GRANT 物件權限 (Transact-SQL)
適用於:
SQL Server Azure SQL 資料庫 Azure SQL 受控執行個體 Azure Synapse Analytics Analytics Platform System (PDW) Microsoft Fabric 的 SQL 端點分析 Microsoft Fabric 的倉儲
授與資料表、檢視表、資料表值函式、預存程序、擴充預存程序、純量函數、彙總函式、服務佇列或同義字的權限。
語法
GRANT <permission> [ ,...n ] ON
[ OBJECT :: ][ schema_name ]. object_name [ ( column_name [ ,...n ] ) ]
TO <database_principal> [ ,...n ]
[ WITH GRANT OPTION ]
[ AS <database_principal> ]
<permission> ::=
ALL [ PRIVILEGES ] | permission [ ( column_name [ ,...n ] ) ]
<database_principal> ::=
Database_user
| Database_role
| Application_role
| Database_user_mapped_to_Windows_User
| Database_user_mapped_to_Windows_Group
| Database_user_mapped_to_certificate
| Database_user_mapped_to_asymmetric_key
| Database_user_with_no_login
引數
permission
指定可授與的結構描述所含物件之權限。 如需許可權清單,請參閱。
ALL
授與 ALL 不會授與所有可能的權限。 授與 ALL 相當於授與適用於指定之物件的所有 ANSI-92 權限。 ALL 有多種意義,如下所示:
- 純量函式權限:EXECUTE、REFERENCES。
- 資料表值函式權限:DELETE、INSERT、REFERENCES、SELECT、UPDATE。
- 預存程序權限:EXECUTE。
- 資料表權限:DELETE、INSERT、REFERENCES、SELECT、UPDATE。
- 檢視權限:DELETE、INSERT、REFERENCES、SELECT、UPDATE。
警告
ALL 權限已被取代,只是為了相容性而保留。
PRIVILEGES
為符合 ANSI-92 而包含這個項目。 不會變更 ALL 的行為。
column_name
在授與其權限之資料表、檢視或資料表值函式中指定資料行名稱。 必須以括弧 ( ) 括住。 只有 SELECT、REFERENCES、UPDATE 和 UNMASK 許可權可以在數據行上授與。 您可以在 permissions 子句或安全性實體名稱之後指定column_name。
警告
資料表層級的 DENY 不會優先於資料行層級的 GRANT。 保留權限階層中這項不一致的目的,是為了與舊版相容。
ON [ OBJECT :: ] [ schema_name ] . object_name
指定正在授與權限的物件。 若指定 schema_name,則 OBJECT 片語為選擇性。 如果使用 OBJECT 片語,則需要範圍限定詞 (::)。 若未指定 schema_name,則會使用預設結構描述。 若指定 schema_name,則結構描述範圍限定詞 (.) 是必要項目。
TO <database_principal>
指定要對其授與權限的主體。
WITH GRANT OPTION
指出主體也有權授與指定權限給其他主體。
AS <database_principal>
指定主體,執行這項查詢的主體就是從這個主體衍生權限來授與權限。
Database_user
指定資料庫使用者。
Database_role
指定資料庫角色。
Application_role
指定應用程式角色。
Database_user_mapped_to_Windows_User
指定對應至 Windows 使用者的資料庫使用者。
Database_user_mapped_to_Windows_Group
指定對應至 Windows 群組的資料庫使用者。
Database_user_mapped_to_certificate
指定對應至憑證的資料庫使用者。
Database_user_mapped_to_asymmetric_key
指定對應至非對稱金鑰的資料庫使用者。
Database_user_with_no_login
指定不含對應伺服器層級主體的資料庫使用者。
備註
重要
在某些情況下, ALTER 和 REFERENCE 許可權的組合可能會允許被授與者檢視數據或執行未經授權的函式。 例如:具有 ALTER 數據表許可權和 REFERENCE 函式許可權的使用者可以透過函式建立計算數據行,並讓其執行。 在此情況下,使用者也需要 SELECT 計算數據行的許可權。
可以在各種目錄檢視中看到物件的相關資訊。 如需詳細資訊,請參閱物件目錄檢視 (Transact-SQL)。
物件是一個由結構描述所包含的結構描述層級安全性實體,在權限階層中,此結構描述為該安全性實體的父系。 下表所列的是可以授與之最特定且最有限的物件權限,並列出利用隱含方式來併入這些權限的較通用權限。
| 物件權限 | 物件權限所隱含 | 結構描述權限所隱含 |
|---|---|---|
ALTER |
CONTROL |
ALTER |
CONTROL |
CONTROL |
CONTROL |
DELETE |
CONTROL |
DELETE |
EXECUTE |
CONTROL |
EXECUTE |
INSERT |
CONTROL |
INSERT |
RECEIVE |
CONTROL |
CONTROL |
REFERENCES |
CONTROL |
REFERENCES |
SELECT |
RECEIVE |
SELECT |
TAKE OWNERSHIP |
CONTROL |
CONTROL |
UPDATE |
CONTROL |
UPDATE |
VIEW CHANGE TRACKING |
CONTROL |
VIEW CHANGE TRACKING |
VIEW DEFINITION |
CONTROL |
VIEW DEFINITION |
權限
被授出席者(或以 AS 選項指定的主體)必須具有 GRANT OPTION的許可權本身,或表示授與許可權的更高許可權。
如果是使用 AS 選項,就必須套用下列其他需求。
| AS | 其他必要的權限 |
|---|---|
| 資料庫使用者 | IMPERSONATE 用戶的許可權、固定資料庫角色的成員 db_securityadmin 資格、固定資料庫角色的成員資格 db_owner ,或固定伺服器角色的成員 sysadmin 資格。 |
| 對應至 Windows 登入的資料庫使用者 | IMPERSONATE 用戶的許可權、固定資料庫角色的成員 db_securityadmin 資格、固定資料庫角色的成員資格 db_owner ,或固定伺服器角色的成員 sysadmin 資格。 |
| 對應至 Windows 群組的資料庫使用者 | Windows 群組中的成員資格、固定資料庫角色的成員資格 db_securityadmin 、固定資料庫角色的成員資格 db_owner ,或固定伺服器角色的成員 sysadmin 資格。 |
| 對應至憑證的資料庫使用者 | 固定資料庫角色的成員 db_securityadmin 資格、固定資料庫角色的成員 db_owner 資格,或固定伺服器角色的成員 sysadmin 資格。 |
| 對應至非對稱金鑰的資料庫使用者 | 固定資料庫角色的成員 db_securityadmin 資格、固定資料庫角色的成員 db_owner 資格,或固定伺服器角色的成員 sysadmin 資格。 |
| 未對應至任何伺服器主體的資料庫使用者 | IMPERSONATE 用戶的許可權、固定資料庫角色的成員 db_securityadmin 資格、固定資料庫角色的成員資格 db_owner ,或固定伺服器角色的成員 sysadmin 資格。 |
| 資料庫角色 | ALTER 角色的許可權、固定資料庫角色的成員 db_securityadmin 資格、固定資料庫角色的成員資格 db_owner ,或固定伺服器角色的成員 sysadmin 資格。 |
| 應用程式角色 | ALTER 角色的許可權、固定資料庫角色的成員 db_securityadmin 資格、固定資料庫角色的成員資格 db_owner ,或固定伺服器角色的成員 sysadmin 資格。 |
範例
A. 授與數據表的 SELECT 許可權
下列範例會將 SELECT 資料庫中之資料表 RosaQdM 的 Person.Address 權限,授與使用者 AdventureWorks2022。
如撰寫的這個範例在 Microsoft Fabric 中無法運作,因為它使用使用者進行 SQL 驗證的登入,但這個相同的範例適用於 Microsoft Entra ID Fabric 使用者,例如 RosaQdM@contoso.com。
GRANT SELECT ON OBJECT::Person.Address TO RosaQdM;
GO
B. 授與預存程式的 EXECUTE 許可權
下列範例會將預存程序 EXECUTE 的 HumanResources.uspUpdateEmployeeHireInfo 權限,授與一個稱為 Recruiting11 的應用程式角色。
USE AdventureWorks2022;
GRANT EXECUTE ON OBJECT::HumanResources.uspUpdateEmployeeHireInfo
TO Recruiting11;
GO
C. 使用 GRANT OPTION 授與檢視的 REFERENCES 許可權
下列範例會將檢視 REFERENCES 中之資料行 BusinessEntityID 的 HumanResources.vEmployee 權限,授與具有 Wanida 的使用者 GRANT OPTION。
如撰寫的這個範例在 Microsoft Fabric 中無法運作,因為它使用使用者進行 SQL 驗證的登入,但這個相同的範例適用於 Microsoft Entra ID Fabric 使用者,例如 Wanida@contoso.com。
GRANT REFERENCES (BusinessEntityID) ON OBJECT::HumanResources.vEmployee
TO Wanida WITH GRANT OPTION;
GO
D. 授與數據表的 SELECT 許可權,而不使用 OBJECT 片組
下列範例會將 SELECT 資料庫中之資料表 RosaQdM 的 Person.Address 權限,授與使用者 AdventureWorks2022。
如撰寫的這個範例在 Microsoft Fabric 中無法運作,因為它使用使用者進行 SQL 驗證的登入,但這個相同的範例適用於 Microsoft Entra ID Fabric 使用者,例如 RosaQdM@contoso.com。
GRANT SELECT ON Person.Address TO RosaQdM;
GO
E. 將數據表的 SELECT 許可權授與網域帳戶
下列範例會將 SELECT 資料庫中之資料表 AdventureWorks2022\RosaQdM 的 Person.Address 權限,授與使用者 AdventureWorks2022。
如撰寫的這個範例無法在 Microsoft Fabric 中運作,因為它使用網域帳戶,但這個相同範例適用於 Microsoft Entra ID Fabric 使用者,例如 RosaQdM@contoso.com。
GRANT SELECT ON Person.Address TO [AdventureWorks2022\RosaQdM];
GO
F. 將程式的 EXECUTE 許可權授與角色
下列範例會建立一個角色,然後將 EXECUTE 資料庫中 uspGetBillOfMaterials 程序的 AdventureWorks2022 權限授與該角色。
CREATE ROLE newrole ;
GRANT EXECUTE ON dbo.uspGetBillOfMaterials TO newrole ;
GO
G. 授與數據行的 UNMASK 許可權
下列範例會將資料表Data.Membership中資料行的許可權、動態資料遮罩email的一部分授UNMASK與使用者 OutreachCoordinator。
Microsoft Fabric 目前不支援動態數據遮罩。
GRANT UNMASK ON OBJECT::Data.Membership (email) to OutreachCoordinator;
GO