DENY 서버 사용 권한(Transact-SQL)
적용 대상:
SQL ServerAzure SQL DatabaseAzure SQL Managed Instance
서버에 대한 사용 권한을 거부합니다.
Syntax
DENY permission [ ,...n ]
TO <grantee_principal> [ ,...n ]
[ CASCADE ]
[ AS <grantor_principal> ]
<grantee_principal> ::= SQL_Server_login
| SQL_Server_login_mapped_to_Windows_login
| SQL_Server_login_mapped_to_Windows_group
| SQL_Server_login_mapped_to_certificate
| SQL_Server_login_mapped_to_asymmetric_key
| server_role
<grantor_principal> ::= SQL_Server_login
| SQL_Server_login_mapped_to_Windows_login
| SQL_Server_login_mapped_to_Windows_group
| SQL_Server_login_mapped_to_certificate
| SQL_Server_login_mapped_to_asymmetric_key
| server_role
참고 항목
SQL Server 2014(12.x) 및 이전 버전에 대한 Transact-SQL 구문을 보려면 이전 버전 설명서를 참조 하세요.
인수
permission
서버에 대해 거부할 수 있는 사용 권한을 지정합니다. 사용 권한 목록은 이 항목의 뒤에 나오는 주의 섹션을 참조하세요.
CASCADE
지정된 보안 주체와 이 보안 주체가 사용 권한을 부여한 다른 모든 보안 주체에 대해 사용 권한이 거부됨을 나타냅니다. 보안 주체에 GRANT OPTION 권한이 있는 경우에 필요합니다.
TO <server_principal>
사용 권한이 거부된 보안 주체를 지정합니다.
AS <grantor_principal>
이 쿼리를 실행하는 보안 주체가 사용 권한을 거부하는 권한을 부여할 수 있는 다른 보안 주체를 지정합니다.
권한의 거부자로서 기록된 보안 주체가 해당 문을 실행하는 사용자 이외의 다른 보안 주체여야 한다는 것을 표시하려면 AS 주절을 사용합니다. 예를 들어 Mary라는 사용자가 principal_id 12이고 Raul이라는 사용자는 principal 15라고 가정해 보겠습니다. Mary는 DENY SELECT ON OBJECT::X TO Steven WITH GRANT OPTION AS Raul;을 실행합니다. 이제 sys.database_permissions 테이블은 해당 문을 실제로 사용자 13(Mary)가 실행했지만 거부 문의 grantor_prinicpal_id가 15(Raul)임을 표시합니다.
이 명령문에 AS를 사용한다고 해서 다른 사용자로 가장하는 기능을 의미하는 것은 아닙니다.
SQL_Server_login
SQL Server 로그인을 지정합니다.
SQL_Server_login_mapped_to_Windows_login
Windows 로그인으로 매핑된 SQL Server 로그인을 지정합니다.
SQL_Server_login_mapped_to_Windows_group
Windows 그룹으로 매핑된 SQL Server 로그인을 지정합니다.
SQL_Server_login_mapped_to_certificate
인증서로 매핑된 SQL Server 로그인을 지정합니다.
SQL_Server_login_mapped_to_asymmetric_key
비대칭 키로 매핑된 SQL Server 로그인을 지정합니다.
server_role
서버 역할을 지정합니다.
설명
현재 데이터베이스가 master인 경우에만 서버 범위의 사용 권한을 거부할 수 있습니다.
서버 사용 권한에 대한 정보는 sys.server_permissions 카탈로그 뷰에 표시되고 서버 보안 주체에 대한 정보는 sys.server_principals 카탈로그 뷰에 표시됩니다. 서버 역할의 멤버 자격에 대한 정보는 sys.server_role_members 카탈로그 뷰에 표시됩니다.
서버는 사용 권한 계층에서 가장 높은 수준입니다. 다음 표에는 서버에서 거부될 수 있는 가장 제한적인 특정 사용 권한이 나열되어 있습니다.
| 서버 사용 권한 | 서버 사용 권한에 포함된 사용 권한 |
|---|---|
| ADMINISTER BULK OPERATIONS | CONTROL SERVER |
| ALTER ANY AVAILABILITY GROUP 적용 대상: SQL Server (SQL Server 2012(11.x) ~ 현재 버전). |
CONTROL SERVER |
| ALTER ANY CONNECTION | CONTROL SERVER |
| ALTER ANY CREDENTIAL | CONTROL SERVER |
| ALTER ANY DATABASE | CONTROL SERVER |
| ALTER ANY ENDPOINT | CONTROL SERVER |
| ALTER ANY EVENT NOTIFICATION | CONTROL SERVER |
| ALTER ANY EVENT SESSION | CONTROL SERVER |
| ALTER ANY LINKED SERVER | CONTROL SERVER |
| ALTER ANY LOGIN | CONTROL SERVER |
| ALTER ANY SERVER AUDIT | CONTROL SERVER |
| ALTER ANY SERVER ROLE 적용 대상: SQL Server (SQL Server 2012(11.x) ~ 현재 버전). |
CONTROL SERVER |
| ALTER RESOURCES | CONTROL SERVER |
| ALTER SERVER STATE | CONTROL SERVER |
| ALTER SETTINGS | CONTROL SERVER |
| ALTER TRACE | CONTROL SERVER |
| AUTHENTICATE SERVER | CONTROL SERVER |
| CONNECT ANY DATABASE 적용 대상: SQL Server (SQL Server 2014(12.x) ~ 현재 버전). |
CONTROL SERVER |
| CONNECT SQL | CONTROL SERVER |
| CONTROL SERVER | CONTROL SERVER |
| CREATE ANY DATABASE | ALTER ANY DATABASE |
| CREATE AVAILABILITY GROUP 적용 대상: SQL Server (SQL Server 2012(11.x) ~ 현재 버전). |
ALTER ANY AVAILABILITY GROUP |
| CREATE DDL EVENT NOTIFICATION | ALTER ANY EVENT NOTIFICATION |
| CREATE ENDPOINT | ALTER ANY ENDPOINT |
| CREATE SERVER ROLE 적용 대상: SQL Server (SQL Server 2012(11.x) ~ 현재 버전). |
ALTER ANY SERVER ROLE |
| CREATE TRACE EVENT NOTIFICATION | ALTER ANY EVENT NOTIFICATION |
| EXTERNAL ACCESS ASSEMBLY | CONTROL SERVER |
| IMPERSONATE ANY LOGIN 적용 대상: SQL Server (SQL Server 2014(12.x) ~ 현재 버전). |
CONTROL SERVER |
| SELECT ALL USER SECURABLES 적용 대상: SQL Server (SQL Server 2014(12.x) ~ 현재 버전). |
CONTROL SERVER |
| SHUTDOWN | CONTROL SERVER |
| UNSAFE ASSEMBLY | CONTROL SERVER |
| VIEW ANY DATABASE | VIEW ANY DEFINITION |
| VIEW ANY DEFINITION | CONTROL SERVER |
| VIEW SERVER STATE | ALTER SERVER STATE |
다음 세 가지 서버 사용 권한이 SQL Server 2014(12.x)에서 추가되었습니다.
CONNECT ANY DATABASE 권한
현재 있는 모든 데이터베이스와 향후 만들 수 있는 새로운 데이터베이스에 연결해야 하는 로그인에 CONNECT ANY DATABASE 를 부여합니다. 연결을 벗어나는 데이터베이스에서는 사용 권한을 부여하지 않습니다. SELECT ALL USER SECURABLES 또는 VIEW SERVER STATE와 결합하여 SQL Server 인스턴스에 있는 모든 데이터 또는 모든 데이터베이스 상태를 보기 위한 감사 프로세스를 허용합니다.
IMPERSONATE ANY LOGIN 권한
허용하면 데이터베이스에 연결할 때 중간 계층 프로세스가 클라이언트 계정을 가장하여 연결할 수 있습니다. 거부하면 높은 권한 로그인이 다른 로그인을 가장하지 못하도록 차단할 수 있습니다. 예를 들어, CONTROL SERVER 권한이 있는 로그인이 다른 로그인을 가장하지 못하도록 차단할 수 있습니다.
SELECT ALL USER SECURABLES 권한
허용하면 감사자 등으로 로그인하여 사용자 연결이 가능한 모든 데이터베이스에서 데이터를 볼 수 있습니다. 거부하면 개체가 sys 스키마에 있지 않는 한 개체에 대한 액세스를 차단합니다.
사용 권한
CONTROL SERVER 권한 또는 보안 개체의 소유권이 필요합니다. AS 절을 사용하는 경우 지정된 보안 주체가 사용 권한을 거부할 보안 개체를 소유해야 합니다.
예제
A. SQL Server 로그인 및 이 로그인이 사용 권한을 다시 부여한 보안 주체에 대해 CONNECT SQL 권한 거부
다음 예에서는 SQL Server 로그인 CONNECT SQL 및 이 사용자가 사용 권한을 부여한 보안 주체에 대해 Annika 권한을 거부합니다.
USE master;
DENY CONNECT SQL TO Annika CASCADE;
GO
B. AS 옵션을 사용하여 SQL Server 로그인에 대해 CREATE ENDPOINT 권한 거부
다음 예에서는 사용자 CREATE ENDPOINT에 대해 ArifS 권한을 거부합니다. 이 예에서는 AS 옵션을 사용하여 이를 위해 실행 보안 주체가 권한을 부여할 수 있는 보안 주체로 MandarP를 지정합니다.
USE master;
DENY CREATE ENDPOINT TO ArifS AS MandarP;
GO
참고 항목
GRANT(Transact-SQL)
DENY(Transact-SQL)
DENY 서버 사용 권한(Transact-SQL)
REVOKE 서버 사용 권한(Transact-SQL)
사용 권한 계층(데이터베이스 엔진)
sys.fn_builtin_permissions(Transact-SQL)
sys.fn_my_permissions(Transact-SQL)
HAS_PERMS_BY_NAME(Transact-SQL)
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기