REVOKE – révocation d'autorisations de base de données (Transact-SQL)

Article
05/23/2023

S’applique à :SQL Server Azure SQL Database Azure SQL Managed Instance Azure Synapse Analytics Analytics Platform System (PDW)Point de terminaison analytique SQL dans Microsoft Fabric Entrepôt dans Microsoft Fabric

Permet de révoquer des autorisations accordées et refusées sur une base de données.

Conventions de la syntaxe Transact-SQL

Syntaxe

REVOKE [ GRANT OPTION FOR ] <permission> [ ,...n ]    
    { TO | FROM } <database_principal> [ ,...n ]   
        [ CASCADE ]  
    [ AS <database_principal> ]  
  
<permission> ::=    
permission | ALL [ PRIVILEGES ]  
  
<database_principal> ::=   
      Database_user   
    | Database_role   
    | Application_role   
    | Database_user_mapped_to_Windows_User   
    | Database_user_mapped_to_Windows_Group   
    | Database_user_mapped_to_certificate   
    | Database_user_mapped_to_asymmetric_key   
    | Database_user_with_no_login

Remarque

Pour afficher la syntaxe Transact-SQL pour SQL Server 2014 (12.x) et versions antérieures, consultez la Documentation sur les versions antérieures.

Arguments

permission
Spécifie une autorisation qui peut être refusée sur une base de données. Pour obtenir la liste des autorisations, consultez la section Notes plus loin dans cette rubrique.

ALL
Cette option ne révoque pas toutes les autorisations possibles. La révocation complète, ALL, équivaut à révoquer les autorisations suivantes : BACKUP DATABASE, BACKUP LOG, CREATE DATABASE, CREATE DEFAULT, CREATE FUNCTION, CREATE PROCEDURE, CREATE RULE, CREATE TABLE et CREATE VIEW.

PRIVILEGES
Inclus pour la conformité aux normes ISO. Ne change pas le comportement de l'option ALL.

GRANT OPTION
Indique que le droit d'accorder l'autorisation spécifiée à d'autres principaux sera révoqué. L'autorisation elle-même ne sera pas révoquée.

Important

Si le principal possède l'autorisation spécifiée sans l'option GRANT, l'autorisation elle-même sera révoquée.

CASCADE
Indique que l'autorisation en cours de révocation est également révoquée sur les principaux auxquels cette autorisation a été accordée ou révoquée par ce principal.

Attention

Une révocation en cascade d'une autorisation accordée avec l'option WITH GRANT OPTION entraîne la révocation des deux options GRANT et DENY de cette autorisation.

AS <database_principal> Spécifie un principal duquel le principal qui exécute cette requête dérive son droit de révoquer l’autorisation.

Database_user
Spécifie un utilisateur de base de données.

Database_role
Spécifie un rôle de base de données.

Application_role
S’applique à : SQL Server 2008 (10.0.x) et versions ultérieures, Azure SQL Database

Spécifie un rôle d'application.

Database_user_mapped_to_Windows_User
S’applique à : SQL Server 2008 (10.0.x) et versions ultérieures

Spécifie un utilisateur de base de données mappé sur un utilisateur Windows.

Database_user_mapped_to_Windows_Group
S’applique à : SQL Server 2008 (10.0.x) et versions ultérieures

Spécifie un utilisateur de base de données mappé à un groupe Windows.

Database_user_mapped_to_certificate
S’applique à : SQL Server 2008 (10.0.x) et versions ultérieures

Spécifie un utilisateur de base de données mappé sur un certificat.

Database_user_mapped_to_asymmetric_key
S’applique à : SQL Server 2008 (10.0.x) et versions ultérieures

Spécifie un utilisateur de base de données mappé à une clé asymétrique.

Database_user_with_no_login
Spécifie un utilisateur de base de données sans principal au niveau serveur correspondant.

Notes

L'instruction échoue si l'option CASCADE n'est pas spécifiée lors de la révocation d'une autorisation pour un principal auquel cette autorisation a été accordée avec l'option GRANT OPTION.

Une base de données est un élément sécurisable contenu par le serveur qui est son parent dans la hiérarchie des autorisations. Les autorisations les plus spécifiques et limitées qu'il est possible de révoquer sur une base de données sont répertoriées dans le tableau ci-dessous, avec les autorisations plus générales qui les incluent de manière implicite.

Autorisation de base de données	Impliquée par une autorisation de base de données	Déduite d'une autorisation de serveur
ADMINISTER DATABASE BULK OPERATIONS S’applique à : SQL Database.	CONTROL	CONTROL SERVER
ALTER	CONTROL	ALTER ANY DATABASE
ALTER ANY APPLICATION ROLE	ALTER	CONTROL SERVER
ALTER ANY ASSEMBLY	ALTER	CONTROL SERVER
ALTER ANY ASYMMETRIC KEY	ALTER	CONTROL SERVER
ALTER ANY CERTIFICATE	ALTER	CONTROL SERVER
ALTER ANY COLUMN ENCRYPTION KEY	ALTER	CONTROL SERVER
ALTER ANY COLUMN MASTER KEY DEFINITION	ALTER	CONTROL SERVER
ALTER ANY CONTRACT	ALTER	CONTROL SERVER
ALTER ANY DATABASE AUDIT	ALTER	ALTER ANY SERVER AUDIT
ALTER ANY DATABASE DDL TRIGGER	ALTER	CONTROL SERVER
ALTER ANY DATABASE EVENT NOTIFICATION	ALTER	ALTER ANY EVENT NOTIFICATION
ALTER ANY DATABASE EVENT SESSION S'applique à: Azure SQL Database.	ALTER	ALTER ANY EVENT SESSION
ALTER ANY DATABASE SCOPED CONFIGURATION S’applique à : SQL Server 2016 (13.x) et versions ultérieures, SQL Database.	CONTROL	CONTROL SERVER
ALTER ANY DATASPACE	ALTER	CONTROL SERVER
ALTER ANY EXTERNAL DATA SOURCE	ALTER	CONTROL SERVER
ALTER ANY EXTERNAL FILE FORMAT	ALTER	CONTROL SERVER
ALTER ANY EXTERNAL LIBRARY S'applique à: SQL Server 2017 (14.x).	CONTROL	CONTROL SERVER
ALTER ANY FULLTEXT CATALOG	ALTER	CONTROL SERVER
ALTER ANY MASK	CONTROL	CONTROL SERVER
ALTER ANY MESSAGE TYPE	ALTER	CONTROL SERVER
ALTER ANY REMOTE SERVICE BINDING	ALTER	CONTROL SERVER
ALTER ANY ROLE	ALTER	CONTROL SERVER
ALTER ANY ROUTE	ALTER	CONTROL SERVER
ALTER ANY SCHEMA	ALTER	CONTROL SERVER
MODIFIER UNE STRATÉGIE DE SÉCURITÉ S'applique à: Azure SQL Database.	CONTROL	CONTROL SERVER
ALTER ANY SERVICE	ALTER	CONTROL SERVER
ALTER ANY SYMMETRIC KEY	ALTER	CONTROL SERVER
ALTER ANY USER	ALTER	CONTROL SERVER
AUTHENTICATE	CONTROL	AUTHENTICATE SERVER
BACKUP DATABASE	CONTROL	CONTROL SERVER
BACKUP LOG	CONTROL	CONTROL SERVER
CHECKPOINT	CONTROL	CONTROL SERVER
CONNECT	CONNECT REPLICATION	CONTROL SERVER
CONNECT REPLICATION	CONTROL	CONTROL SERVER
CONTROL	CONTROL	CONTROL SERVER
CREATE AGGREGATE	ALTER	CONTROL SERVER
CREATE ASSEMBLY	ALTER ANY ASSEMBLY	CONTROL SERVER
CREATE ASYMMETRIC KEY	ALTER ANY ASYMMETRIC KEY	CONTROL SERVER
CREATE CERTIFICATE	ALTER ANY CERTIFICATE	CONTROL SERVER
CREATE CONTRACT	ALTER ANY CONTRACT	CONTROL SERVER
CREATE DATABASE	CONTROL	CREATE ANY DATABASE
CREATE DATABASE DDL EVENT NOTIFICATION	ALTER ANY DATABASE EVENT NOTIFICATION	CREATE DDL EVENT NOTIFICATION
CREATE DEFAULT	ALTER	CONTROL SERVER
CREATE FULLTEXT CATALOG	ALTER ANY FULLTEXT CATALOG	CONTROL SERVER
CREATE FUNCTION	ALTER	CONTROL SERVER
CREATE MESSAGE TYPE	ALTER ANY MESSAGE TYPE	CONTROL SERVER
CREATE PROCEDURE	ALTER	CONTROL SERVER
CREATE QUEUE	ALTER	CONTROL SERVER
CREATE REMOTE SERVICE BINDING	ALTER ANY REMOTE SERVICE BINDING	CONTROL SERVER
CREATE ROLE	ALTER ANY ROLE	CONTROL SERVER
CREATE ROUTE	ALTER ANY ROUTE	CONTROL SERVER
CREATE RULE	ALTER	CONTROL SERVER
CREATE SCHEMA	ALTER ANY SCHEMA	CONTROL SERVER
CREATE SERVICE	ALTER ANY SERVICE	CONTROL SERVER
CREATE SYMMETRIC KEY	ALTER ANY SYMMETRIC KEY	CONTROL SERVER
CREATE SYNONYM	ALTER	CONTROL SERVER
CREATE TABLE	ALTER	CONTROL SERVER
CREATE TYPE	ALTER	CONTROL SERVER
CREATE VIEW	ALTER	CONTROL SERVER
CREATE XML SCHEMA COLLECTION	ALTER	CONTROL SERVER
Suppression	CONTROL	CONTROL SERVER
Exécutez	CONTROL	CONTROL SERVER
EXECUTE ANY EXTERNAL SCRIPT S'applique à: SQL Server 2016 (13.x).	CONTROL	CONTROL SERVER
INSERT	CONTROL	CONTROL SERVER
KILL DATABASE CONNECTION S'applique à: Azure SQL Database.	CONTROL	ALTER ANY CONNECTION
REFERENCES	CONTROL	CONTROL SERVER
SELECT	CONTROL	CONTROL SERVER
SHOWPLAN	CONTROL	ALTER TRACE
SUBSCRIBE QUERY NOTIFICATIONS	CONTROL	CONTROL SERVER
TAKE OWNERSHIP	CONTROL	CONTROL SERVER
UNMASK	CONTROL	CONTROL SERVER
UPDATE	CONTROL	CONTROL SERVER
VIEW ANY COLUMN ENCRYPTION KEY DEFINITION	CONTROL	VIEW ANY DEFINITION
VIEW ANY COLUMN MASTER KEY DEFINITION	CONTROL	VIEW ANY DEFINITION
VIEW DATABASE STATE	CONTROL	VIEW SERVER STATE
VIEW DEFINITION	CONTROL	VIEW ANY DEFINITION

Autorisations

Le principal qui exécute cette instruction (ou le principal spécifié avec l'option AS) doit posséder l'autorisation CONTROL sur la base de données ou une autorisation plus élevée qui implique l'autorisation CONTROL sur la base de données.

Si vous utilisez l'option AS, le principal spécifié doit être propriétaire de la base de données.

Exemples

R. Révocation d'une autorisation pour créer des certificats

Dans l'exemple ci-dessous, l'autorisation CREATE CERTIFICATE sur la base de données AdventureWorks2022 est révoquée pour l'utilisateur MelanieK.

S’applique à : SQL Server 2008 (10.0.x) et versions ultérieures

USE AdventureWorks2022;  
REVOKE CREATE CERTIFICATE FROM MelanieK;  
GO

B. Révocation d'une autorisation REFERENCES à partir d'un rôle d'application

Dans l'exemple ci-dessous, l'autorisation REFERENCES sur la base de données AdventureWorks2022 est révoquée du rôle d'application AuditMonitor.

S’applique à : SQL Server 2008 (10.0.x) et versions ultérieures, Azure SQL Database

USE AdventureWorks2022;  
REVOKE REFERENCES FROM AuditMonitor;  
GO

C. Révocation d'une autorisation VIEW DEFINITION avec l'option CASCADE

Dans l'exemple ci-dessous, l'autorisation VIEW DEFINITION sur la base de données AdventureWorks2022 est révoquée pour l'utilisateur CarmineEs et pour tous les principaux auxquels CarmineEs a accordé l'autorisation VIEW DEFINITION.

USE AdventureWorks2022;  
REVOKE VIEW DEFINITION FROM CarmineEs CASCADE;  
GO

Voir aussi

sys.database_permissions (Transact-SQL)
sys.database_principals (Transact-SQL)
GRANT – octroi d'autorisations de base de données (Transact-SQL)
DENY – refus d'autorisations de base de données (Transact-SQL)
Autorisations (moteur de base de données)
Principaux (moteur de base de données)