GRANT(Transact-SQL)
적용 대상: SQL Server Azure SQL Database Azure SQL Managed Instance Azure Synapse Analytics Analytics Platform System(PDW) Microsoft Fabric의 SQL 분석 엔드포인트 Microsoft Fabric의 웨어하우스
보안 주체에 보안 개체에 대한 사용 권한을 부여합니다. 일반적인 개념은 다음과 입니다 GRANT <some permission> ON <some object> TO <some user, login, or group>
. 사용 권한에 대한 일반적인 설명은 사용 권한(데이터베이스 엔진)을 참조하세요.
구문
SQL Server 및 Azure SQL Database 구문
-- Simplified syntax for GRANT
GRANT { ALL [ PRIVILEGES ] }
| permission [ ( column [ , ...n ] ) ] [ , ...n ]
[ ON [ class :: ] securable ] TO principal [ , ...n ]
[ WITH GRANT OPTION ] [ AS principal ]
Azure Synapse Analytics 및 병렬 데이터 웨어하우스 및 Microsoft Fabric에 대한 구문입니다.
GRANT
<permission> [ , ...n ]
[ ON [ <class_type> :: ] securable ]
TO principal [ , ...n ]
[ WITH GRANT OPTION ]
[;]
<permission> ::=
{ see the tables below }
<class_type> ::=
{
LOGIN
| DATABASE
| OBJECT
| ROLE
| SCHEMA
| USER
}
인수
ALL
이 옵션은 사용되지 않으며 이전 버전과의 호환성을 위해서만 유지 관리되고 가능한 모든 권한을 부여하지는 않습니다. ALL
부여는 다음 사용 권한을 부여하는 것과 같습니다.
보안 개체 | 사용 권한 |
---|---|
데이터베이스 | BACKUP DATABASE , BACKUP LOG ,CREATE DATABASE , CREATE DEFAULT , CREATE FUNCTION , CREATE PROCEDURE CREATE RULE , CREATE TABLE 및CREATE VIEW |
스칼라 함수 | EXECUTE 및 REFERENCES |
테이블 반환 함수 | DELETE , INSERT , REFERENCES , SELECT 및 UPDATE |
저장 프로시저 | EXECUTE |
테이블 | DELETE , INSERT , REFERENCES , SELECT 및 UPDATE |
보기 | DELETE , INSERT , REFERENCES , SELECT 및 UPDATE |
PRIVILEGES
ISO 호환성을 위해 포함됩니다. 의 동작 ALL
을 변경하지 않습니다.
permission
사용 권한의 이름입니다. 보안 개체에 대한 사용 권한의 유효한 매핑은 다음 섹션에서 설명합니다.
column
사용 권한을 부여할 테이블의 열 이름을 지정합니다. 괄호 (
이며 )
필수입니다.
class
사용 권한을 부여할 보안 개체의 클래스를 지정합니다. 범위 한정 ::
자는 필수입니다.
securable
사용 권한을 부여할 보안 개체를 지정합니다.
TO principal
보안 주체의 이름입니다. 보안 개체에 대한 사용 권한을 부여할 수 있는 대상 보안 주체는 보안 개체에 따라 달라집니다. 유효한 조합은 다음 섹션을 참조하세요.
GRANT OPTION
지정된 사용 권한을 다른 보안 주체에게 부여할 수 있는 권한도 피부여자에게 제공됨을 나타냅니다.
AS principal
이 절을 AS <principal>
사용하여 사용 권한 부여자로 기록된 보안 주체가 문을 실행하는 사람이 아닌 보안 주체여야 함을 나타냅니다. 예를 들어 사용자에게는 해당 사용자가 Mary
principal_id
12
있고 사용자가 Raul
보안 주체 15
라고 가정합니다. Mary는 GRANT SELECT ON OBJECT::X TO Steven WITH GRANT OPTION AS Raul;
이제 sys.database_permissions
테이블을 실행합니다. 이 테이블은 문이 실제로 사용자 12
(Mary
Raul
)에 의해 실행되었음에도 불구하고 ()임을 15
나타냅니다grantor_prinicpal_id
.
권한 체인을 AS
명시적으로 정의해야 하는 경우가 아니면 일반적으로 절을 사용하지 않는 것이 좋습니다. 자세한 내용은 사용 권한 검사 알고리즘의 요약을 참조 하세요.
이 문에서 사용하는 AS
것이 다른 사용자를 가장하는 기능을 의미하지는 않습니다.
설명
문의 전체 구문 GRANT
은 복잡합니다. 이전 구문 다이어그램은 구조에 주의를 끌기 위해 간소화되었습니다. 특정 보안 개체에 대한 사용 권한을 부여하기 위한 전체 구문은 이 문서의 뒷부분에 나열된 문서에 설명되어 있습니다.
이 REVOKE
문을 사용하여 부여된 권한을 제거할 수 있으며 DENY
, 이 문을 사용하여 보안 주체가 을 통해 GRANT
특정 사용 권한을 얻지 못하도록 할 수 있습니다.
사용 권한을 부여하면 지정된 보안 개체에 대한 사용 권한이 제거되거나 REVOKE
해당 권한이 제거 DENY
됩니다. 보안 개체 DENY
가 포함된 상위 범위에서 동일한 권한이 거부되면 우선합니다. 그러나 더 높은 범위에서 부여된 권한을 취소하는 것이 우선하지 않습니다.
데이터베이스 수준 사용 권한은 지정된 데이터베이스 범위 내에서 부여됩니다. 사용자가 다른 데이터베이스에 있는 개체에 대한 사용 권한을 필요로 하는 경우에는 다른 데이터베이스에서 사용자 계정을 만들거나 다른 데이터베이스와 현재 데이터베이스에 대해 사용자 계정 액세스를 부여하세요.
주의
테이블 수준은 열 수준 DENY
GRANT
보다 우선하지 않습니다. 사용 권한 계층에서의 이러한 불일치는 이전 버전과의 호환성을 위해 유지되었으며 후속 릴리스에서 제거될 예정입니다.
시스템 저장 프로시저는 sp_helprotect
데이터베이스 수준 보안 개체에 대한 권한을 보고합니다.
Microsoft Fabric CREATE USER
에서는 현재 명시적으로 실행할 수 없습니다. GRANT
실행되거나 DENY
실행되면 사용자가 자동으로 만들어집니다.
WITH GRANT OPTION
GRANT ... WITH GRANT OPTION
권한을 받는 보안 주체에 지정된 권한을 다른 보안 계정에 부여할 수 있는 권한이 부여되도록 지정합니다. 사용 권한을 받는 보안 주체가 역할 또는 Windows 그룹인 AS
경우 그룹 또는 역할의 멤버가 아닌 사용자에게 개체 권한을 추가로 부여해야 하는 경우 절을 사용해야 합니다. 그룹 또는 역할이 아닌 사용자만 문을 실행할 GRANT
수 있으므로 그룹 또는 역할의 특정 멤버는 권한을 부여할 때 역할 또는 그룹 멤버 자격을 명시적으로 호출하는 절을 사용해야 AS
합니다. 다음 예제에서는 역할 또는 Windows 그룹에 부여할 때 사용되는 방법을 WITH GRANT OPTION
보여 줍니다.
-- Execute the following as a database owner
GRANT EXECUTE ON TestProc TO TesterRole WITH GRANT OPTION;
EXEC sp_addrolemember TesterRole, User1;
-- Execute the following as User1
-- The following fails because User1 does not have the permission as the User1
GRANT EXECUTE ON TestProc TO User2;
-- The following succeeds because User1 invokes the TesterRole membership
GRANT EXECUTE ON TestProc TO User2 AS TesterRole;
SQL Server 사용 권한 차트
PDF 형식의 모든 데이터베이스 엔진 권한에 대한 포스터 크기 차트는 다음을 참조하세요https://aka.ms/sql-permissions-poster.
사용 권한
부여자(또는 옵션으로 AS
지정된 보안 주체)에는 사용 권한이 있는 GRANT OPTION
권한 자체 또는 부여되는 사용 권한을 의미하는 더 높은 권한이 있어야 합니다. 이 AS
옵션을 사용하는 경우 추가 요구 사항이 적용됩니다. 자세한 내용은 보안 개체 관련 문서를 참조하세요.
개체 소유자는 소유하고 있는 개체에 대한 사용 권한을 부여할 수 있습니다. CONTROL
보안 개체에 대한 사용 권한이 있는 보안 주체는 해당 보안 개체에 대한 권한을 부여할 수 있습니다.
sysadmin 고정 서버 역할의 멤버와 같은 사용 권한 피부여자의 CONTROL SERVER
경우 서버의 모든 보안 개체에 대한 사용 권한을 부여할 수 있습니다. db_owner 고정 데이터베이스 역할의 멤버와 같은 데이터베이스에 대한 사용 권한의 피부여는 CONTROL
데이터베이스의 모든 보안 개체에 대한 사용 권한을 부여할 수 있습니다. 스키마에 대한 사용 권한 피부여자가 스키마 내의 CONTROL
모든 개체에 대한 사용 권한을 부여할 수 있습니다.
예제
다음 표에는 보안 개체와 보안 개체별 구문을 설명하는 문서 목록이 정리되어 있습니다.