TechNet
내보내기(0) 인쇄
모두 확장

사용 권한(데이터베이스 엔진)

 

**이 항목은 다음에 적용됩니다.:** ![](../Image/Applies%20to/yes.png)SQL Server\(2008부터 시작\) ![](../Image/Applies%20to/yes.png)Azure SQL 데이터베이스 ![](../Image/Applies%20to/yes.png)Azure SQL 데이터 웨어하우스 ![](../Image/Applies%20to/yes.png)병렬 데이터 웨어하우스

모든 SQL Server 보안 개체에는 보안 주체에 부여될 수 있는 연결된 사용 권한이 있습니다.데이터베이스 엔진의 권한은 로그인 및 서버 역할에 할당된 서버 수준에서 관리되고 데이터베이스 사용자 및 데이터베이스 역할에 할당된 데이터베이스 수준에서 관리됩니다.SQL 데이터베이스에 대한 모델은 데이터베이스 권한에 대하여 동일한 시스템을 갖지만 서버 수준 권한은 사용할 수 없습니다. 이 항목에는 전체 권한 목록이 포함됩니다. 권한에 대한 일반적인 구현은 데이터베이스 엔진 권한 시작을(를) 참조하십시오.

SQL Server 2016에는 230개의 권한이 있습니다.SQL Server 2014에는 219개의 권한이 있습니다.SQL Server 2012에는 214개의 권한이 있습니다.SQL Server 2008 R2에는 195개의 권한이 있습니다.SQL 데이터베이스, SQL 데이터 웨어하우스 및 분석 플랫폼 시스템에는 각각 SQL Server에 적용되지 않는 일부 권한이 있지만 데이터베이스 엔진의 일부만 노출하기 때문에 권한 수가 적습니다. 다음 그래픽에서는 권한과 각 권한의 상호 관계를 보여 줍니다. 일부 높은 수준의 권한(예: CONTROL SERVER)은 여러 번 나열되어 있습니다. 이 항목에서는 포스터가 너무 작아 읽기 어렵습니다.http://go.microsoft.com/fwlink/?LinkId=229142에서 데이터베이스 엔진 권한 포스터를 다운로드하세요.

다음은 사용 권한 이름 지정에 대한 일반적인 규칙 설명입니다.

  • CONTROL

    소유권과 같은 기능을 피부여자에게 줍니다. 피부여자는 보안 개체에 정의된 모든 사용 권한을 효율적으로 갖습니다. CONTROL이 부여된 보안 주체는 또한 보안 개체에 사용 권한을 부여할 수 있습니다.SQL Server 보안 모델은 계층적이기 때문에 특정 범위에서 CONTROL에는 해당 범위 하의 모든 보안 개체에 대한 CONTROL이 내재적으로 포함됩니다. 예를 들어 데이터베이스의 CONTROL은 해당 데이터베이스에 대한 모든 사용 권한, 데이터베이스의 모든 어셈블리에 대한 모든 사용 권한, 데이터베이스의 모든 스키마에 대한 모든 사용 권한 및 데이터베이스 내의 모든 스키마 내에 있는 개체에 대한 모든 사용 권한을 나타냅니다.

  • ALTER

    특정 보안 개체의 소유권을 제외한 속성을 변경할 수 있는 사용 권한을 줍니다. 범위에 부여된 경우 ALTER는 또한 해당 범위 내에 포함된 임의의 보안 개체를 변경하고, 만들고, 삭제할 수 있는 기능을 부여합니다. 예를 들어 스키마의 ALTER 권한에는 스키마에서 개체를 만들고, 변경하고, 삭제할 수 있는 기능이 포함됩니다.

  • ALTER ANY <Server Securable>(여기서 Server Securable은 임의의 서버 보안 개체)

    Server Securable의 개별 항목을 만들거나 변경하거나 삭제할 수 있는 기능을 제공합니다. 예를 들어 ALTER ANY LOGIN은 인스턴스의 모든 로그인을 만들거나 변경하거나 삭제할 수 있는 기능을 제공합니다.

  • ALTER ANY <Database Securable>(여기서 Database Securable은 데이터베이스 수준의 임의의 보안 개체)

    Database Securable의 개별 항목을 만들거나(CREATE) 변경하거나(ALTER) 삭제(DROP)할 수 있는 기능을 제공합니다. 예를 들어 ALTER ANY SCHEMA는 데이터베이스의 모든 스키마를 만들거나 변경하거나 삭제할 수 있는 기능을 제공합니다.

  • TAKE OWNERSHIP

    피부여자가 부여된 보안 개체의 소유권을 갖도록 합니다.

  • IMPERSONATE <Login>

    피부여자가 로그인을 가장하도록 합니다.

  • IMPERSONATE <User>

    피부여자가 사용자를 가장하도록 합니다.

  • CREATE <Server Securable>

    피부여자에게 Server Securable을 만들 수 있는 기능을 제공합니다.

  • CREATE <Database Securable>

    피부여자에게 Database Securable을 만들 수 있는 기능을 제공합니다.

  • CREATE <Schema-contained Securable>

    스키마가 포함된 보안 개체를 만들 수 있는 기능을 제공합니다. 하지만 특정 스키마에 보안 개체를 만들려면 스키마에 대한 ALTER 권한이 필요합니다.

  • VIEW DEFINITION

    피부여자가 메타데이터에 액세스하도록 합니다.

  • REFERENCES

    테이블에 대한 REFERENCES 권한은 해당 테이블을 참조하는 FOREIGN KEY 제약 조건을 만드는 데 필요합니다.

    개체에 대한 REFERENCES 권한은 해당 개체를 참조하는 WITH SCHEMABINDING 절을 사용하여 FUNCTION 또는 VIEW를 만드는 데 필요합니다.

pdf 형식의 모든 데이터베이스 엔진 권한에 대한 포스터 크기의 차트를 보려면 http://go.microsoft.com/fwlink/?LinkId=229142를 참조하세요.

다음 표에서는 주요 사용 권한 클래스와 사용 권한이 적용될 수 있는 보안 개체 종류를 나열합니다.

사용 권한적용 대상
ALTERTYPE을 제외한 모든 개체 클래스입니다.
CONTROL전체 개체 클래스: AGGREGATE, APPLICATION ROLE, ASSEMBLY, ASYMMETRIC KEY, AVAILABILITY GROUP, CERTIFICATE, CONTRACT, CREDENTIALS, DATABASE, DATABASE SCOPED CONFIGURATION, DEFAULT, ENDPOINT, FULLTEXT CATALOG, FULLTEXT STOPLIST, FUNCTION, LOGIN, MESSAGE TYPE, PROCEDURE, QUEUE, REMOTE SERVICE BINDING, ROLE, ROUTE, RULE, SCHEMA, SEARCH PROPERTY LIST, SERVER, SERVER ROLE, SERVICE, SYMMETRIC KEY, SYNONYM, TABLE, TYPE, USER, VIEW 및 XML SCHEMA COLLECTION
DELETEDATABASE SCOPED CONFIGURATION 및 SERVER를 제외한 전체 개체 클래스입니다.
EXECUTECLR 형식, 외부 스크립트, 프로시저(Transact-SQL 및 CLR), 스칼라와 집계 함수(Transact-SQL 및 CLR) 및 동의어
IMPERSONATE로그인 및 사용자
INSERT동의어, 테이블과 열, 뷰 및 열입니다. 데이터베이스, 스키마 또는 개체 수준에서 권한을 부여할 수 있습니다.
RECEIVEService Broker 큐
REFERENCESAGGREGATE, ASSEMBLY, ASYMMETRIC KEY, CERTIFICATE, CONTRACT, DATABASE, FULLTEXT CATALOG, FULLTEXT STOPLIST, FUNCTION, MESSAGE TYPE, PROCEDURE, QUEUE, RULE ,SCHEMA, SEARCH PROPERTY LIST, SEQUENCE OBJECT, SYMMETRIC KEY, SYNONYM, TABLE, TYPE, VIEW 및 XML SCHEMA COLLECTION
SELECT동의어, 테이블과 열, 뷰 및 열입니다. 데이터베이스, 스키마 또는 개체 수준에서 권한을 부여할 수 있습니다.
TAKE OWNERSHIPDATABASE SCOPED CONFIGURATION, LOGIN, SERVER 및 USER를 제외한 전체 개체 클래스입니다.
UPDATE동의어, 테이블과 열, 뷰 및 열입니다. 데이터베이스, 스키마 또는 개체 수준에서 권한을 부여할 수 있습니다.
VIEW CHANGE TRACKING스키마 및 테이블
VIEW DEFINITIONDATABASE SCOPED CONFIGURATION 및 SERVER를 제외한 전체 개체 클래스입니다.
System_CAPS_ICON_caution.jpg 주의


설치 시 시스템 개체에 부여되는 기본 사용 권한은 발생할 수 있는 위협이 있는지 신중하게 평가되며 SQL Server 설치 보안 강화의 일환으로 변경할 필요는 없습니다. 시스템 개체에 대한 사용 권한을 변경하면 기능이 제한 또는 중단될 수 있으며 SQL Server 설치가 지원되지 않는 상태가 될 수 있습니다.

다음 표에서는 SQL Server 사용 권한의 전체 목록을 제공합니다.SQL 데이터베이스 권한은 지원 되는 기본 보안 개체에 대해서만 사용할 수 있습니다. 서버 수준 사용 권한은 SQL 데이터베이스에서 부여될 수 없지만 일부 경우에 데이터베이스 사용 권한을 대신 사용할 수 있습니다.

기본 보안 개체기본 보안 개체에 대한 세부적 사용 권한사용 권한 유형 코드기본 보안 개체를 포함하는 보안 개체기본 보안 개체의 세부적 사용 권한을 나타내는 컨테이너 보안 개체의 사용 권한
APPLICATION ROLEALTERALDATABASEALTER ANY APPLICATION ROLE
APPLICATION ROLECONTROLCLDATABASECONTROL
APPLICATION ROLEVIEW DEFINITIONVWDATABASEVIEW DEFINITION
ASSEMBLYALTERALDATABASEALTER ANY ASSEMBLY
ASSEMBLYCONTROLCLDATABASECONTROL
ASSEMBLYREFERENCESRFDATABASEREFERENCES
ASSEMBLYTAKE OWNERSHIPTODATABASECONTROL
ASSEMBLYVIEW DEFINITIONVWDATABASEVIEW DEFINITION
ASYMMETRIC KEYALTERALDATABASEALTER ANY ASYMMETRIC KEY
ASYMMETRIC KEYCONTROLCLDATABASECONTROL
ASYMMETRIC KEYREFERENCESRFDATABASEREFERENCES
ASYMMETRIC KEYTAKE OWNERSHIPTODATABASECONTROL
ASYMMETRIC KEYVIEW DEFINITIONVWDATABASEVIEW DEFINITION
AVAILABILITY GROUPALTERALSERVERALTER ANY AVAILABILITY GROUP
AVAILABILITY GROUPCONTROLCLSERVERCONTROL SERVER
AVAILABILITY GROUPTAKE OWNERSHIPTOSERVERCONTROL SERVER
AVAILABILITY GROUPVIEW DEFINITIONVWSERVERVIEW ANY DEFINITION
CERTIFICATEALTERALDATABASEALTER ANY CERTIFICATE
CERTIFICATECONTROLCLDATABASECONTROL
CERTIFICATEREFERENCESRFDATABASEREFERENCES
CERTIFICATETAKE OWNERSHIPTODATABASECONTROL
CERTIFICATEVIEW DEFINITIONVWDATABASEVIEW DEFINITION
CONTRACTALTERALDATABASEALTER ANY CONTRACT
CONTRACTCONTROLCLDATABASECONTROL
CONTRACTREFERENCESRFDATABASEREFERENCES
CONTRACTTAKE OWNERSHIPTODATABASECONTROL
CONTRACTVIEW DEFINITIONVWDATABASEVIEW DEFINITION
DATABASEALTERALSERVERALTER ANY DATABASE
DATABASEALTER ANY APPLICATION ROLEALARSERVERCONTROL SERVER
DATABASEALTER ANY ASSEMBLYALASSERVERCONTROL SERVER
DATABASEALTER ANY ASYMMETRIC KEYALAKSERVERCONTROL SERVER
DATABASEALTER ANY CERTIFICATEALCFSERVERCONTROL SERVER
DATABASEALTER ANY COLUMN ENCRYPTION KEYALCK

적용 대상: SQL Server (SQL Server 2016 ~ 현재 버전), SQL 데이터베이스.
SERVERCONTROL SERVER
DATABASEALTER ANY COLUMN MASTER KEYALCM

적용 대상: SQL Server (SQL Server 2016 ~ 현재 버전), SQL 데이터베이스.
SERVERCONTROL SERVER
DATABASEALTER ANY CONTRACTALSCSERVERCONTROL SERVER
DATABASEALTER ANY DATABASE AUDITALDASERVERALTER ANY SERVER AUDIT
DATABASEALTER ANY DATABASE DDL TRIGGERALTGSERVERCONTROL SERVER
DATABASEALTER ANY DATABASE EVENT NOTIFICATIONALEDSERVERALTER ANY EVENT NOTIFICATION
DATABASEALTER ANY DATABASE EVENT SESSIONAADS

 SQL 데이터베이스에 적용됩니다.
SERVERALTER ANY EVENT SESSION
DATABASEALTER ANY DATABASE SCOPED CONFIGURATIONALDC

적용 대상: SQL Server (SQL Server 2016 ~ 현재 버전), SQL 데이터베이스.
SERVERCONTROL SERVER
DATABASEALTER ANY DATASPACEALDSSERVERCONTROL SERVER
DATABASEALTER ANY EXTERNAL DATA SOURCEAEDSSERVERCONTROL SERVER
DATABASEALTER ANY EXTERNAL FILE FORMATAEFFSERVERCONTROL SERVER
DATABASEALTER ANY FULLTEXT CATALOGALFTSERVERCONTROL SERVER
DATABASEALTER ANY MASKAAMK

적용 대상: SQL Server (SQL Server 2016 ~ 현재 버전).
SERVERCONTROL SERVER
DATABASEALTER ANY MESSAGE TYPEALMTSERVERCONTROL SERVER
DATABASEALTER ANY REMOTE SERVICE BINDINGALSBSERVERCONTROL SERVER
DATABASEALTER ANY ROLEALRLSERVERCONTROL SERVER
DATABASEALTER ANY ROUTEALRTSERVERCONTROL SERVER
DATABASEALTER ANY SCHEMAALSMSERVERCONTROL SERVER
DATABASEALTER ANY SECURITY POLICYALSP

적용 대상: SQL Server (SQL Server 2016 ~ 현재 버전), SQL 데이터베이스.
SERVERCONTROL SERVER
DATABASEALTER ANY SERVICEALSVSERVERCONTROL SERVER
DATABASEALTER ANY SYMMETRIC KEYALSKSERVERCONTROL SERVER
DATABASEALTER ANY USERALUSSERVERCONTROL SERVER
DATABASEAUTHENTICATEAUTHSERVERAUTHENTICATE SERVER
DATABASEBACKUP DATABASEBADBSERVERCONTROL SERVER
DATABASEBACKUP LOGBALOSERVERCONTROL SERVER
DATABASECHECKPOINTCPSERVERCONTROL SERVER
DATABASECONNECTCOSERVERCONTROL SERVER
DATABASECONNECT REPLICATIONCORPSERVERCONTROL SERVER
DATABASECONTROLCLSERVERCONTROL SERVER
DATABASECREATE AGGREGATECRAGSERVERCONTROL SERVER
DATABASECREATE ASSEMBLYCRASSERVERCONTROL SERVER
DATABASECREATE ASYMMETRIC KEYCRAKSERVERCONTROL SERVER
DATABASECREATE CERTIFICATECRCFSERVERCONTROL SERVER
DATABASECREATE CONTRACTCRSCSERVERCONTROL SERVER
DATABASECREATE DATABASECRDBSERVERCREATE ANY DATABASE
DATABASECREATE DATABASE DDL EVENT NOTIFICATIONCREDSERVERCREATE DDL EVENT NOTIFICATION
DATABASECREATE DEFAULTCRDFSERVERCONTROL SERVER
DATABASECREATE FULLTEXT CATALOGCRFTSERVERCONTROL SERVER
DATABASECREATE FUNCTIONCRFNSERVERCONTROL SERVER
DATABASECREATE MESSAGE TYPECRMTSERVERCONTROL SERVER
DATABASECREATE PROCEDURECRPRSERVERCONTROL SERVER
DATABASECREATE QUEUECRQUSERVERCONTROL SERVER
DATABASECREATE REMOTE SERVICE BINDINGCRSBSERVERCONTROL SERVER
DATABASECREATE ROLECRRLSERVERCONTROL SERVER
DATABASECREATE ROUTECRRTSERVERCONTROL SERVER
DATABASECREATE RULECRRUSERVERCONTROL SERVER
DATABASECREATE SCHEMACRSMSERVERCONTROL SERVER
DATABASECREATE SERVICECRSVSERVERCONTROL SERVER
DATABASECREATE SYMMETRIC KEYCRSKSERVERCONTROL SERVER
DATABASECREATE SYNONYMCRSNSERVERCONTROL SERVER
DATABASECREATE TABLECRTBSERVERCONTROL SERVER
DATABASECREATE TYPECRTYSERVERCONTROL SERVER
DATABASECREATE VIEWCRVWSERVERCONTROL SERVER
DATABASECREATE XML SCHEMA COLLECTIONCRXSSERVERCONTROL SERVER
DATABASEDELETEDLSERVERCONTROL SERVER
DATABASEEXECUTEEXSERVERCONTROL SERVER
DATABASEEXECUTE ANY EXTERNAL SCRIPTEAES

적용 대상: SQL Server (SQL Server 2016 ~ 현재 버전).
SERVERCONTROL SERVER
DATABASEINSERTINSERVERCONTROL SERVER
DATABASEKILL DATABASE CONNECTIONKIDC

 SQL 데이터베이스에만 적용됩니다.SQL Server에서 ALTER ANY CONNECTION을 사용합니다.
SERVERALTER ANY CONNECTION
DATABASEREFERENCESRFSERVERCONTROL SERVER
DATABASESELECTSLSERVERCONTROL SERVER
DATABASESHOWPLANSPLNSERVERALTER TRACE
DATABASESUBSCRIBE QUERY NOTIFICATIONSSUQNSERVERCONTROL SERVER
DATABASETAKE OWNERSHIPTOSERVERCONTROL SERVER
DATABASEUNMASKUMSK

적용 대상: SQL Server (SQL Server 2016 ~ 현재 버전).
SERVERCONTROL SERVER
DATABASEUPDATEUPSERVERCONTROL SERVER
DATABASEVIEW ANY COLUMN ENCRYPTION KEY DEFINITIONVWCK

적용 대상: SQL Server (SQL Server 2016 ~ 현재 버전), SQL 데이터베이스.
SERVERVIEW SERVER STATE
DATABASEVIEW ANY COLUMN MASTER KEY DEFINITIONvWCM

적용 대상: SQL Server (SQL Server 2016 ~ 현재 버전), SQL 데이터베이스.
SERVERVIEW SERVER STATE
DATABASEVIEW DATABASE STATEVWDSSERVERVIEW SERVER STATE
DATABASEVIEW DEFINITIONVWSERVERVIEW ANY DEFINITION
ENDPOINTALTERALSERVERALTER ANY ENDPOINT
ENDPOINTCONNECTCOSERVERCONTROL SERVER
ENDPOINTCONTROLCLSERVERCONTROL SERVER
ENDPOINTTAKE OWNERSHIPTOSERVERCONTROL SERVER
ENDPOINTVIEW DEFINITIONVWSERVERVIEW ANY DEFINITION
FULLTEXT CATALOGALTERALDATABASEALTER ANY FULLTEXT CATALOG
FULLTEXT CATALOGCONTROLCLDATABASECONTROL
FULLTEXT CATALOGREFERENCESRFDATABASEREFERENCES
FULLTEXT CATALOGTAKE OWNERSHIPTODATABASECONTROL
FULLTEXT CATALOGVIEW DEFINITIONVWDATABASEVIEW DEFINITION
FULLTEXT STOPLISTALTERALDATABASEALTER ANY FULLTEXT CATALOG
FULLTEXT STOPLISTCONTROLCLDATABASECONTROL
FULLTEXT STOPLISTREFERENCESRFDATABASEREFERENCES
FULLTEXT STOPLISTTAKE OWNERSHIPTODATABASECONTROL
FULLTEXT STOPLISTVIEW DEFINITIONVWDATABASEVIEW DEFINITION
LOGINALTERALSERVERALTER ANY LOGIN
LOGINCONTROLCLSERVERCONTROL SERVER
LOGINIMPERSONATEIMSERVERCONTROL SERVER
LOGINVIEW DEFINITIONVWSERVERVIEW ANY DEFINITION
MESSAGE TYPEALTERALDATABASEALTER ANY MESSAGE TYPE
MESSAGE TYPECONTROLCLDATABASECONTROL
MESSAGE TYPEREFERENCESRFDATABASEREFERENCES
MESSAGE TYPETAKE OWNERSHIPTODATABASECONTROL
MESSAGE TYPEVIEW DEFINITIONVWDATABASEVIEW DEFINITION
OBJECTALTERALSCHEMAALTER
OBJECTCONTROLCLSCHEMACONTROL
OBJECTDELETEDLSCHEMADELETE
OBJECTEXECUTEEXSCHEMAEXECUTE
OBJECTINSERTINSCHEMAINSERT
OBJECTRECEIVERCSCHEMACONTROL
OBJECTREFERENCESRFSCHEMAREFERENCES
OBJECTSELECTSLSCHEMASELECT
OBJECTTAKE OWNERSHIPTOSCHEMACONTROL
OBJECTUPDATEUPSCHEMAUPDATE
OBJECTVIEW CHANGE TRACKINGVWCTSCHEMAVIEW CHANGE TRACKING
OBJECTVIEW DEFINITIONVWSCHEMAVIEW DEFINITION
REMOTE SERVICE BINDINGALTERALDATABASEALTER ANY REMOTE SERVICE BINDING
REMOTE SERVICE BINDINGCONTROLCLDATABASECONTROL
REMOTE SERVICE BINDINGTAKE OWNERSHIPTODATABASECONTROL
REMOTE SERVICE BINDINGVIEW DEFINITIONVWDATABASEVIEW DEFINITION
ROLEALTERALDATABASEALTER ANY ROLE
ROLECONTROLCLDATABASECONTROL
ROLETAKE OWNERSHIPTODATABASECONTROL
ROLEVIEW DEFINITIONVWDATABASEVIEW DEFINITION
ROUTEALTERALDATABASEALTER ANY ROUTE
ROUTECONTROLCLDATABASECONTROL
ROUTETAKE OWNERSHIPTODATABASECONTROL
ROUTEVIEW DEFINITIONVWDATABASEVIEW DEFINITION
SEARCH PROPERTY LISTALTERALSERVERALTER ANY FULLTEXT CATALOG
SEARCH PROPERTY LISTCONTROLCLSERVERCONTROL
SEARCH PROPERTY LISTREFERENCESRFSERVERREFERENCES
SEARCH PROPERTY LISTTAKE OWNERSHIPTOSERVERCONTROL
SEARCH PROPERTY LISTVIEW DEFINITIONVWSERVERVIEW DEFINITION
SCHEMAALTERALDATABASEALTER ANY SCHEMA
SCHEMACONTROLCLDATABASECONTROL
SCHEMACREATE SEQUENCECRSODATABASECONTROL
SCHEMADELETEDLDATABASEDELETE
SCHEMAEXECUTEEXDATABASEEXECUTE
SCHEMAINSERTINDATABASEINSERT
SCHEMAREFERENCESRFDATABASEREFERENCES
SCHEMASELECTSLDATABASESELECT
SCHEMATAKE OWNERSHIPTODATABASECONTROL
SCHEMAUPDATEUPDATABASEUPDATE
SCHEMAVIEW CHANGE TRACKINGVWCTDATABASEVIEW CHANGE TRACKING
SCHEMAVIEW DEFINITIONVWDATABASEVIEW DEFINITION
SERVERADMINISTER BULK OPERATIONSADBO해당 사항 없음해당 사항 없음
SERVERALTER ANY AVAILABILITY GROUPALAG해당 사항 없음해당 사항 없음
SERVERALTER ANY CONNECTIONALCO해당 사항 없음해당 사항 없음
SERVERALTER ANY CREDENTIALALCD해당 사항 없음해당 사항 없음
SERVERALTER ANY DATABASEALDB해당 사항 없음해당 사항 없음
SERVERALTER ANY ENDPOINTALHE해당 사항 없음해당 사항 없음
SERVERALTER ANY EVENT NOTIFICATIONALES해당 사항 없음해당 사항 없음
SERVERALTER ANY EVENT SESSIONAAES해당 사항 없음해당 사항 없음
SERVERALTER ANY LINKED SERVERALLS해당 사항 없음해당 사항 없음
SERVERALTER ANY LOGINALLG해당 사항 없음해당 사항 없음
SERVERALTER ANY SERVER AUDITALAA해당 사항 없음해당 사항 없음
SERVERALTER ANY SERVER ROLEALSR해당 사항 없음해당 사항 없음
SERVERALTER RESOURCESALRS해당 사항 없음해당 사항 없음
SERVERALTER SERVER STATEALSS해당 사항 없음해당 사항 없음
SERVERALTER SETTINGSALST해당 사항 없음해당 사항 없음
SERVERALTER TRACEALTR해당 사항 없음해당 사항 없음
SERVERAUTHENTICATE SERVERAUTH해당 사항 없음해당 사항 없음
SERVERCONNECT ANY DATABASECADB해당 사항 없음해당 사항 없음
SERVERCONNECT SQLCOSQ해당 사항 없음해당 사항 없음
SERVERCONTROL SERVERCL해당 사항 없음해당 사항 없음
SERVERCREATE ANY DATABASECRDB해당 사항 없음해당 사항 없음
SERVERCREATE AVAILABILITY GROUPCRAC해당 사항 없음해당 사항 없음
SERVERCREATE DDL EVENT NOTIFICATIONCRDE해당 사항 없음해당 사항 없음
SERVERCREATE ENDPOINTCRHE해당 사항 없음해당 사항 없음
SERVERCREATE SERVER ROLECRSR해당 사항 없음해당 사항 없음
SERVERCREATE TRACE EVENT NOTIFICATIONCRTE해당 사항 없음해당 사항 없음
SERVEREXTERNAL ACCESS ASSEMBLYXA해당 사항 없음해당 사항 없음
SERVERIMPERSONATE ANY LOGINIAL해당 사항 없음해당 사항 없음
SERVERSELECT ALL USER SECURABLESSUS해당 사항 없음해당 사항 없음
SERVERSHUTDOWNSHDN해당 사항 없음해당 사항 없음
SERVERUNSAFE ASSEMBLYXU해당 사항 없음해당 사항 없음
SERVERVIEW ANY DATABASEVWDB해당 사항 없음해당 사항 없음
SERVERVIEW ANY DEFINITIONVWAD해당 사항 없음해당 사항 없음
SERVERVIEW SERVER STATEVWSS해당 사항 없음해당 사항 없음
SERVER ROLEALTERALSERVERALTER ANY SERVER ROLE
SERVER ROLECONTROLCLSERVERCONTROL SERVER
SERVER ROLETAKE OWNERSHIPTOSERVERCONTROL SERVER
SERVER ROLEVIEW DEFINITIONVWSERVERVIEW ANY DEFINITION
SERVICEALTERALDATABASEALTER ANY SERVICE
SERVICECONTROLCLDATABASECONTROL
SERVICESENDSNDATABASECONTROL
SERVICETAKE OWNERSHIPTODATABASECONTROL
SERVICEVIEW DEFINITIONVWDATABASEVIEW DEFINITION
SYMMETRIC KEYALTERALDATABASEALTER ANY SYMMETRIC KEY
SYMMETRIC KEYCONTROLCLDATABASECONTROL
SYMMETRIC KEYREFERENCESRFDATABASEREFERENCES
SYMMETRIC KEYTAKE OWNERSHIPTODATABASECONTROL
SYMMETRIC KEYVIEW DEFINITIONVWDATABASEVIEW DEFINITION
TYPECONTROLCLSCHEMACONTROL
TYPEEXECUTEEXSCHEMAEXECUTE
TYPEREFERENCESRFSCHEMAREFERENCES
TYPETAKE OWNERSHIPTOSCHEMACONTROL
TYPEVIEW DEFINITIONVWSCHEMAVIEW DEFINITION
USERALTERALDATABASEALTER ANY USER
USERCONTROLCLDATABASECONTROL
USERIMPERSONATEIMDATABASECONTROL
USERVIEW DEFINITIONVWDATABASEVIEW DEFINITION
XML SCHEMA COLLECTIONALTERALSCHEMAALTER
XML SCHEMA COLLECTIONCONTROLCLSCHEMACONTROL
XML SCHEMA COLLECTIONEXECUTEEXSCHEMAEXECUTE
XML SCHEMA COLLECTIONREFERENCESRFSCHEMAREFERENCES
XML SCHEMA COLLECTIONTAKE OWNERSHIPTOSCHEMACONTROL
XML SCHEMA COLLECTIONVIEW DEFINITIONVWSCHEMAVIEW DEFINITION

사용 권한 검사는 복잡할 수 있습니다. 사용 권한 검사 알고리즘에는 겹치는 그룹 멤버 자격과 소유권 체인이 포함됩니다. 둘 다 명시적 및 암시적 사용 권한이며 보안 가능한 엔터티가 포함된 보안 개체 클래스에 대한 사용 권한의 영향을 받을 수 있습니다. 알고리즘의 일반적인 프로세스는 관련된 사용 권한을 모두 수집하는 것입니다. DENY 차단이 발견되지 않는 경우 알고리즘에서는 충분한 액세스 권한을 제공하는 GRANT를 검색합니다. 알고리즘에는 세 가지 필수 요소인 보안 컨텍스트, 사용 권한 공간필요한 사용 권한이 포함되어 있습니다.

System_CAPS_ICON_note.jpg 참고


sa, dbo, 엔터티 소유자, information_schema, sys 또는 사용자 자신에 대한 권한을 부여, 거부 또는 취소할 수 없습니다.

  • 보안 컨텍스트

    보안 컨텍스트는 사용 권한을 액세스 검사에 제공하는 보안 주체 그룹입니다. 이것은 EXECUTE AS 문 사용으로 보안 컨텍스트가 다른 로그인 또는 사용자로 변경되지 않는 한 현재 로그인 또는 사용자와 관련된 사용 권한입니다. 보안 컨텍스트에는 다음 보안 주체가 포함됩니다.

    • 로그인

    • 사용자

    • 역할 멤버 자격

    • Windows 그룹 멤버 자격

    • 모듈 서명이 사용되는 경우 사용자가 현재 실행 중인 모듈에 서명하는 데 사용된 인증서에 대한 모든 로그인 또는 사용자 계정과 해당 보안 주체와 관련된 역할 멤버 자격

  • 사용 권한 공간

    사용 권한 공간은 보안 가능한 엔터티이며 보안 개체를 포함하는 보안 개체 클래스입니다. 예를 들어 테이블(보안 가능한 엔터티)은 스키마 보안 개체 클래스 및 데이터베이스 보안 개체 클래스에 포함됩니다. 액세스는 테이블 수준, 스키마 수준, 데이터베이스 수준 및 서버 수준 사용 권한의 영향을 받습니다. 자세한 내용은 사용 권한 계층(데이터베이스 엔진)를 참조하세요.

  • 필요한 권한

    필요한 유형의 사용 권한입니다. 예를 들면 INSERT, UPDATE, DELETE, SELECT, EXECUTE, ALTER, CONTROL 등입니다.

    다음 예에서와 같이 액세스에는 여러 사용 권한이 필요할 수 있습니다.

    • 저장 프로시저를 사용하려면 저장 프로시저에 대한 EXECUTE 사용 권한과 저장 프로시저에서 참조되는 여러 테이블에 대한 INSERT 사용 권한이 모두 필요할 수 있습니다.

    • 동적 관리 뷰를 사용하려면 뷰에 대한 VIEW SERVER STATE 및 SELECT 사용 권한이 모두 필요할 수 있습니다.

알고리즘의 일반적인 단계

알고리즘에서 보안 개체에 대한 액세스 허용 여부를 결정할 때 알고리즘에서 사용하는 세부 단계는 관련된 보안 주체 및 보안 개체에 따라 다릅니다. 하지만 다음과 같은 일반적인 단계를 수행합니다.

  1. 로그인이 sysadmin 고정 서버 역할의 멤버인 경우 또는 사용자가 현재 데이터베이스의 dbo 사용자인 경우 사용 권한 검사를 무시합니다.

  2. 소유권 체인이 적용 가능하며 체인에 있는 이전 개체에 대한 액세스 검사가 보안 검사를 통과하는 경우 액세스를 허용합니다.

  3. 보안 컨텍스트를 만들 수 있도록 호출자와 관련된 서버 수준, 데이터베이스 수준 및 서명된 모듈 ID를 집계합니다.

  4. 해당 보안 컨텍스트의 경우 사용 권한 공간에 대해 부여되거나 거부된 모든 사용 권한을 수집합니다. 사용 권한은 명시적으로 GRANT, GRANT WITH GRANT 또는 DENY로 지정되거나 내포적/포괄적 사용 권한인 GRANT 또는 DENY로 지정될 수 있습니다. 예를 들어 스키마에 대한 CONTROL 권한은 테이블에 대한 CONTROL을 내포합니다. 또한 테이블에 대한 CONTROL은 SELECT를 내포합니다. 따라서 스키마에 대한 CONTROL이 부여된 경우 테이블에 대한 SELECT도 부여됩니다. 테이블에 대한 CONTROL이 거부된 경우 테이블에 대한 SELECT도 거부됩니다.

    System_CAPS_ICON_note.jpg 참고


    열 수준 사용 권한의 GRANT는 개체 수준의 DENY보다 우선합니다.

  5. 필요한 사용 권한을 식별합니다.

  6. 사용 권한 공간의 개체에 대한 보안 컨텍스트에서 모든 ID에 대해 필요한 사용 권한이 직접적으로 또는 암시적으로 거부되는 경우 사용 권한 검사가 실패합니다.

  7. 필요한 권한이 거부되지 않고 사용 권한 공간의 모든 개체에 대한 보안 컨텍스트에서 모든 ID에 대한 직접적 또는 암시적인 GRANT 또는 GRANT WITH GRANT 사용 권한이 필요한 권한에 포함되는 경우 사용 권한 검사가 통과합니다.

이 섹션의 예에서는 사용 권한 정보를 검색하는 방법을 보여 줍니다.

1. 부여 가능한 사용 권한의 전체 목록 반환

다음 문에서는 fn_builtin_permissions함수를 사용하여 모든 데이터베이스 엔진 사용 권한을 반환합니다. 자세한 내용은 sys.fn_builtin_permissions(Transact-SQL)를 참조하세요.

SELECT * FROM fn_builtin_permissions(default);  
GO  

2. 특정 개체 클래스의 사용 권한 반환

다음 예제에서는 fn_builtin_permissions를 사용하여 보안 개체 범주에 사용할 수 있는 모든 사용 권한을 표시합니다. 다음 예에서는 어셈블리의 사용 권한을 반환합니다.

SELECT * FROM fn_builtin_permissions('assembly');  
GO    

3. 개체의 실행 보안 주체에 부여된 사용 권한 반환

다음 예에서는 fn_my_permissions를 사용하여 지정된 보안 개체에 대해 해당 보안 주체가 가진 유효 사용 권한의 목록을 반환합니다. 다음 예에서는 Orders55라는 개체의 사용 권한을 반환합니다. 자세한 내용은 sys.fn_my_permissions(Transact-SQL)를 참조하세요.

SELECT * FROM fn_my_permissions('Orders55', 'object');  
GO  

4. 지정된 개체에 적용할 수 있는 사용 권한 반환

다음 예에서는 Yttrium이라는 개체에 적용할 수 있는 사용 권한을 반환합니다.OBJECT_ID 개체의 ID를 검색하는 데 기본 제공 함수인 Yttrium가 사용됩니다.

SELECT * FROM sys.database_permissions   
    WHERE major_id = OBJECT_ID('Yttrium');  
GO  

사용 권한 계층(데이터베이스 엔진)
sys.database_permissions(Transact-SQL)

표시:
© 2016 Microsoft