分享方式:


GRANT 物件權限 (Transact-SQL)

適用於:SQL Server Azure SQL 資料庫 Azure SQL 受控執行個體 Azure Synapse Analytics Analytics Platform System (PDW) Microsoft Fabric 的 SQL 端點分析 Microsoft Fabric 的倉儲

授與資料表、檢視表、資料表值函式、預存程序、擴充預存程序、純量函數、彙總函式、服務佇列或同義字的權限。

Transact-SQL 語法慣例

語法

GRANT <permission> [ ,...n ] ON   
    [ OBJECT :: ][ schema_name ]. object_name [ ( column_name [ ,...n ] ) ]  
    TO <database_principal> [ ,...n ]   
    [ WITH GRANT OPTION ]  
    [ AS <database_principal> ]  
  
<permission> ::=  
    ALL [ PRIVILEGES ] | permission [ ( column_name [ ,...n ] ) ]  
  
<database_principal> ::=   
        Database_user   
    | Database_role   
    | Application_role   
    | Database_user_mapped_to_Windows_User   
    | Database_user_mapped_to_Windows_Group   
    | Database_user_mapped_to_certificate   
    | Database_user_mapped_to_asymmetric_key   
    | Database_user_with_no_login  

引數

permission

指定可授與的結構描述所含物件之權限。 如需許可權清單,請參閱

ALL

授與 ALL 不會授與所有可能的權限。 授與 ALL 相當於授與適用於指定之物件的所有 ANSI-92 權限。 ALL 有多種意義,如下所示:

  • 純量函式權限:EXECUTE、REFERENCES。
  • 資料表值函式權限:DELETE、INSERT、REFERENCES、SELECT、UPDATE。
  • 預存程序權限:EXECUTE。
  • 資料表權限:DELETE、INSERT、REFERENCES、SELECT、UPDATE。
  • 檢視權限:DELETE、INSERT、REFERENCES、SELECT、UPDATE。

警告

ALL 權限已被取代,只是為了相容性而保留。

PRIVILEGES

為符合 ANSI-92 而包含這個項目。 不會變更 ALL 的行為。

column_name

在授與其權限之資料表、檢視或資料表值函式中指定資料行名稱。 必須以括弧 ( ) 括住。 只有 SELECT、REFERENCES、UPDATE 和 UNMASK 許可權可以在數據行上授與。 您可以在 permissions 子句或安全性實體名稱之後指定column_name。

警告

資料表層級的 DENY 不會優先於資料行層級的 GRANT。 保留權限階層中這項不一致的目的,是為了與舊版相容。

ON [ OBJECT :: ] [ schema_name ] . object_name

指定正在授與權限的物件。 若指定 schema_name,則 OBJECT 片語為選擇性。 如果使用 OBJECT 片語,則需要範圍限定詞 (::)。 若未指定 schema_name,則會使用預設結構描述。 若指定 schema_name,則結構描述範圍限定詞 (.) 是必要項目。

TO <database_principal>

指定要對其授與權限的主體。

WITH GRANT OPTION

指出主體也有權授與指定權限給其他主體。

AS <database_principal>

指定主體,執行這項查詢的主體就是從這個主體衍生權限來授與權限。

Database_user
指定資料庫使用者。

Database_role
指定資料庫角色。

Application_role
指定應用程式角色。

Database_user_mapped_to_Windows_User
指定對應至 Windows 使用者的資料庫使用者。

Database_user_mapped_to_Windows_Group
指定對應至 Windows 群組的資料庫使用者。

Database_user_mapped_to_certificate
指定對應至憑證的資料庫使用者。

Database_user_mapped_to_asymmetric_key
指定對應至非對稱金鑰的資料庫使用者。

Database_user_with_no_login
指定不含對應伺服器層級主體的資料庫使用者。

備註

重要

在某些情況下, ALTERREFERENCE 許可權的組合可能會允許被授與者檢視數據或執行未經授權的函式。 例如:具有 ALTER 數據表許可權和 REFERENCE 函式許可權的使用者可以透過函式建立計算數據行,並讓其執行。 在此情況下,使用者也需要 SELECT 計算數據行的許可權。

可以在各種目錄檢視中看到物件的相關資訊。 如需詳細資訊,請參閱物件目錄檢視 (Transact-SQL)

物件是一個由結構描述所包含的結構描述層級安全性實體,在權限階層中,此結構描述為該安全性實體的父系。 下表所列的是可以授與之最特定且最有限的物件權限,並列出利用隱含方式來併入這些權限的較通用權限。

物件權限 物件權限所隱含 結構描述權限所隱含
ALTER CONTROL ALTER
CONTROL CONTROL CONTROL
DELETE CONTROL DELETE
EXECUTE CONTROL EXECUTE
INSERT CONTROL INSERT
RECEIVE CONTROL CONTROL
REFERENCES CONTROL REFERENCES
SELECT RECEIVE SELECT
TAKE OWNERSHIP CONTROL CONTROL
UPDATE CONTROL UPDATE
VIEW CHANGE TRACKING CONTROL VIEW CHANGE TRACKING
VIEW DEFINITION CONTROL VIEW DEFINITION

權限

被授出席者(或以 AS 選項指定的主體)必須具有 GRANT OPTION的許可權本身,或表示授與許可權的更高許可權。

如果是使用 AS 選項,就必須套用下列其他需求。

AS 其他必要的權限
資料庫使用者 IMPERSONATE 用戶的許可權、固定資料庫角色的成員 db_securityadmin 資格、固定資料庫角色的成員資格 db_owner ,或固定伺服器角色的成員 sysadmin 資格。
對應至 Windows 登入的資料庫使用者 IMPERSONATE 用戶的許可權、固定資料庫角色的成員 db_securityadmin 資格、固定資料庫角色的成員資格 db_owner ,或固定伺服器角色的成員 sysadmin 資格。
對應至 Windows 群組的資料庫使用者 Windows 群組中的成員資格、固定資料庫角色的成員資格 db_securityadmin 、固定資料庫角色的成員資格 db_owner ,或固定伺服器角色的成員 sysadmin 資格。
對應至憑證的資料庫使用者 固定資料庫角色的成員 db_securityadmin 資格、固定資料庫角色的成員 db_owner 資格,或固定伺服器角色的成員 sysadmin 資格。
對應至非對稱金鑰的資料庫使用者 固定資料庫角色的成員 db_securityadmin 資格、固定資料庫角色的成員 db_owner 資格,或固定伺服器角色的成員 sysadmin 資格。
未對應至任何伺服器主體的資料庫使用者 IMPERSONATE 用戶的許可權、固定資料庫角色的成員 db_securityadmin 資格、固定資料庫角色的成員資格 db_owner ,或固定伺服器角色的成員 sysadmin 資格。
資料庫角色 ALTER 角色的許可權、固定資料庫角色的成員 db_securityadmin 資格、固定資料庫角色的成員資格 db_owner ,或固定伺服器角色的成員 sysadmin 資格。
應用程式角色 ALTER 角色的許可權、固定資料庫角色的成員 db_securityadmin 資格、固定資料庫角色的成員資格 db_owner ,或固定伺服器角色的成員 sysadmin 資格。

範例

A. 授與數據表的 SELECT 許可權

下列範例會將 SELECT 資料庫中之資料表 RosaQdMPerson.Address 權限,授與使用者 AdventureWorks2022

如撰寫的這個範例在 Microsoft Fabric 中無法運作,因為它使用使用者進行 SQL 驗證的登入,但這個相同的範例適用於 Microsoft Entra ID Fabric 使用者,例如 RosaQdM@contoso.com

GRANT SELECT ON OBJECT::Person.Address TO RosaQdM;  
GO  

B. 授與預存程式的 EXECUTE 許可權

下列範例會將預存程序 EXECUTEHumanResources.uspUpdateEmployeeHireInfo 權限,授與一個稱為 Recruiting11 的應用程式角色。

USE AdventureWorks2022;   
GRANT EXECUTE ON OBJECT::HumanResources.uspUpdateEmployeeHireInfo  
    TO Recruiting11;  
GO   

C. 使用 GRANT OPTION 授與檢視的 REFERENCES 許可權

下列範例會將檢視 REFERENCES 中之資料行 BusinessEntityIDHumanResources.vEmployee 權限,授與具有 Wanida 的使用者 GRANT OPTION

如撰寫的這個範例在 Microsoft Fabric 中無法運作,因為它使用使用者進行 SQL 驗證的登入,但這個相同的範例適用於 Microsoft Entra ID Fabric 使用者,例如 Wanida@contoso.com

GRANT REFERENCES (BusinessEntityID) ON OBJECT::HumanResources.vEmployee   
    TO Wanida WITH GRANT OPTION;  
GO  

D. 授與數據表的 SELECT 許可權,而不使用 OBJECT 片組

下列範例會將 SELECT 資料庫中之資料表 RosaQdMPerson.Address 權限,授與使用者 AdventureWorks2022

如撰寫的這個範例在 Microsoft Fabric 中無法運作,因為它使用使用者進行 SQL 驗證的登入,但這個相同的範例適用於 Microsoft Entra ID Fabric 使用者,例如 RosaQdM@contoso.com

GRANT SELECT ON Person.Address TO RosaQdM;  
GO  

E. 將數據表的 SELECT 許可權授與網域帳戶

下列範例會將 SELECT 資料庫中之資料表 AdventureWorks2022\RosaQdMPerson.Address 權限,授與使用者 AdventureWorks2022

如撰寫的這個範例無法在 Microsoft Fabric 中運作,因為它使用網域帳戶,但這個相同範例適用於 Microsoft Entra ID Fabric 使用者,例如 RosaQdM@contoso.com

GRANT SELECT ON Person.Address TO [AdventureWorks2022\RosaQdM];  
GO  

F. 將程式的 EXECUTE 許可權授與角色

下列範例會建立一個角色,然後將 EXECUTE 資料庫中 uspGetBillOfMaterials 程序的 AdventureWorks2022 權限授與該角色。

CREATE ROLE newrole ;  
GRANT EXECUTE ON dbo.uspGetBillOfMaterials TO newrole ;  
GO  

G. 授與數據行的 UNMASK 許可權

下列範例會將資料表Data.Membership中資料行的許可權、動態資料遮罩email一部分授UNMASK與使用者 OutreachCoordinator

Microsoft Fabric 目前不支援動態數據遮罩。

GRANT UNMASK ON OBJECT::Data.Membership (email) to OutreachCoordinator;
GO