 개체를 만들 수 있는 기능을 제공합니다. 하지만 특정 스키마에 보안 개체를 만들려면 스키마에 대한 ALTER 권한이 필요합니다.

  • VIEW DEFINITION

    피부여자가 메타데이터에 액세스하도록 합니다.

  • REFERENCES

    테이블에 대한 REFERENCES 권한은 해당 테이블을 참조하는 FOREIGN KEY 제약 조건을 만드는 데 필요합니다.

    개체에 대한 REFERENCES 권한은 해당 개체를 참조하는 WITH SCHEMABINDING 절을 사용하여 FUNCTION 또는 VIEW를 만드는 데 필요합니다.

SQL Server 사용 권한의 차트

모든 데이터베이스 엔진 사용 권한에 대한 pdf 형식의 포스터 크기 차트는 https://go.microsoft.com/fwlink/?LinkId=229142를 참조하십시오.

특정 보안 개체에 적용 가능한 사용 권한

다음 표에서는 주요 사용 권한 클래스와 사용 권한이 적용될 수 있는 보안 개체 종류를 나열합니다.

사용 권한

적용 대상

SELECT

동의어

테이블 및 열

테이블 반환 함수, Transact-SQL 및 CLR(공용 언어 런타임) 및 열

뷰 및 열

VIEW CHANGE TRACKING

테이블

스키마

UPDATE

동의어

테이블 및 열

뷰 및 열

REFERENCES

스칼라 및 집계 함수(Transact-SQL 및 CLR)

Service Broker 큐

테이블 및 열

테이블 반환 함수(Transact-SQL 및 CLR) 및 열

유형

뷰 및 열

INSERT

동의어

테이블 및 열

뷰 및 열

DELETE

동의어

테이블 및 열

뷰 및 열

EXECUTE

프로시저(Transact-SQL 및 CLR)

스칼라 및 집계 함수(Transact-SQL 및 CLR)

동의어

CLR 유형

RECEIVE

Service Broker 큐

VIEW DEFINITION

프로시저(Transact-SQL 및 CLR)

Service Broker 큐

스칼라 및 집계 함수(Transact-SQL 및 CLR)

동의어

테이블

테이블 반환 함수(Transact-SQL 및 CLR)

ALTER

프로시저(Transact-SQL 및 CLR)

스칼라 및 집계 함수(Transact-SQL 및 CLR)

Service Broker 큐

테이블

테이블 반환 함수(Transact-SQL 및 CLR)

TAKE OWNERSHIP

프로시저(Transact-SQL 및 CLR)

스칼라 및 집계 함수(Transact-SQL 및 CLR)

동의어

테이블

테이블 반환 함수(Transact-SQL 및 CLR)

CONTROL

프로시저(Transact-SQL 및 CLR)

스칼라 및 집계 함수(Transact-SQL 및 CLR)

Service Broker 큐

동의어

테이블

테이블 반환 함수(Transact-SQL 및 CLR)

SQL Server 사용 권한

다음 표에서는 SQL Server 사용 권한의 전체 목록을 제공합니다.

기본 보안 개체

기본 보안 개체에 대한 세부적 사용 권한

사용 권한 유형 코드

기본 보안 개체를 포함하는 보안 개체

기본 보안 개체의 세부적 사용 권한을 나타내는 컨테이너 보안 개체의 사용 권한

APPLICATION ROLE

ALTER

AL

DATABASE

ALTER ANY APPLICATION ROLE

APPLICATION ROLE

CONTROL

CL

DATABASE

CONTROL

APPLICATION ROLE

VIEW DEFINITION

VW

DATABASE

VIEW DEFINITION

ASSEMBLY

ALTER

AL

DATABASE

ALTER ANY ASSEMBLY

ASSEMBLY

CONTROL

CL

DATABASE

CONTROL

ASSEMBLY

REFERENCES

RF

DATABASE

REFERENCES

ASSEMBLY

TAKE OWNERSHIP

TO

DATABASE

CONTROL

ASSEMBLY

VIEW DEFINITION

VW

DATABASE

VIEW DEFINITION

ASYMMETRIC KEY

ALTER

AL

DATABASE

ALTER ANY ASYMMETRIC KEY

ASYMMETRIC KEY

CONTROL

CL

DATABASE

CONTROL

ASYMMETRIC KEY

REFERENCES

RF

DATABASE

REFERENCES

ASYMMETRIC KEY

TAKE OWNERSHIP

TO

DATABASE

CONTROL

ASYMMETRIC KEY

VIEW DEFINITION

VW

DATABASE

VIEW DEFINITION

CERTIFICATE

ALTER

AL

DATABASE

ALTER ANY CERTIFICATE

CERTIFICATE

CONTROL

CL

DATABASE

CONTROL

CERTIFICATE

REFERENCES

RF

DATABASE

REFERENCES

CERTIFICATE

TAKE OWNERSHIP

TO

DATABASE

CONTROL

CERTIFICATE

VIEW DEFINITION

VW

DATABASE

VIEW DEFINITION

CONTRACT

ALTER

AL

DATABASE

ALTER ANY CONTRACT

CONTRACT

CONTROL

CL

DATABASE

CONTROL

CONTRACT

REFERENCES

RF

DATABASE

REFERENCES

CONTRACT

TAKE OWNERSHIP

TO

DATABASE

CONTROL

CONTRACT

VIEW DEFINITION

VW

DATABASE

VIEW DEFINITION

DATABASE

ALTER

AL

SERVER

ALTER ANY DATABASE

DATABASE

ALTER ANY APPLICATION ROLE

ALAR

SERVER

CONTROL SERVER

DATABASE

ALTER ANY ASSEMBLY

ALAS

SERVER

CONTROL SERVER

DATABASE

ALTER ANY ASYMMETRIC KEY

ALAK

SERVER

CONTROL SERVER

DATABASE

ALTER ANY CERTIFICATE

ALCF

SERVER

CONTROL SERVER

DATABASE

ALTER ANY CONTRACT

ALSC

SERVER

CONTROL SERVER

DATABASE

ALTER ANY DATABASE AUDIT

ALDA

SERVER

ALTER ANY SERVER AUDIT

DATABASE

ALTER ANY DATABASE DDL TRIGGER

ALTG

SERVER

CONTROL SERVER

DATABASE

ALTER ANY DATABASE EVENT NOTIFICATION

ALED

SERVER

ALTER ANY EVENT NOTIFICATION

DATABASE

ALTER ANY DATASPACE

ALDS

SERVER

CONTROL SERVER

DATABASE

ALTER ANY FULLTEXT CATALOG

ALFT

SERVER

CONTROL SERVER

DATABASE

ALTER ANY MESSAGE TYPE

ALMT

SERVER

CONTROL SERVER

DATABASE

ALTER ANY REMOTE SERVICE BINDING

ALSB

SERVER

CONTROL SERVER

DATABASE

ALTER ANY ROLE

ALRL

SERVER

CONTROL SERVER

DATABASE

ALTER ANY ROUTE

ALRT

SERVER

CONTROL SERVER

DATABASE

ALTER ANY SCHEMA

ALSM

SERVER

CONTROL SERVER

DATABASE

ALTER ANY SERVICE

ALSV

SERVER

CONTROL SERVER

DATABASE

ALTER ANY SYMMETRIC KEY

ALSK

SERVER

CONTROL SERVER

DATABASE

ALTER ANY USER

ALUS

SERVER

CONTROL SERVER

DATABASE

AUTHENTICATE

AUTH

SERVER

AUTHENTICATE SERVER

DATABASE

BACKUP DATABASE

BADB

SERVER

CONTROL SERVER

DATABASE

BACKUP LOG

BALO

SERVER

CONTROL SERVER

DATABASE

CHECKPOINT

CP

SERVER

CONTROL SERVER

DATABASE

CONNECT

CO

SERVER

CONTROL SERVER

DATABASE

CONNECT REPLICATION

CORP

SERVER

CONTROL SERVER

DATABASE

CONTROL

CL

SERVER

CONTROL SERVER

DATABASE

CREATE AGGREGATE

CRAG

SERVER

CONTROL SERVER

DATABASE

CREATE ASSEMBLY

CRAS

SERVER

CONTROL SERVER

DATABASE

CREATE ASYMMETRIC KEY

CRAK

SERVER

CONTROL SERVER

DATABASE

CREATE CERTIFICATE

CRCF

SERVER

CONTROL SERVER

DATABASE

CREATE CONTRACT

CRSC

SERVER

CONTROL SERVER

DATABASE

CREATE DATABASE

CRDB

SERVER

CREATE ANY DATABASE

DATABASE

CREATE DATABASE DDL EVENT NOTIFICATION

CRED

SERVER

CREATE DDL EVENT NOTIFICATION

DATABASE

CREATE DEFAULT

CRDF

SERVER

CONTROL SERVER

DATABASE

CREATE FULLTEXT CATALOG

CRFT

SERVER

CONTROL SERVER

DATABASE

CREATE FUNCTION

CRFN

SERVER

CONTROL SERVER

DATABASE

CREATE MESSAGE TYPE

CRMT

SERVER

CONTROL SERVER

DATABASE

CREATE PROCEDURE

CRPR

SERVER

CONTROL SERVER

DATABASE

CREATE QUEUE

CRQU

SERVER

CONTROL SERVER

DATABASE

CREATE REMOTE SERVICE BINDING

CRSB

SERVER

CONTROL SERVER

DATABASE

CREATE ROLE

CRRL

SERVER

CONTROL SERVER

DATABASE

CREATE ROUTE

CRRT

SERVER

CONTROL SERVER

DATABASE

CREATE RULE

CRRU

SERVER

CONTROL SERVER

DATABASE

CREATE SCHEMA

CRSM

SERVER

CONTROL SERVER

DATABASE

CREATE SERVICE

CRSV

SERVER

CONTROL SERVER

DATABASE

CREATE SYMMETRIC KEY

CRSK

SERVER

CONTROL SERVER

DATABASE

CREATE SYNONYM

CRSN

SERVER

CONTROL SERVER

DATABASE

CREATE TABLE

CRTB

SERVER

CONTROL SERVER

DATABASE

CREATE TYPE

CRTY

SERVER

CONTROL SERVER

DATABASE

CREATE VIEW

CRVW

SERVER

CONTROL SERVER

DATABASE

CREATE XML SCHEMA COLLECTION

CRXS

SERVER

CONTROL SERVER

DATABASE

DELETE

DL

SERVER

CONTROL SERVER

DATABASE

EXECUTE

EX

SERVER

CONTROL SERVER

DATABASE

INSERT

IN

SERVER

CONTROL SERVER

DATABASE

REFERENCES

RF

SERVER

CONTROL SERVER

DATABASE

SELECT

SL

SERVER

CONTROL SERVER

DATABASE

SHOWPLAN

SPLN

SERVER

ALTER TRACE

DATABASE

SUBSCRIBE QUERY NOTIFICATIONS

SUQN

SERVER

CONTROL SERVER

DATABASE

TAKE OWNERSHIP

TO

SERVER

CONTROL SERVER

DATABASE

UPDATE

UP

SERVER

CONTROL SERVER

DATABASE

VIEW DATABASE STATE

VWDS

SERVER

VIEW SERVER STATE

DATABASE

VIEW DEFINITION

VW

SERVER

VIEW ANY DEFINITION

ENDPOINT

ALTER

AL

SERVER

ALTER ANY ENDPOINT

ENDPOINT

CONNECT

CO

SERVER

CONTROL SERVER

ENDPOINT

CONTROL

CL

SERVER

CONTROL SERVER

ENDPOINT

TAKE OWNERSHIP

TO

SERVER

CONTROL SERVER

ENDPOINT

VIEW DEFINITION

VW

SERVER

VIEW ANY DEFINITION

FULLTEXT CATALOG

ALTER

AL

DATABASE

ALTER ANY FULLTEXT CATALOG

FULLTEXT CATALOG

CONTROL

CL

DATABASE

CONTROL

FULLTEXT CATALOG

REFERENCES

RF

DATABASE

REFERENCES

FULLTEXT CATALOG

TAKE OWNERSHIP

TO

DATABASE

CONTROL

FULLTEXT CATALOG

VIEW DEFINITION

VW

DATABASE

VIEW DEFINITION

FULLTEXT STOPLIST

ALTER

AL

DATABASE

ALTER ANY FULLTEXT CATALOG

FULLTEXT STOPLIST

CONTROL

CL

DATABASE

CONTROL

FULLTEXT STOPLIST

REFERENCES

RF

DATABASE

REFERENCES

FULLTEXT STOPLIST

TAKE OWNERSHIP

TO

DATABASE

CONTROL

FULLTEXT STOPLIST

VIEW DEFINITION

VW

DATABASE

VIEW DEFINITION

LOGIN

ALTER

AL

SERVER

ALTER ANY LOGIN

LOGIN

CONTROL

CL

SERVER

CONTROL SERVER

LOGIN

IMPERSONATE

IM

SERVER

CONTROL SERVER

LOGIN

VIEW DEFINITION

VW

SERVER

VIEW ANY DEFINITION

MESSAGE TYPE

ALTER

AL

DATABASE

ALTER ANY MESSAGE TYPE

MESSAGE TYPE

CONTROL

CL

DATABASE

CONTROL

MESSAGE TYPE

REFERENCES

RF

DATABASE

REFERENCES

MESSAGE TYPE

TAKE OWNERSHIP

TO

DATABASE

CONTROL

MESSAGE TYPE

VIEW DEFINITION

VW

DATABASE

VIEW DEFINITION

OBJECT

ALTER

AL

SCHEMA

ALTER

OBJECT

CONTROL

CL

SCHEMA

CONTROL

OBJECT

DELETE

DL

SCHEMA

DELETE

OBJECT

EXECUTE

EX

SCHEMA

EXECUTE

OBJECT

INSERT

IN

SCHEMA

INSERT

OBJECT

RECEIVE

RC

SCHEMA

CONTROL

OBJECT

REFERENCES

RF

SCHEMA

REFERENCES

OBJECT

SELECT

SL

SCHEMA

SELECT

OBJECT

TAKE OWNERSHIP

TO

SCHEMA

CONTROL

OBJECT

UPDATE

UP

SCHEMA

UPDATE

OBJECT

VIEW CHANGE TRACKING

VWCT

SCHEMA

VIEW CHANGE TRACKING

OBJECT

VIEW DEFINITION

VW

SCHEMA

VIEW DEFINITION

REMOTE SERVICE BINDING

ALTER

AL

DATABASE

ALTER ANY REMOTE SERVICE BINDING

REMOTE SERVICE BINDING

CONTROL

CL

DATABASE

CONTROL

REMOTE SERVICE BINDING

TAKE OWNERSHIP

TO

DATABASE

CONTROL

REMOTE SERVICE BINDING

VIEW DEFINITION

VW

DATABASE

VIEW DEFINITION

ROLE

ALTER

AL

DATABASE

ALTER ANY ROLE

ROLE

CONTROL

CL

DATABASE

CONTROL

ROLE

TAKE OWNERSHIP

TO

DATABASE

CONTROL

ROLE

VIEW DEFINITION

VW

DATABASE

VIEW DEFINITION

ROUTE

ALTER

AL

DATABASE

ALTER ANY ROUTE

ROUTE

CONTROL

CL

DATABASE

CONTROL

ROUTE

TAKE OWNERSHIP

TO

DATABASE

CONTROL

ROUTE

VIEW DEFINITION

VW

DATABASE

VIEW DEFINITION

SCHEMA

ALTER

AL

DATABASE

ALTER ANY SCHEMA

SCHEMA

CONTROL

CL

DATABASE

CONTROL

SCHEMA

DELETE

DL

DATABASE

DELETE

SCHEMA

EXECUTE

EX

DATABASE

EXECUTE

SCHEMA

INSERT

IN

DATABASE

INSERT

SCHEMA

REFERENCES

RF

DATABASE

REFERENCES

SCHEMA

SELECT

SL

DATABASE

SELECT

SCHEMA

TAKE OWNERSHIP

TO

DATABASE

CONTROL

SCHEMA

UPDATE

UP

DATABASE

UPDATE

SCHEMA

VIEW CHANGE TRACKING

VWCT

DATABASE

VIEW CHANGE TRACKING

SCHEMA

VIEW DEFINITION

VW

DATABASE

VIEW DEFINITION

SERVER

ADMINISTER BULK OPERATIONS

ADBO

해당 사항 없음

해당 사항 없음

SERVER

ALTER ANY CONNECTION

ALCO

해당 사항 없음

해당 사항 없음

SERVER

ALTER ANY CREDENTIAL

ALCD

해당 사항 없음

해당 사항 없음

SERVER

ALTER ANY DATABASE

ALDB

해당 사항 없음

해당 사항 없음

SERVER

ALTER ANY ENDPOINT

ALHE

해당 사항 없음

해당 사항 없음

SERVER

ALTER ANY EVENT NOTIFICATION

ALES

해당 사항 없음

해당 사항 없음

SERVER

ALTER ANY LINKED SERVER

ALLS

해당 사항 없음

해당 사항 없음

SERVER

ALTER ANY LOGIN

ALLG

해당 사항 없음

해당 사항 없음

SERVER

ALTER ANY SERVER AUDIT

ALAA

해당 사항 없음

해당 사항 없음

SERVER

ALTER RESOURCES

ALRS

해당 사항 없음

해당 사항 없음

SERVER

ALTER SERVER STATE

ALSS

해당 사항 없음

해당 사항 없음

SERVER

ALTER SETTINGS

ALST

해당 사항 없음

해당 사항 없음

SERVER

ALTER TRACE

ALTR

해당 사항 없음

해당 사항 없음

SERVER

AUTHENTICATE SERVER

AUTH

해당 사항 없음

해당 사항 없음

SERVER

CONNECT SQL

COSQ

해당 사항 없음

해당 사항 없음

SERVER

CONTROL SERVER

CL

해당 사항 없음

해당 사항 없음

SERVER

CREATE ANY DATABASE

CRDB

해당 사항 없음

해당 사항 없음

SERVER

CREATE DDL EVENT NOTIFICATION

CRDE

해당 사항 없음

해당 사항 없음

SERVER

CREATE ENDPOINT

CRHE

해당 사항 없음

해당 사항 없음

SERVER

CREATE TRACE EVENT NOTIFICATION

CRTE

해당 사항 없음

해당 사항 없음

SERVER

EXTERNAL ACCESS ASSEMBLY

XA

해당 사항 없음

해당 사항 없음

SERVER

SHUTDOWN

SHDN

해당 사항 없음

해당 사항 없음

SERVER

UNSAFE ASSEMBLY

XU

해당 사항 없음

해당 사항 없음

SERVER

VIEW ANY DATABASE

VWDB

해당 사항 없음

해당 사항 없음

SERVER

VIEW ANY DEFINITION

VWAD

해당 사항 없음

해당 사항 없음

SERVER

VIEW SERVER STATE

VWSS

해당 사항 없음

해당 사항 없음

SERVICE

ALTER

AL

DATABASE

ALTER ANY SERVICE

SERVICE

CONTROL

CL

DATABASE

CONTROL

SERVICE

SEND

SN

DATABASE

CONTROL

SERVICE

TAKE OWNERSHIP

TO

DATABASE

CONTROL

SERVICE

VIEW DEFINITION

VW

DATABASE

VIEW DEFINITION

SYMMETRIC KEY

ALTER

AL

DATABASE

ALTER ANY SYMMETRIC KEY

SYMMETRIC KEY

CONTROL

CL

DATABASE

CONTROL

SYMMETRIC KEY

REFERENCES

RF

DATABASE

REFERENCES

SYMMETRIC KEY

TAKE OWNERSHIP

TO

DATABASE

CONTROL

SYMMETRIC KEY

VIEW DEFINITION

VW

DATABASE

VIEW DEFINITION

TYPE

CONTROL

CL

SCHEMA

CONTROL

TYPE

EXECUTE

EX

SCHEMA

EXECUTE

TYPE

REFERENCES

RF

SCHEMA

REFERENCES

TYPE

TAKE OWNERSHIP

TO

SCHEMA

CONTROL

TYPE

VIEW DEFINITION

VW

SCHEMA

VIEW DEFINITION

USER

ALTER

AL

DATABASE

ALTER ANY USER

USER

CONTROL

CL

DATABASE

CONTROL

USER

IMPERSONATE

IM

DATABASE

CONTROL

USER

VIEW DEFINITION

VW

DATABASE

VIEW DEFINITION

XML SCHEMA COLLECTION

ALTER

AL

SCHEMA

ALTER

XML SCHEMA COLLECTION

CONTROL

CL

SCHEMA

CONTROL

XML SCHEMA COLLECTION

EXECUTE

EX

SCHEMA

EXECUTE

XML SCHEMA COLLECTION

REFERENCES

RF

SCHEMA

REFERENCES

XML SCHEMA COLLECTION

TAKE OWNERSHIP

TO

SCHEMA

CONTROL

XML SCHEMA COLLECTION

VIEW DEFINITION

VW

SCHEMA

VIEW DEFINITION

사용 권한 검사 알고리즘 요약

사용 권한 검사는 복잡할 수 있습니다. 사용 권한 검사 알고리즘에는 겹치는 그룹 멤버 자격과 소유권 체인이 포함됩니다. 둘 다 명시적 및 암시적 사용 권한이며 보안 가능한 엔터티가 포함된 보안 개체 클래스에 대한 사용 권한의 영향을 받을 수 있습니다. 알고리즘의 일반적인 프로세스는 관련된 사용 권한을 모두 수집하는 것입니다. DENY 차단이 발견되지 않는 경우 알고리즘에서는 충분한 액세스 권한을 제공하는 GRANT를 검색합니다. 알고리즘에는 세 가지 필수 요소인 보안 컨텍스트, 사용 권한 공간필요한 사용 권한이 포함되어 있습니다.

[!참고]

sa, dbo, 엔터티 소유자, information_schema, sys 또는 사용자 자신에 대한 권한을 부여, 거부 또는 취소할 수 없습니다.

  • 보안 컨텍스트

    보안 컨텍스트는 사용 권한을 액세스 검사에 제공하는 보안 주체 그룹입니다. 이것은 EXECUTE AS 문 사용으로 보안 컨텍스트가 다른 로그인 또는 사용자로 변경되지 않는 한 현재 로그인 또는 사용자와 관련된 사용 권한입니다. 보안 컨텍스트에는 다음 보안 주체가 포함됩니다.

    • 로그인

    • 사용자

    • 역할 멤버 자격

    • Windows 그룹 멤버 자격

    • 모듈 서명이 사용되는 경우 사용자가 현재 실행 중인 모듈에 서명하는 데 사용된 인증서에 대한 모든 로그인 또는 사용자 계정과 해당 보안 주체와 관련된 역할 멤버 자격.

  • 사용 권한 공간

    사용 권한 공간은 보안 가능한 엔터티이며 보안 개체를 포함하는 보안 개체 클래스입니다. 예를 들어 테이블(보안 가능한 엔터티)은 스키마 보안 개체 클래스 및 데이터베이스 보안 개체 클래스에 포함됩니다. 액세스는 테이블 수준, 스키마 수준, 데이터베이스 수준 및 서버 수준 사용 권한의 영향을 받습니다. 자세한 내용은 사용 권한 계층(데이터베이스 엔진)을 참조하십시오.

  • 필요한 권한

    필요한 유형의 사용 권한입니다. 예를 들면 INSERT, UPDATE, DELETE, SELECT, EXECUTE, ALTER, CONTROL 등입니다.

    다음 예에서와 같이 액세스에는 여러 사용 권한이 필요할 수 있습니다.

    • 저장 프로시저를 사용하려면 저장 프로시저에 대한 EXECUTE 사용 권한과 저장 프로시저에서 참조되는 여러 테이블에 대한 INSERT 사용 권한이 모두 필요할 수 있습니다.

    • 동적 관리 뷰를 사용하려면 뷰에 대한 VIEW SERVER STATE 및 SELECT 사용 권한이 모두 필요할 수 있습니다.

알고리즘의 일반적인 단계

알고리즘에서 보안 개체에 대한 액세스 허용 여부를 결정할 때 알고리즘에서 사용하는 세부 단계는 관련된 보안 주체 및 보안 개체에 따라 다릅니다. 하지만 다음과 같은 일반적인 단계를 수행합니다.

  1. 로그인이 sysadmin 고정 서버 역할의 멤버인 경우 또는 사용자가 현재 데이터베이스의 dbo 사용자인 경우 사용 권한 검사를 무시합니다.

  2. 소유권 체인이 적용 가능하며 체인에 있는 이전 개체에 대한 액세스 검사가 보안 검사를 통과하는 경우 액세스를 허용합니다. 소유권 체인에 대한 자세한 내용은 소유권 체인을 참조하십시오.

  3. 보안 컨텍스트를 만들 수 있도록 호출자와 관련된 서버 수준, 데이터베이스 수준 및 서명된 모듈 ID를 집계합니다.

  4. 해당 보안 컨텍스트의 경우 사용 권한 공간에 대해 부여되거나 거부된 모든 사용 권한을 수집합니다. 사용 권한은 명시적으로 GRANT, GRANT WITH GRANT 또는 DENY로 지정되거나 내포적/포괄적 사용 권한인 GRANT 또는 DENY로 지정될 수 있습니다. 예를 들어 스키마에 대한 CONTROL 사용 권한은 테이블에 대한 CONTROL을 내포합니다. 또한 테이블에 대한 CONTROL은 SELECT를 내포합니다. 따라서 스키마에 대한 CONTROL이 부여된 경우 테이블에 대한 SELECT도 부여됩니다. 테이블에 대한 CONTROL이 거부된 경우 테이블에 대한 SELECT도 거부됩니다. 자세한 내용은 명시적/암시적 사용 권한(데이터베이스 엔진)을 참조하십시오.

    [!참고]

    열 수준 사용 권한의 GRANT는 개체 수준의 DENY보다 우선합니다.

  5. 필요한 사용 권한을 식별합니다.

  6. 사용 권한 공간의 개체에 대한 보안 컨텍스트에서 모든 ID에 대해 필요한 사용 권한이 직접적으로 또는 암시적으로 거부되는 경우 사용 권한 검사가 실패합니다.

  7. 필요한 권한이 거부되지 않고 사용 권한 공간의 모든 개체에 대한 보안 컨텍스트에서 모든 ID에 대한 직접적 또는 암시적인 GRANT 또는 GRANT WITH GRANT 사용 권한이 필요한 권한에 포함되는 경우 사용 권한 검사가 통과합니다.

다음 예에서는 사용 권한 정보를 검색하는 방법을 보여 줍니다.

1. 부여 가능한 사용 권한의 전체 목록 반환

다음 문에서는 fn_builtin_permissions 함수를 사용하여 모든 데이터베이스 엔진 사용 권한을 반환합니다. 자세한 내용은sys.fn_builtin_permissions(Transact-SQL)를 참조하십시오.

SELECT * FROM fn_builtin_permissions(default);
GO

2. 특정 개체 클래스의 사용 권한 반환

또한 fn_builtin_permissions 함수를 사용하여 보안 개체의 범주에 사용 가능한 모든 사용 권한을 확인할 수 있습니다. 다음 예에서는 어셈블리의 사용 권한을 반환합니다.

SELECT * FROM fn_builtin_permissions('assembly');
GO  

3. 개체의 실행 보안 주체에 부여된 사용 권한 반환

fn_my_permissions를 사용하여 지정된 보안 개체에 대해 해당 보안 주체가 가진 유효 사용 권한의 목록을 반환할 수 있습니다. 자세한 내용은sys.fn_my_permissions(Transact-SQL)를 참조하십시오. 다음 예에서는 Orders55라는 개체의 사용 권한을 반환합니다.

SELECT * FROM fn_my_permissions('Orders55', 'object');
GO

4. 지정된 개체에 적용할 수 있는 사용 권한 반환

다음 예에서는 Yttrium이라는 개체에 적용할 수 있는 사용 권한을 반환합니다. Yttrium 개체의 ID를 검색하는 데 기본 제공 함수인 OBJECT_ID가 사용됩니다.

SELECT * FROM sys.database_permissions 
    WHERE major_id = OBJECT_ID('Yttrium');
GO