権限 (データベース エンジン)Permissions (Database Engine)

適用対象: ○SQL Server ○Azure SQL Database ○Azure SQL Data Warehouse ○Parallel Data WarehouseAPPLIES TO: yesSQL Server yesAzure SQL Database yesAzure SQL Data Warehouse yesParallel Data Warehouse

SQL ServerSQL Server のセキュリティ保護可能なリソースにはすべて、プリンシパルに許可できる権限が関連付けられています。Every SQL ServerSQL Server securable has associated permissions that can be granted to a principal. データベース エンジンDatabase Engine の権限は、ログインおよびサーバー ロールに割り当てられたサーバー レベル、およびデータベース ユーザーおよびデータベース ロールに割り当てられたデータベース レベルで管理されます。Permissions in the データベース エンジンDatabase Engine are managed at the server level assigned to logins and server roles, and at the database level assigned to database users and database roles. SQL DatabaseSQL Database のモデルには、データベース権限用に同じシステムがありますが、サーバー レベルの権限は使用できません。The model for SQL DatabaseSQL Database has the same system for the database permissions, but the server level permissions are not available. このトピックでは、権限の一覧を示します。This topic contains the complete list of permissions. アクセス許可の一般的な実装については、「 Getting Started with Database Engine Permissions」を参照してください。For a typical implementation of the permissions, see Getting Started with Database Engine Permissions.

SQL Server 2017 (14.x)SQL Server 2017 (14.x)SQL DatabaseSQL Database の権限の合計数 は 237 です。The total number of permissions for SQL Server 2017 (14.x)SQL Server 2017 (14.x) and SQL DatabaseSQL Database is 237. ほとんどの権限はすべてのプラットフォームに適用されますがが、一部は適用されません。Most permissions apply to all platforms, but some do not. たとえば、サーバー レベルの権限は SQL データベースに対して付与することができず、 SQL DatabaseSQL Databaseで意味を成すのは、いくつかの権限のみです。For example server level permissions cannot be granted on SQL Database, and a few permissions only make sense on SQL DatabaseSQL Database. SQL Server 2016 (13.x)SQL Server 2016 (13.x) は 230 の権限を公開します。exposed 230 permissions. SQL Server 2014 (12.x)SQL Server 2014 (12.x) は 219 の権限を公開します。exposed 219 permissions. SQL Server 2012 (11.x)SQL Server 2012 (11.x) は 214 の権限を公開します。exposed 214 permissions. SQL Server 2008 R2SQL Server 2008 R2 は 195 の権限を公開します。exposed 195 permissions. Sys.fn_builtin_permissions トピックでは、最近のバージョンでどのトピックが新しいかが明確に記載されています。The sys.fn_builtin_permissions topic specifies which topics are new in recent versions.

権限を理解したら、 GRANTREVOKE、および DENY ステートメントを使用してサーバー レベルの権限をログインとデータベース レベルの権限ユーザーに付与します。Once you understand the permissions, apply server level permissions to logins and database level permissions users with the GRANT, REVOKE, and DENY statements. 例:For Example:

GRANT SELECT ON OBJECT::HumanResources.Employee TO Larry;
REVOKE SELECT ON OBJECT::HumanResources.Employee TO Larry;

権限システムの計画のヒントについては、「 データベース エンジンの権限の概要」を参照してください。For tips on planning a permissions system, see Getting Started with Database Engine Permissions.

権限の名前付け規則Permissions Naming Conventions

ここでは、権限に名前を付ける際に従う一般的な規則について説明します。The following describes the general conventions that are followed for naming permissions:

  • CONTROLCONTROL

    権限を与えられたユーザーに所有権のような権限を与えます。Confers ownership-like capabilities on the grantee. 権限を与えられたユーザーは、事実上、セキュリティ保護可能なリソースに対する定義済みのすべての権限を持っています。The grantee effectively has all defined permissions on the securable. CONTROL を許可されたプリンシパルには、セキュリティ保護可能なリソースに対する権限も許可できます。A principal that has been granted CONTROL can also grant permissions on the securable. SQL ServerSQL Server セキュリティ モデルは階層構造であるため、特定のスコープの CONTROL には、そのスコープ下のセキュリティ保護可能なすべてのリソースに対する CONTROL が暗黙的に含まれます。Because the SQL ServerSQL Server security model is hierarchical, CONTROL at a particular scope implicitly includes CONTROL on all the securables under that scope. たとえば、データベースに対する CONTROL は、データベースに対するすべての権限、データベース内のすべてのアセンブリに対するすべての権限、データベース内のすべてのスキーマに対するすべての権限、およびデータベース内のすべてのスキーマに含まれているオブジェクトに対するすべての権限を意味します。For example, CONTROL on a database implies all permissions on the database, all permissions on all assemblies in the database, all permissions on all schemas in the database, and all permissions on objects within all schemas within the database.

  • ALTERALTER

    セキュリティ保護可能な特定のリソースのプロパティを変更できるようにします。ただし、所有権は変更できません。Confers the ability to change the properties, except ownership, of a particular securable. スコープに対して許可された場合、ALTER では、そのスコープに含まれているセキュリティ保護可能なすべてのリソースの変更、作成、または削除も行えるようになります。When granted on a scope, ALTER also bestows the ability to alter, create, or drop any securable that is contained within that scope. たとえば、スキーマに対する ALTER 権限には、スキーマのオブジェクトを作成、変更、および削除する権限が含まれています。For example, ALTER permission on a schema includes the ability to create, alter, and drop objects from the schema.

  • ALTER ANY <Server Securable>。ここで、Server Securable には、任意のセキュリティ保護可能なサーバーを指定できます。ALTER ANY <Server Securable>, where Server Securable can be any server securable.

    Server Securableの個々のインスタンスを作成、変更、削除できるようにします。Confers the ability to create, alter, or drop individual instances of the Server Securable. たとえば、ALTER ANY LOGIN では、インスタンス内の任意のログインを作成、変更、または削除できます。For example, ALTER ANY LOGIN confers the ability to create, alter, or drop any login in the instance.

  • ALTER ANY <Database Securable>。ここで、Database Securable には、データベース レベルの任意のセキュリティ保護可能なリソースを指定できます。ALTER ANY <Database Securable>, where Database Securable can be any securable at the database level.

    Database Securableの個々のインスタンスを CREATE、ALTER、DROP できるようにします。Confers the ability to CREATE, ALTER, or DROP individual instances of the Database Securable. たとえば、ALTER ANY SCHEMA では、データベース内の任意のスキーマを作成、変更、または削除できます。For example, ALTER ANY SCHEMA confers the ability to create, alter, or drop any schema in the database.

  • TAKE OWNERSHIPTAKE OWNERSHIP

    権限を与えられたユーザーが、許可されたセキュリティ保護可能なリソースの所有権を使用できるようにします。Enables the grantee to take ownership of the securable on which it is granted.

  • IMPERSONATE <Login>IMPERSONATE <Login>

    権限を与えられたユーザーが、Login の権限を借用できるようにします。Enables the grantee to impersonate the login.

  • IMPERSONATE <User>IMPERSONATE <User>

    権限を与えられたユーザーが、User の権限を借用できるようにします。Enables the grantee to impersonate the user.

  • CREATE <Server Securable>CREATE <Server Securable>

    権限を与えられたユーザーが Server Securableを作成できるようにします。Confers to the grantee the ability to create the Server Securable.

  • CREATE <Database Securable>CREATE <Database Securable>

    権限を与えられたユーザーが Database Securableを作成できるようにします。Confers to the grantee the ability to create the Database Securable.

  • CREATE <Schema-contained Securable>CREATE <Schema-contained Securable>

    スキーマに含まれているセキュリティ保護可能なリソースを作成できるようにします。Confers the ability to create the schema-contained securable. ただし、特定のスキーマ内でセキュリティ保護可能なリソースを作成するには、そのスキーマに対する ALTER 権限が必要です。However, ALTER permission on the schema is required to create the securable in a particular schema.

  • VIEW DEFINITIONVIEW DEFINITION

    権限を与えられたユーザーがメタデータにアクセスできるようにします。Enables the grantee to access metadata.

  • REFERENCESREFERENCES

    テーブルを参照する FOREIGN KEY 制約を作成するには、そのテーブルに対する REFERENCES 権限が必要です。The REFERENCES permission on a table is needed to create a FOREIGN KEY constraint that references that table.

    オブジェクトを参照する WITH SCHEMABINDING 句を含む関数またはビューを作成するには、そのオブジェクトに対する REFERENCES 権限が必要です。The REFERENCES permission is needed on an object to create a FUNCTION or VIEW with the WITH SCHEMABINDING clause that references that object.

SQL Server 権限の一覧表Chart of SQL Server Permissions

次の図は、権限とそれらの関連性を示します。The following graphic shows the permissions and their relationships to each other. 一部の高いレベルの許可 ( CONTROL SERVERなど) は複数回列挙されています。Some of the higher level permissions (such as CONTROL SERVER) are listed many times. この記事のポスターは、読み取るには小さすぎます。In this article, the poster is far too small to read. 画像をクリックすると、データベース エンジンのアクセス許可ポスターを pdf 形式でダウンロードできます。Click the image to download the Database Engine Permissions Poster in pdf format.

データベース エンジンの権限Database Engine Permissions

特定のセキュリティ保護可能なリソースに適用できる権限Permissions Applicable to Specific Securables

次の表に、主な権限のクラスおよび各権限を適用できるセキュリティ保護可能なリソースの種類を示します。The following table lists major classes of permissions and the kinds of securables to which they may be applied.

権限Permission 適用対象Applies to
ALTERALTER オブジェクトのすべてのクラス (TYPE を除く)。All classes of objects except TYPE.
CONTROLCONTROL オブジェクトのすべてのクラス:All classes of objects:
AGGREGATE、AGGREGATE,
APPLICATION ROLE、APPLICATION ROLE,
ASSEMBLY、ASSEMBLY,
ASYMMETRIC KEY、ASYMMETRIC KEY,
AVAILABILITY GROUP、AVAILABILITY GROUP,
CERTIFICATE、CERTIFICATE,
CONTRACT、CONTRACT,
CREDENTIALS、DATABASE、CREDENTIALS, DATABASE,
DATABASE SCOPED CREDENTIAL、DATABASE SCOPED CREDENTIAL,
DEFAULT、DEFAULT,
ENDPOINT、ENDPOINT,
FULLTEXT CATALOG、FULLTEXT CATALOG,
FULLTEXT STOPLIST、FULLTEXT STOPLIST,
FUNCTION、FUNCTION,
LOGIN、LOGIN,
MESSAGE TYPE、MESSAGE TYPE,
PROCEDURE、PROCEDURE,
QUEUE、QUEUE,
REMOTE SERVICE BINDING、REMOTE SERVICE BINDING,
ROLE、ROLE,
ROUTE、ROUTE,
RULE、RULE,
SCHEMA、SCHEMA,
SEARCH PROPERTY LIST、SEARCH PROPERTY LIST,
SERVER、SERVER,
SERVER ROLE、SERVER ROLE,
SERVICE、SERVICE,
SYMMETRIC KEY、SYMMETRIC KEY,
SYNONYM、SYNONYM,
TABLE、TABLE,
TYPE、USER、TYPE, USER,
VIEW、およびVIEW, and
XML SCHEMA COLLECTIONXML SCHEMA COLLECTION
DelDELETE オブジェクトのすべてのクラス (DATABASE SCOPED CONFIGURATION および SERVER を除く)。All classes of objects except DATABASE SCOPED CONFIGURATION, and SERVER.
EXECUTEEXECUTE CLR 型、外部スクリプト、プロシージャ (Transact-SQLTransact-SQL と CLR)、スカラー関数、集計関数 (Transact-SQLTransact-SQL と CLR)、およびシノニムCLR types, external scripts, procedures (Transact-SQLTransact-SQL and CLR), scalar and aggregate functions (Transact-SQLTransact-SQL and CLR), and synonyms
IMPERSONATEIMPERSONATE ログイン、ユーザーLogins and users
INSERTINSERT シノニム、テーブルと列、ビューと列。Synonyms, tables and columns, views and columns. データベース、スキーマ、またはオブジェクト レベルで権限を付与できます。Permission can be granted at the database, schema, or object level.
RECEIVERECEIVE Service BrokerService Broker キューqueues
REFERENCESREFERENCES AGGREGATE、AGGREGATE,
ASSEMBLY、ASSEMBLY,
ASYMMETRIC KEY、ASYMMETRIC KEY,
CERTIFICATE、CERTIFICATE,
CONTRACT、CONTRACT,
DATABASE、DATABASE,
DATABASE SCOPED CREDENTIAL、DATABASE SCOPED CREDENTIAL,
FULLTEXT CATALOG、FULLTEXT CATALOG,
FULLTEXT STOPLIST、FULLTEXT STOPLIST,
FUNCTION、FUNCTION,
MESSAGE TYPE、MESSAGE TYPE,
PROCEDURE、PROCEDURE,
QUEUE、QUEUE,
RULE、RULE,
SCHEMA、SCHEMA,
SEARCH PROPERTY LIST、SEARCH PROPERTY LIST,
SEQUENCE OBJECT、SEQUENCE OBJECT,
SYMMETRIC KEY、SYMMETRIC KEY,
SYNONYM、SYNONYM,
TABLE、TABLE,
TYPE、TYPE,
VIEW、およびVIEW, and
XML SCHEMA COLLECTIONXML SCHEMA COLLECTION
SELECTSELECT シノニム、テーブルと列、ビューと列。Synonyms, tables and columns, views and columns. データベース、スキーマ、またはオブジェクト レベルで権限を付与できます。Permission can be granted at the database, schema, or object level.
TAKE OWNERSHIPTAKE OWNERSHIP オブジェクトのすべてのクラス (DATABASE SCOPED CONFIGURATION、LOGIN、SERVER、および USER を除く)。All classes of objects except DATABASE SCOPED CONFIGURATION, LOGIN, SERVER, and USER.
UPDATEUPDATE シノニム、テーブルと列、ビューと列。Synonyms, tables and columns, views and columns. データベース、スキーマ、またはオブジェクト レベルで権限を付与できます。Permission can be granted at the database, schema, or object level.
VIEW CHANGE TRACKINGVIEW CHANGE TRACKING スキーマとテーブルSchemas and tables
VIEW DEFINITIONVIEW DEFINITION オブジェクトのすべてのクラス (DATABASE SCOPED CONFIGURATION および SERVER を除く)。All classes of objects except DATABASE SCOPED CONFIGURATION, and SERVER.

注意事項

セットアップ時にシステム オブジェクトに付与された既定のアクセス許可は、発生する可能性のある脅威に対して慎重に評価されているため、 SQL ServerSQL Server のインストールの際、セキュリティ強化の一部として変更する必要はありません。The default permissions that are granted to system objects at the time of setup are carefully evaluated against possible threats and need not be altered as part of hardening the SQL ServerSQL Server installation. システム オブジェクトのアクセス許可の変更はどのようなものであっても、機能を制限または中断する可能性があり、 SQL ServerSQL Server のインストールがサポートされていない状態のままになる場合があります。Any changes to the permissions on the system objects could limit or break the functionality and could potentially leave your SQL ServerSQL Server installation in an unsupported state.

SQL Server 権限SQL Server Permissions

次の表に、 SQL ServerSQL Server のすべての権限の一覧を示します。The following table provides a complete list of SQL ServerSQL Server permissions. SQL DatabaseSQL Database のアクセス許可は、サポートされている基本のセキュリティ保護可能なリソースにのみ使用できます。permissions are only available for base securables that are supported. SQL DatabaseSQL Databaseではサーバー レベルのアクセス許可を付与することはできませんが、代わりにデータベースのアクセス許可を付与できる場合があります。Server level permissions cannot be granted in SQL DatabaseSQL Database, however in some cases database permissions are available instead.

セキュリティ保護可能な基本リソースBase securable セキュリティ保護可能な基本リソースに対する粒度の細かい権限Granular permissions on base securable 権限の種類のコードPermission type code 基本リソースを含んでいる別のセキュリティ保護可能なリソースSecurable that contains base securable セキュリティ保護可能なコンテナーに対する権限 (基本リソースに対する粒度の細かい権限を暗示)Permission on container securable that implies granular permission on base securable
APPLICATION ROLEAPPLICATION ROLE ALTERALTER ALAL DATABASEDATABASE ALTER ANY APPLICATION ROLEALTER ANY APPLICATION ROLE
APPLICATION ROLEAPPLICATION ROLE CONTROLCONTROL CLCL DATABASEDATABASE CONTROLCONTROL
APPLICATION ROLEAPPLICATION ROLE VIEW DEFINITIONVIEW DEFINITION VWVW DATABASEDATABASE VIEW DEFINITIONVIEW DEFINITION
ASSEMBLYASSEMBLY ALTERALTER ALAL DATABASEDATABASE ALTER ANY ASSEMBLYALTER ANY ASSEMBLY
ASSEMBLYASSEMBLY CONTROLCONTROL CLCL DATABASEDATABASE CONTROLCONTROL
ASSEMBLYASSEMBLY REFERENCESREFERENCES RFRF DATABASEDATABASE REFERENCESREFERENCES
ASSEMBLYASSEMBLY TAKE OWNERSHIPTAKE OWNERSHIP TOTO DATABASEDATABASE CONTROLCONTROL
ASSEMBLYASSEMBLY VIEW DEFINITIONVIEW DEFINITION VWVW DATABASEDATABASE VIEW DEFINITIONVIEW DEFINITION
ASYMMETRIC KEYASYMMETRIC KEY ALTERALTER ALAL DATABASEDATABASE ALTER ANY ASYMMETRIC KEYALTER ANY ASYMMETRIC KEY
ASYMMETRIC KEYASYMMETRIC KEY CONTROLCONTROL CLCL DATABASEDATABASE CONTROLCONTROL
ASYMMETRIC KEYASYMMETRIC KEY REFERENCESREFERENCES RFRF DATABASEDATABASE REFERENCESREFERENCES
ASYMMETRIC KEYASYMMETRIC KEY TAKE OWNERSHIPTAKE OWNERSHIP TOTO DATABASEDATABASE CONTROLCONTROL
ASYMMETRIC KEYASYMMETRIC KEY VIEW DEFINITIONVIEW DEFINITION VWVW DATABASEDATABASE VIEW DEFINITIONVIEW DEFINITION
AVAILABILITY GROUPAVAILABILITY GROUP ALTERALTER ALAL SERVERSERVER ALTER ANY AVAILABILITY GROUPALTER ANY AVAILABILITY GROUP
AVAILABILITY GROUPAVAILABILITY GROUP CONTROLCONTROL CLCL SERVERSERVER CONTROL SERVERCONTROL SERVER
AVAILABILITY GROUPAVAILABILITY GROUP TAKE OWNERSHIPTAKE OWNERSHIP TOTO SERVERSERVER CONTROL SERVERCONTROL SERVER
AVAILABILITY GROUPAVAILABILITY GROUP VIEW DEFINITIONVIEW DEFINITION VWVW SERVERSERVER VIEW ANY DEFINITIONVIEW ANY DEFINITION
CERTIFICATECERTIFICATE ALTERALTER ALAL DATABASEDATABASE ALTER ANY CERTIFICATEALTER ANY CERTIFICATE
CERTIFICATECERTIFICATE CONTROLCONTROL CLCL DATABASEDATABASE CONTROLCONTROL
CERTIFICATECERTIFICATE REFERENCESREFERENCES RFRF DATABASEDATABASE REFERENCESREFERENCES
CERTIFICATECERTIFICATE TAKE OWNERSHIPTAKE OWNERSHIP TOTO DATABASEDATABASE CONTROLCONTROL
CERTIFICATECERTIFICATE VIEW DEFINITIONVIEW DEFINITION VWVW DATABASEDATABASE VIEW DEFINITIONVIEW DEFINITION
CONTRACTCONTRACT ALTERALTER ALAL DATABASEDATABASE ALTER ANY CONTRACTALTER ANY CONTRACT
CONTRACTCONTRACT CONTROLCONTROL CLCL DATABASEDATABASE CONTROLCONTROL
CONTRACTCONTRACT REFERENCESREFERENCES RFRF DATABASEDATABASE REFERENCESREFERENCES
CONTRACTCONTRACT TAKE OWNERSHIPTAKE OWNERSHIP TOTO DATABASEDATABASE CONTROLCONTROL
CONTRACTCONTRACT VIEW DEFINITIONVIEW DEFINITION VWVW DATABASEDATABASE VIEW DEFINITIONVIEW DEFINITION
DATABASEDATABASE ADMINISTER DATABASE BULK OPERATIONSADMINISTER DATABASE BULK OPERATIONS DABODABO SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE ALTERALTER ALAL SERVERSERVER ALTER ANY DATABASEALTER ANY DATABASE
DATABASEDATABASE ALTER ANY APPLICATION ROLEALTER ANY APPLICATION ROLE ALARALAR SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE ALTER ANY ASSEMBLYALTER ANY ASSEMBLY ALASALAS SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE ALTER ANY ASYMMETRIC KEYALTER ANY ASYMMETRIC KEY ALAKALAK SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE ALTER ANY CERTIFICATEALTER ANY CERTIFICATE ALCFALCF SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE 任意の列の暗号化キーを変更します。ALTER ANY COLUMN ENCRYPTION KEY ALCKALCK

適用対象 SQL ServerSQL Server (SQL Server 2016 (13.x)SQL Server 2016 (13.x) から現在のバージョンまで)、 SQL DatabaseSQL DatabaseApplies to SQL ServerSQL Server (SQL Server 2016 (13.x)SQL Server 2016 (13.x) through current), SQL DatabaseSQL Database.
SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE ALTER ANY COLUMN MASTER KEYALTER ANY COLUMN MASTER KEY ALCMALCM

適用対象 SQL ServerSQL Server (SQL Server 2016 (13.x)SQL Server 2016 (13.x) から現在のバージョンまで)、 SQL DatabaseSQL DatabaseApplies to SQL ServerSQL Server (SQL Server 2016 (13.x)SQL Server 2016 (13.x) through current), SQL DatabaseSQL Database.
SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE ALTER ANY CONTRACTALTER ANY CONTRACT ALSCALSC SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE ALTER ANY DATABASE AUDITALTER ANY DATABASE AUDIT ALDAALDA SERVERSERVER ALTER ANY SERVER AUDITALTER ANY SERVER AUDIT
DATABASEDATABASE ALTER ANY DATABASE DDL TRIGGERALTER ANY DATABASE DDL TRIGGER ALTGALTG SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE ALTER ANY DATABASE EVENT NOTIFICATIONALTER ANY DATABASE EVENT NOTIFICATION ALEDALED SERVERSERVER ALTER ANY EVENT NOTIFICATIONALTER ANY EVENT NOTIFICATION
DATABASEDATABASE ALTER ANY DATABASE EVENT SESSIONALTER ANY DATABASE EVENT SESSION AADSAADS

SQL DatabaseSQL Databaseに適用されます。Applies to SQL DatabaseSQL Database.
SERVERSERVER ALTER ANY EVENT SESSIONALTER ANY EVENT SESSION
DATABASEDATABASE ALTER ANY DATABASE SCOPED CONFIGURATIONALTER ANY DATABASE SCOPED CONFIGURATION ALDCALDC

適用対象 SQL ServerSQL Server (SQL Server 2016 (13.x)SQL Server 2016 (13.x) から現在のバージョンまで)、 SQL DatabaseSQL DatabaseApplies to SQL ServerSQL Server (SQL Server 2016 (13.x)SQL Server 2016 (13.x) through current), SQL DatabaseSQL Database.
SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE ALTER ANY DATASPACEALTER ANY DATASPACE ALDSALDS SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE すべての外部データ ソースを変更します。ALTER ANY EXTERNAL DATA SOURCE AEDSAEDS SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE 任意の外部のファイル形式を変更します。ALTER ANY EXTERNAL FILE FORMAT AEFFAEFF SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE ALTER ANY FULLTEXT CATALOGALTER ANY FULLTEXT CATALOG ALFTALFT SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE 任意のマスクを変更します。ALTER ANY MASK AAMKAAMK

適用対象 SQL ServerSQL Server (SQL Server 2016 (13.x)SQL Server 2016 (13.x) から現在のバージョンまで)、SQL Database。Applies to SQL ServerSQL Server (SQL Server 2016 (13.x)SQL Server 2016 (13.x) through current), SQL Database.
SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE ALTER ANY MESSAGE TYPEALTER ANY MESSAGE TYPE ALMTALMT SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE ALTER ANY REMOTE SERVICE BINDINGALTER ANY REMOTE SERVICE BINDING ALSBALSB SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE ALTER ANY ROLEALTER ANY ROLE ALRLALRL SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE ALTER ANY ROUTEALTER ANY ROUTE ALRTALRT SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE ALTER ANY SCHEMAALTER ANY SCHEMA ALSMALSM SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE すべてのセキュリティ ポリシーを変更します。ALTER ANY SECURITY POLICY ALSPALSP

適用対象 SQL ServerSQL Server (SQL Server 2016 (13.x)SQL Server 2016 (13.x) から現在のバージョンまで)、 SQL DatabaseSQL DatabaseApplies to SQL ServerSQL Server (SQL Server 2016 (13.x)SQL Server 2016 (13.x) through current), SQL DatabaseSQL Database.
SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE ALTER ANY SENSITIVITY CLASSIFICATIONALTER ANY SENSITIVITY CLASSIFICATION ALSPALSP
適用対象 SQL ServerSQL Server (SQL Server 2019 (15.x) から現在のバージョンまで)、SQL Database。Applies to SQL ServerSQL Server (SQL Server 2019 (15.x) through current), SQL Database.
DATABASEDATABASE CONTROL SERVERCONTROL SERVER
DATABASEDATABASE ALTER ANY SERVICEALTER ANY SERVICE ALSVALSV SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE ALTER ANY SYMMETRIC KEYALTER ANY SYMMETRIC KEY ALSKALSK SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE ALTER ANY USERALTER ANY USER ALUSALUS SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE AUTHENTICATEAUTHENTICATE AUTHAUTH SERVERSERVER AUTHENTICATE SERVERAUTHENTICATE SERVER
DATABASEDATABASE BACKUP DATABASEBACKUP DATABASE BADBBADB SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE BACKUP LOGBACKUP LOG BALOBALO SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CHECKPOINTCHECKPOINT CPCP SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CONNECTCONNECT COCO SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CONNECT REPLICATIONCONNECT REPLICATION CORPCORP SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CONTROLCONTROL CLCL SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CREATE AGGREGATECREATE AGGREGATE CRAGCRAG SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CREATE ASSEMBLYCREATE ASSEMBLY CRASCRAS SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CREATE ASYMMETRIC KEYCREATE ASYMMETRIC KEY CRAKCRAK SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CREATE CERTIFICATECREATE CERTIFICATE CRCFCRCF SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CREATE CONTRACTCREATE CONTRACT CRSCCRSC SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CREATE DATABASECREATE DATABASE CRDBCRDB SERVERSERVER CREATE ANY DATABASECREATE ANY DATABASE
DATABASEDATABASE CREATE DATABASE DDL EVENT NOTIFICATIONCREATE DATABASE DDL EVENT NOTIFICATION CREDCRED SERVERSERVER CREATE DDL EVENT NOTIFICATIONCREATE DDL EVENT NOTIFICATION
DATABASEDATABASE CREATE DEFAULTCREATE DEFAULT CRDFCRDF SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CREATE FULLTEXT CATALOGCREATE FULLTEXT CATALOG CRFTCRFT SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CREATE FUNCTIONCREATE FUNCTION CRFNCRFN SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CREATE MESSAGE TYPECREATE MESSAGE TYPE CRMTCRMT SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CREATE PROCEDURECREATE PROCEDURE CRPRCRPR SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CREATE QUEUECREATE QUEUE CRQUCRQU SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CREATE REMOTE SERVICE BINDINGCREATE REMOTE SERVICE BINDING CRSBCRSB SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CREATE ROLECREATE ROLE CRRLCRRL SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CREATE ROUTECREATE ROUTE CRRTCRRT SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CREATE RULECREATE RULE CRRUCRRU SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CREATE SCHEMACREATE SCHEMA CRSMCRSM SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CREATE SERVICECREATE SERVICE CRSVCRSV SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CREATE SYMMETRIC KEYCREATE SYMMETRIC KEY CRSKCRSK SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CREATE SYNONYMCREATE SYNONYM CRSNCRSN SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CREATE TABLECREATE TABLE CRTBCRTB SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CREATE TYPECREATE TYPE CRTYCRTY SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CREATE VIEWCREATE VIEW CRVWCRVW SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CREATE XML SCHEMA COLLECTIONCREATE XML SCHEMA COLLECTION CRXSCRXS SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE DelDELETE DLDL SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE EXECUTEEXECUTE EXEX SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE EXECUTE ANY EXTERNAL SCRIPTEXECUTE ANY EXTERNAL SCRIPT EAESEAES

適用対象 SQL ServerSQL Server (SQL Server 2016 (13.x)SQL Server 2016 (13.x) から現在のバージョンまで)。Applies to SQL ServerSQL Server (SQL Server 2016 (13.x)SQL Server 2016 (13.x) through current).
SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE INSERTINSERT ININ SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE KILL DATABASE CONNECTIONKILL DATABASE CONNECTION KIDCKIDC

SQL DatabaseSQL Databaseだけに適用されます。Only applies to SQL DatabaseSQL Database. SQL ServerSQL Serverで ALTER ANY CONNECTION を使用する。Use ALTER ANY CONNECTION in SQL ServerSQL Server.
SERVERSERVER ALTER ANY CONNECTIONALTER ANY CONNECTION
DATABASEDATABASE REFERENCESREFERENCES RFRF SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE SELECTSELECT SLSL SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE SHOWPLANSHOWPLAN SPLNSPLN SERVERSERVER ALTER TRACEALTER TRACE
DATABASEDATABASE SUBSCRIBE QUERY NOTIFICATIONSSUBSCRIBE QUERY NOTIFICATIONS SUQNSUQN SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE TAKE OWNERSHIPTAKE OWNERSHIP TOTO SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE マスク解除します。UNMASK UMSKUMSK

適用対象 SQL ServerSQL Server (SQL Server 2016 (13.x)SQL Server 2016 (13.x) から現在のバージョンまで)、SQL Database。Applies to SQL ServerSQL Server (SQL Server 2016 (13.x)SQL Server 2016 (13.x) through current), SQL Database.
SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE UPDATEUPDATE UPUP SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE 列の暗号化キーの定義を表示します。VIEW ANY COLUMN ENCRYPTION KEY DEFINITION VWCKVWCK

適用対象 SQL ServerSQL Server (SQL Server 2016 (13.x)SQL Server 2016 (13.x) から現在のバージョンまで)、 SQL DatabaseSQL DatabaseApplies to SQL ServerSQL Server (SQL Server 2016 (13.x)SQL Server 2016 (13.x) through current), SQL DatabaseSQL Database.
SERVERSERVER VIEW SERVER STATEVIEW SERVER STATE
DATABASEDATABASE 任意の列のマスター_キーの定義の表示VIEW ANY COLUMN MASTER KEY DEFINITION vWCMvWCM

適用対象 SQL ServerSQL Server (SQL Server 2016 (13.x)SQL Server 2016 (13.x) から現在のバージョンまで)、 SQL DatabaseSQL DatabaseApplies to SQL ServerSQL Server (SQL Server 2016 (13.x)SQL Server 2016 (13.x) through current), SQL DatabaseSQL Database.
SERVERSERVER VIEW SERVER STATEVIEW SERVER STATE
DATABASEDATABASE VIEW DATABASE STATEVIEW DATABASE STATE VWDSVWDS SERVERSERVER VIEW SERVER STATEVIEW SERVER STATE
DATABASEDATABASE VIEW DEFINITIONVIEW DEFINITION VWVW SERVERSERVER VIEW ANY DEFINITIONVIEW ANY DEFINITION
DATABASE SCOPED CREDENTIALDATABASE SCOPED CREDENTIAL ALTERALTER ALAL DATABASEDATABASE CONTROLCONTROL
DATABASE SCOPED CREDENTIALDATABASE SCOPED CREDENTIAL CONTROLCONTROL CLCL DATABASEDATABASE CONTROLCONTROL
DATABASE SCOPED CREDENTIALDATABASE SCOPED CREDENTIAL REFERENCESREFERENCES RFRF DATABASEDATABASE REFERENCESREFERENCES
DATABASE SCOPED CREDENTIALDATABASE SCOPED CREDENTIAL TAKE OWNERSHIPTAKE OWNERSHIP TOTO DATABASEDATABASE CONTROLCONTROL
DATABASE SCOPED CREDENTIALDATABASE SCOPED CREDENTIAL VIEW DEFINITIONVIEW DEFINITION VWVW DATABASEDATABASE VIEW DEFINITIONVIEW DEFINITION
ENDPOINTENDPOINT ALTERALTER ALAL SERVERSERVER ALTER ANY ENDPOINTALTER ANY ENDPOINT
ENDPOINTENDPOINT CONNECTCONNECT COCO SERVERSERVER CONTROL SERVERCONTROL SERVER
ENDPOINTENDPOINT CONTROLCONTROL CLCL SERVERSERVER CONTROL SERVERCONTROL SERVER
ENDPOINTENDPOINT TAKE OWNERSHIPTAKE OWNERSHIP TOTO SERVERSERVER CONTROL SERVERCONTROL SERVER
ENDPOINTENDPOINT VIEW DEFINITIONVIEW DEFINITION VWVW SERVERSERVER VIEW ANY DEFINITIONVIEW ANY DEFINITION
FULLTEXT CATALOGFULLTEXT CATALOG ALTERALTER ALAL DATABASEDATABASE ALTER ANY FULLTEXT CATALOGALTER ANY FULLTEXT CATALOG
FULLTEXT CATALOGFULLTEXT CATALOG CONTROLCONTROL CLCL DATABASEDATABASE CONTROLCONTROL
FULLTEXT CATALOGFULLTEXT CATALOG REFERENCESREFERENCES RFRF DATABASEDATABASE REFERENCESREFERENCES
FULLTEXT CATALOGFULLTEXT CATALOG TAKE OWNERSHIPTAKE OWNERSHIP TOTO DATABASEDATABASE CONTROLCONTROL
FULLTEXT CATALOGFULLTEXT CATALOG VIEW DEFINITIONVIEW DEFINITION VWVW DATABASEDATABASE VIEW DEFINITIONVIEW DEFINITION
FULLTEXT STOPLISTFULLTEXT STOPLIST ALTERALTER ALAL DATABASEDATABASE ALTER ANY FULLTEXT CATALOGALTER ANY FULLTEXT CATALOG
FULLTEXT STOPLISTFULLTEXT STOPLIST CONTROLCONTROL CLCL DATABASEDATABASE CONTROLCONTROL
FULLTEXT STOPLISTFULLTEXT STOPLIST REFERENCESREFERENCES RFRF DATABASEDATABASE REFERENCESREFERENCES
FULLTEXT STOPLISTFULLTEXT STOPLIST TAKE OWNERSHIPTAKE OWNERSHIP TOTO DATABASEDATABASE CONTROLCONTROL
FULLTEXT STOPLISTFULLTEXT STOPLIST VIEW DEFINITIONVIEW DEFINITION VWVW DATABASEDATABASE VIEW DEFINITIONVIEW DEFINITION
LoginLOGIN ALTERALTER ALAL SERVERSERVER ALTER ANY LOGINALTER ANY LOGIN
LoginLOGIN CONTROLCONTROL CLCL SERVERSERVER CONTROL SERVERCONTROL SERVER
LoginLOGIN IMPERSONATEIMPERSONATE IMIM SERVERSERVER CONTROL SERVERCONTROL SERVER
LOGINLOGIN VIEW DEFINITIONVIEW DEFINITION VWVW SERVERSERVER VIEW ANY DEFINITIONVIEW ANY DEFINITION
MESSAGE TYPEMESSAGE TYPE ALTERALTER ALAL DATABASEDATABASE ALTER ANY MESSAGE TYPEALTER ANY MESSAGE TYPE
MESSAGE TYPEMESSAGE TYPE CONTROLCONTROL CLCL DATABASEDATABASE CONTROLCONTROL
MESSAGE TYPEMESSAGE TYPE REFERENCESREFERENCES RFRF DATABASEDATABASE REFERENCESREFERENCES
MESSAGE TYPEMESSAGE TYPE TAKE OWNERSHIPTAKE OWNERSHIP TOTO DATABASEDATABASE CONTROLCONTROL
MESSAGE TYPEMESSAGE TYPE VIEW DEFINITIONVIEW DEFINITION VWVW DATABASEDATABASE VIEW DEFINITIONVIEW DEFINITION
OBJECTOBJECT ALTERALTER ALAL SCHEMASCHEMA ALTERALTER
OBJECTOBJECT CONTROLCONTROL CLCL SCHEMASCHEMA CONTROLCONTROL
OBJECTOBJECT DelDELETE DLDL SCHEMASCHEMA DelDELETE
OBJECTOBJECT EXECUTEEXECUTE EXEX SCHEMASCHEMA EXECUTEEXECUTE
OBJECTOBJECT INSERTINSERT ININ SCHEMASCHEMA INSERTINSERT
OBJECTOBJECT RECEIVERECEIVE RCRC SCHEMASCHEMA CONTROLCONTROL
OBJECTOBJECT REFERENCESREFERENCES RFRF SCHEMASCHEMA REFERENCESREFERENCES
OBJECTOBJECT SELECTSELECT SLSL SCHEMASCHEMA SELECTSELECT
OBJECTOBJECT TAKE OWNERSHIPTAKE OWNERSHIP TOTO SCHEMASCHEMA CONTROLCONTROL
OBJECTOBJECT UPDATEUPDATE UPUP SCHEMASCHEMA UPDATEUPDATE
OBJECTOBJECT VIEW CHANGE TRACKINGVIEW CHANGE TRACKING VWCTVWCT SCHEMASCHEMA VIEW CHANGE TRACKINGVIEW CHANGE TRACKING
OBJECTOBJECT VIEW DEFINITIONVIEW DEFINITION VWVW SCHEMASCHEMA VIEW DEFINITIONVIEW DEFINITION
REMOTE SERVICE BINDINGREMOTE SERVICE BINDING ALTERALTER ALAL DATABASEDATABASE ALTER ANY REMOTE SERVICE BINDINGALTER ANY REMOTE SERVICE BINDING
REMOTE SERVICE BINDINGREMOTE SERVICE BINDING CONTROLCONTROL CLCL DATABASEDATABASE CONTROLCONTROL
REMOTE SERVICE BINDINGREMOTE SERVICE BINDING TAKE OWNERSHIPTAKE OWNERSHIP TOTO DATABASEDATABASE CONTROLCONTROL
REMOTE SERVICE BINDINGREMOTE SERVICE BINDING VIEW DEFINITIONVIEW DEFINITION VWVW DATABASEDATABASE VIEW DEFINITIONVIEW DEFINITION
ROLEROLE ALTERALTER ALAL DATABASEDATABASE ALTER ANY ROLEALTER ANY ROLE
ROLEROLE CONTROLCONTROL CLCL DATABASEDATABASE CONTROLCONTROL
ROLEROLE TAKE OWNERSHIPTAKE OWNERSHIP TOTO DATABASEDATABASE CONTROLCONTROL
ROLEROLE VIEW DEFINITIONVIEW DEFINITION VWVW DATABASEDATABASE VIEW DEFINITIONVIEW DEFINITION
ROUTEROUTE ALTERALTER ALAL DATABASEDATABASE ALTER ANY ROUTEALTER ANY ROUTE
ROUTEROUTE CONTROLCONTROL CLCL DATABASEDATABASE CONTROLCONTROL
ROUTEROUTE TAKE OWNERSHIPTAKE OWNERSHIP TOTO DATABASEDATABASE CONTROLCONTROL
ROUTEROUTE VIEW DEFINITIONVIEW DEFINITION VWVW DATABASEDATABASE VIEW DEFINITIONVIEW DEFINITION
SEARCH PROPERTY LISTSEARCH PROPERTY LIST ALTERALTER ALAL SERVERSERVER ALTER ANY FULLTEXT CATALOGALTER ANY FULLTEXT CATALOG
SEARCH PROPERTY LISTSEARCH PROPERTY LIST CONTROLCONTROL CLCL SERVERSERVER CONTROLCONTROL
SEARCH PROPERTY LISTSEARCH PROPERTY LIST REFERENCESREFERENCES RFRF SERVERSERVER REFERENCESREFERENCES
SEARCH PROPERTY LISTSEARCH PROPERTY LIST TAKE OWNERSHIPTAKE OWNERSHIP TOTO SERVERSERVER CONTROLCONTROL
SEARCH PROPERTY LISTSEARCH PROPERTY LIST VIEW DEFINITIONVIEW DEFINITION VWVW SERVERSERVER VIEW DEFINITIONVIEW DEFINITION
SCHEMASCHEMA ALTERALTER ALAL DATABASEDATABASE ALTER ANY SCHEMAALTER ANY SCHEMA
SCHEMASCHEMA CONTROLCONTROL CLCL DATABASEDATABASE CONTROLCONTROL
SCHEMASCHEMA CREATE SEQUENCECREATE SEQUENCE CRSOCRSO DATABASEDATABASE CONTROLCONTROL
SCHEMASCHEMA DelDELETE DLDL DATABASEDATABASE DelDELETE
SCHEMASCHEMA EXECUTEEXECUTE EXEX DATABASEDATABASE EXECUTEEXECUTE
SCHEMASCHEMA INSERTINSERT ININ DATABASEDATABASE INSERTINSERT
SCHEMASCHEMA REFERENCESREFERENCES RFRF DATABASEDATABASE REFERENCESREFERENCES
SCHEMASCHEMA SELECTSELECT SLSL DATABASEDATABASE SELECTSELECT
SCHEMASCHEMA TAKE OWNERSHIPTAKE OWNERSHIP TOTO DATABASEDATABASE CONTROLCONTROL
SCHEMASCHEMA UPDATEUPDATE UPUP DATABASEDATABASE UPDATEUPDATE
SCHEMASCHEMA VIEW CHANGE TRACKINGVIEW CHANGE TRACKING VWCTVWCT DATABASEDATABASE VIEW CHANGE TRACKINGVIEW CHANGE TRACKING
SCHEMASCHEMA VIEW DEFINITIONVIEW DEFINITION VWVW DATABASEDATABASE VIEW DEFINITIONVIEW DEFINITION
SERVERSERVER ADMINISTER BULK OPERATIONSADMINISTER BULK OPERATIONS ADBOADBO 適用なしNot applicable 適用なしNot applicable
SERVERSERVER ALTER ANY AVAILABILITY GROUPALTER ANY AVAILABILITY GROUP ALAGALAG 適用なしNot applicable 適用なしNot applicable
SERVERSERVER ALTER ANY CONNECTIONALTER ANY CONNECTION ALCOALCO 適用なしNot applicable 適用なしNot applicable
SERVERSERVER ALTER ANY CREDENTIALALTER ANY CREDENTIAL ALCDALCD 適用なしNot applicable 適用なしNot applicable
SERVERSERVER ALTER ANY DATABASEALTER ANY DATABASE ALDBALDB 適用なしNot applicable 適用なしNot applicable
SERVERSERVER ALTER ANY ENDPOINTALTER ANY ENDPOINT ALHEALHE 適用なしNot applicable 適用なしNot applicable
SERVERSERVER ALTER ANY EVENT NOTIFICATIONALTER ANY EVENT NOTIFICATION ALESALES 適用なしNot applicable 適用なしNot applicable
SERVERSERVER ALTER ANY EVENT SESSIONALTER ANY EVENT SESSION AAESAAES 適用なしNot applicable 適用なしNot applicable
SERVERSERVER ALTER ANY LINKED SERVERALTER ANY LINKED SERVER ALLSALLS 適用なしNot applicable 適用なしNot applicable
SERVERSERVER ALTER ANY LOGINALTER ANY LOGIN ALLGALLG 適用なしNot applicable 適用なしNot applicable
SERVERSERVER ALTER ANY SERVER AUDITALTER ANY SERVER AUDIT ALAAALAA 適用なしNot applicable 適用なしNot applicable
SERVERSERVER ALTER ANY SERVER ROLEALTER ANY SERVER ROLE ALSRALSR 適用なしNot applicable 適用なしNot applicable
SERVERSERVER ALTER RESOURCESALTER RESOURCES ALRSALRS 適用なしNot applicable 適用なしNot applicable
SERVERSERVER ALTER SERVER STATEALTER SERVER STATE ALSSALSS 適用なしNot applicable 適用なしNot applicable
SERVERSERVER ALTER SETTINGSALTER SETTINGS ALSTALST 適用なしNot applicable 適用なしNot applicable
SERVERSERVER ALTER TRACEALTER TRACE ALTRALTR 適用なしNot applicable 適用なしNot applicable
SERVERSERVER AUTHENTICATE SERVERAUTHENTICATE SERVER AUTHAUTH 適用なしNot applicable 適用なしNot applicable
SERVERSERVER CONNECT ANY DATABASECONNECT ANY DATABASE CADBCADB 適用なしNot applicable 適用なしNot applicable
SERVERSERVER CONNECT SQLCONNECT SQL COSQCOSQ 適用なしNot applicable 適用なしNot applicable
SERVERSERVER CONTROL SERVERCONTROL SERVER CLCL 適用なしNot applicable 適用なしNot applicable
SERVERSERVER CREATE ANY DATABASECREATE ANY DATABASE CRDBCRDB 適用なしNot applicable 適用なしNot applicable
SERVERSERVER CREATE AVAILABILITY GROUPCREATE AVAILABILITY GROUP CRACCRAC 適用なしNot applicable 適用なしNot applicable
SERVERSERVER CREATE DDL EVENT NOTIFICATIONCREATE DDL EVENT NOTIFICATION CRDECRDE 適用なしNot applicable 適用なしNot applicable
SERVERSERVER CREATE ENDPOINTCREATE ENDPOINT CRHECRHE 適用なしNot applicable 適用なしNot applicable
SERVERSERVER CREATE SERVER ROLECREATE SERVER ROLE CRSRCRSR 適用なしNot applicable 適用なしNot applicable
SERVERSERVER CREATE TRACE EVENT NOTIFICATIONCREATE TRACE EVENT NOTIFICATION CRTECRTE 適用なしNot applicable 適用なしNot applicable
SERVERSERVER EXTERNAL ACCESS ASSEMBLYEXTERNAL ACCESS ASSEMBLY XAXA 適用なしNot applicable 適用なしNot applicable
SERVERSERVER IMPERSONATE ANY LOGINIMPERSONATE ANY LOGIN IALIAL 適用なしNot applicable 適用なしNot applicable
SERVERSERVER SELECT ALL USER SECURABLESSELECT ALL USER SECURABLES SUSSUS 適用なしNot applicable 適用なしNot applicable
SERVERSERVER SHUTDOWNSHUTDOWN SHDNSHDN 適用なしNot applicable 適用なしNot applicable
SERVERSERVER UNSAFE ASSEMBLYUNSAFE ASSEMBLY XUXU 適用なしNot applicable 適用なしNot applicable
SERVERSERVER VIEW ANY DATABASEVIEW ANY DATABASE VWDBVWDB 適用なしNot applicable 適用なしNot applicable
SERVERSERVER VIEW ANY DEFINITIONVIEW ANY DEFINITION VWADVWAD 適用なしNot applicable 適用なしNot applicable
SERVERSERVER VIEW SERVER STATEVIEW SERVER STATE VWSSVWSS 適用なしNot applicable 適用なしNot applicable
SERVER ROLESERVER ROLE ALTERALTER ALAL SERVERSERVER ALTER ANY SERVER ROLEALTER ANY SERVER ROLE
SERVER ROLESERVER ROLE CONTROLCONTROL CLCL SERVERSERVER CONTROL SERVERCONTROL SERVER
SERVER ROLESERVER ROLE TAKE OWNERSHIPTAKE OWNERSHIP TOTO SERVERSERVER CONTROL SERVERCONTROL SERVER
SERVER ROLESERVER ROLE VIEW DEFINITIONVIEW DEFINITION VWVW SERVERSERVER VIEW ANY DEFINITIONVIEW ANY DEFINITION
SERVICESERVICE ALTERALTER ALAL DATABASEDATABASE ALTER ANY SERVICEALTER ANY SERVICE
SERVICESERVICE CONTROLCONTROL CLCL DATABASEDATABASE CONTROLCONTROL
SERVICESERVICE SENDSEND SNSN DATABASEDATABASE CONTROLCONTROL
SERVICESERVICE TAKE OWNERSHIPTAKE OWNERSHIP TOTO DATABASEDATABASE CONTROLCONTROL
SERVICESERVICE VIEW DEFINITIONVIEW DEFINITION VWVW DATABASEDATABASE VIEW DEFINITIONVIEW DEFINITION
SYMMETRIC KEYSYMMETRIC KEY ALTERALTER ALAL DATABASEDATABASE ALTER ANY SYMMETRIC KEYALTER ANY SYMMETRIC KEY
SYMMETRIC KEYSYMMETRIC KEY CONTROLCONTROL CLCL DATABASEDATABASE CONTROLCONTROL
SYMMETRIC KEYSYMMETRIC KEY REFERENCESREFERENCES RFRF DATABASEDATABASE REFERENCESREFERENCES
SYMMETRIC KEYSYMMETRIC KEY TAKE OWNERSHIPTAKE OWNERSHIP TOTO DATABASEDATABASE CONTROLCONTROL
SYMMETRIC KEYSYMMETRIC KEY VIEW DEFINITIONVIEW DEFINITION VWVW DATABASEDATABASE VIEW DEFINITIONVIEW DEFINITION
TYPETYPE CONTROLCONTROL CLCL SCHEMASCHEMA CONTROLCONTROL
TYPETYPE EXECUTEEXECUTE EXEX SCHEMASCHEMA EXECUTEEXECUTE
TYPETYPE REFERENCESREFERENCES RFRF SCHEMASCHEMA REFERENCESREFERENCES
TYPETYPE TAKE OWNERSHIPTAKE OWNERSHIP TOTO SCHEMASCHEMA CONTROLCONTROL
TYPETYPE VIEW DEFINITIONVIEW DEFINITION VWVW SCHEMASCHEMA VIEW DEFINITIONVIEW DEFINITION
UserUSER ALTERALTER ALAL DATABASEDATABASE ALTER ANY USERALTER ANY USER
UserUSER CONTROLCONTROL CLCL DATABASEDATABASE CONTROLCONTROL
UserUSER IMPERSONATEIMPERSONATE IMIM DATABASEDATABASE CONTROLCONTROL
UserUSER VIEW DEFINITIONVIEW DEFINITION VWVW DATABASEDATABASE VIEW DEFINITIONVIEW DEFINITION
XML SCHEMA COLLECTIONXML SCHEMA COLLECTION ALTERALTER ALAL SCHEMASCHEMA ALTERALTER
XML SCHEMA COLLECTIONXML SCHEMA COLLECTION CONTROLCONTROL CLCL SCHEMASCHEMA CONTROLCONTROL
XML SCHEMA COLLECTIONXML SCHEMA COLLECTION EXECUTEEXECUTE EXEX SCHEMASCHEMA EXECUTEEXECUTE
XML SCHEMA COLLECTIONXML SCHEMA COLLECTION REFERENCESREFERENCES RFRF SCHEMASCHEMA REFERENCESREFERENCES
XML SCHEMA COLLECTIONXML SCHEMA COLLECTION TAKE OWNERSHIPTAKE OWNERSHIP TOTO SCHEMASCHEMA CONTROLCONTROL
XML SCHEMA COLLECTIONXML SCHEMA COLLECTION VIEW DEFINITIONVIEW DEFINITION VWVW SCHEMASCHEMA VIEW DEFINITIONVIEW DEFINITION

権限チェック アルゴリズムの概要Summary of the Permission Check Algorithm

権限のチェックは複雑な場合があります。Checking permissions can be complex. 権限チェック アルゴリズムには、グループ メンバーシップの重複、所有権の継承、明示的および暗黙的な権限が含まれます。また、セキュリティ保護可能なエンティティを含むセキュリティ保護可能なクラスに対する権限の影響を受けることもあります。The permission check algorithm includes overlapping group memberships and ownership chaining, both explicit and implicit permission, and can be affected by the permissions on securable classes that contain the securable entity. アルゴリズムの一般的な手順では、関連する権限がすべて収集されます。The general process of the algorithm is to collect all the relevant permissions. ブロックする DENY が見つからない場合、十分なアクセス権を付与する GRANT が検索されます。If no blocking DENY is found, the algorithm searches for a GRANT that provides sufficient access. アルゴリズムには、不可欠な要素が 3 つあります。 セキュリティ コンテキスト権限領域、および 必要な権限です。The algorithm contains three essential elements, the security context, the permission space, and the required permission.

注意

sa、dbo、エンティティ所有者、information_schema、sys、または自分自身に対する権限を許可、拒否、または取り消すことはできません。You cannot grant, deny, or revoke permissions to sa, dbo, the entity owner, information_schema, sys, or yourself.

  • セキュリティ コンテキストSecurity context

    これは、アクセス チェックに対して権限を与えるプリンシパルのグループです。This is the group of principals that contribute permissions to the access check. EXECUTE AS ステートメントを使用してセキュリティ コンテキストが別のログインまたはユーザーに変更されていない限り、現在のログインまたはユーザーに関連した権限です。These are permissions that are related to the current login or user, unless the security context was changed to another login or user by using the EXECUTE AS statement. セキュリティ コンテキストには次のプリンシパルが含まれます。The security context includes the following principals:

    • ログインThe login

    • ユーザーThe user

    • ロールのメンバーシップRole memberships

    • Windows グループのメンバーシップWindows group memberships

    • モジュール署名が使用されている場合、ユーザーが現在実行しているモジュールの署名に使用された証明書のログインまたはユーザー アカウント、およびそのプリンシパルに関連付けられたロールのメンバーシップIf module signing is being used, any login or user account for the certificate used to sign the module that the user is currently executing, and the associated role memberships of that principal.

  • 権限領域Permission space

    これは、セキュリティ保護可能なエンティティと、それを含むすべてのセキュリティ保護可能なクラスです。This is the securable entity and any securable classes that contain the securable. たとえば、あるテーブル (セキュリティ保護可能なエンティティ) が、セキュリティ保護可能なクラスであるスキーマとデータベースに含まれているとします。For example, a table (a securable entity) is contained by the schema securable class and by the database securable class. この場合のアクセスは、テーブル、スキーマ、データベース、サーバーの各レベルの権限による影響を受けます。Access can be affected by table-, schema-, database-, and server-level permissions. 詳細については、「権限の階層 (データベース エンジン)」を参照してください。For more information, see Permissions Hierarchy (Database Engine).

  • 必要な権限Required permission

    必要とされる権限の種類です。The kind of permission that is required. INSERT、UPDATE、DELETE、SELECT、EXECUTE、ALTER、CONTROL などがあります。For example, INSERT, UPDATE, DELETE, SELECT, EXECUTE, ALTER, CONTROL, and so on.

    次の例のように、アクセスに複数の権限が必要な場合もあります。Access can require multiple permissions, as in the following examples:

    • ストアド プロシージャでは、ストアド プロシージャ自体に対する EXECUTE 権限に加えて、ストアド プロシージャによって参照されている複数のテーブルに対する INSERT 権限が必要な場合があります。A stored procedure can require both EXECUTE permission on the stored procedure and INSERT permission on several tables that are referenced by the stored procedure.

    • 動的管理ビューでは、ビューに対する VIEW SERVER STATE 権限と SELECT 権限の両方が必要な場合があります。A dynamic management view can require both VIEW SERVER STATE and SELECT permission on the view.

アルゴリズムの一般的な手順General Steps of the Algorithm

セキュリティ保護可能なリソースに対するアクセスを許可するかどうかを判断するためにアルゴリズムが実際に使用する手順は、関連するプリンシパルとセキュリティ保護可能なリソースによって異なる場合があります。When the algorithm is determining whether to allow access to a securable, the precise steps that it uses can vary, depending on the principals and the securables that are involved. ただし、アルゴリズムは一般に次の手順を実行します。However, the algorithm performs the following general steps:

  1. ログインが sysadmin 固定サーバー ロールのメンバーであるか、ユーザーが現在のデータベースの dbo ユーザーである場合は、権限チェックを行いません。Bypass the permission check if the login is a member of the sysadmin fixed server role or if the user is the dbo user in the current database.

  2. 所有権の継承が適用され、その継承内でオブジェクトに対するアクセス チェックが以前にセキュリティ チェックに合格している場合は、アクセスを許可します。Allow access if ownership chaining is applicable and the access check on the object earlier in the chain passed the security check.

  3. 呼び出し元に関連付けられたサーバーレベル、データベースレベル、署名付きモジュールの各 ID を集計して、 セキュリティ コンテキストを作成します。Aggregate the server-level, database-level, and signed-module identities that are associated with the caller to create the security context.

  4. その セキュリティ コンテキスト用に、 権限領域に対して許可または拒否された権限をすべて収集します。For that security context, collect all the permissions that are granted or denied for the permission space. 権限は、GRANT、GRANT WITH GRANT、または DENY として明示的に指定される場合と、暗黙権限または包含権限の GRANT または DENY である場合があります。The permission can be explicitly stated as a GRANT, GRANT WITH GRANT, or DENY; or the permissions can be an implied or covering permission GRANT or DENY. たとえば、スキーマに対する CONTROL 権限を使用した場合、テーブルに対する CONTROL 権限も暗黙的に適用されます。For example, CONTROL permission on a schema implies CONTROL on a table. また、テーブルに対して CONTROL 権限を使用した場合、SELECT 権限も暗黙的に適用されます。And CONTROL on a table implies SELECT. したがって、スキーマに対する CONTROL 権限が許可された場合、テーブルに対する SELECT 権限も許可されます。Therefore, if CONTROL on the schema was granted, SELECT on the table is granted. テーブルに対する CONTROL 権限が拒否された場合、テーブルに対する SELECT 権限も拒否されます。If CONTROL was denied on the table, SELECT on the table is denied.

    注意

    列レベルの権限の GRANT により、オブジェクト レベルの DENY がオーバーライドされます。A GRANT of a column-level permission overrides a DENY at the object level.

  5. 必要な権限を識別します。Identify the required permission.

  6. 権限領域 内のオブジェクトについて、 必要な権限 が、 セキュリティ コンテキストの任意の ID に対し直接または暗黙的に拒否されている場合は、権限チェックが不合格となります。Fail the permission check if the required permission is directly or implicitly denied to any of the identities in the security context for the objects in the permission space.

  7. 権限領域 内のすべてのオブジェクトについて、 必要な権限 が、 セキュリティ コンテキスト のいずれの ID に対しても直接または暗黙的に拒否されておらず、 必要な権限に GRANT 権限または GRANT WITH GRANT 権限が含まれている場合は、権限チェックが合格となります。Pass the permission check if the required permission was not denied and the required permission contains a GRANT or a GRANT WITH GRANT permission either directly or implicitly to any of the identities in the security context for any object in the permission space.

列レベルのアクセス許可に関する特別な考慮事項Special considerations for column level permissions

列レベルの権限は構文 <table_name>(<column _name>) を使用して許可されます。Column level permissions are granted with the syntax <table_name>(<column _name>). 例 :For example:

GRANT SELECT ON OBJECT::Customer(CustomerName) TO UserJoe;

テーブルの DENY は、列の GRANT によりオーバーライドされます。A DENY on the table is overridden by a GRANT on a column. ただし、その後にテーブルの DENY があると、列の GRANT は削除されます。However, a subsequent DENY on the table will remove the column GRANT.

使用例Examples

このセクションでは、権限に関する情報を取得する例を示します。The examples in this section show how to retrieve permissions information.

A.A. 許可できる権限の完全な一覧を返すReturning the complete list of grantable permissions

次のステートメントでは、 データベース エンジンDatabase Engine 関数によって、すべての fn_builtin_permissions 権限が返されます。The following statement returns all データベース エンジンDatabase Engine permission by using the fn_builtin_permissions function. 詳細については、「sys.fn_builtin_permissions (Transact-SQL)」を参照してください。For more information, see sys.fn_builtin_permissions (Transact-SQL).

SELECT * FROM fn_builtin_permissions(default);  
GO  

B.B. オブジェクトの特定のクラスに対する権限を返すReturning the permissions on a particular class of objects

次の例では、 fn_builtin_permissions を使用してセキュリティ保護可能なカテゴリに使用できるすべての権限を表示します。The following example uses fn_builtin_permissions to view all the permissions that are available for a category of securable. この例では、アセンブリに対する権限を返します。The example returns permissions on assemblies.

SELECT * FROM fn_builtin_permissions('assembly');  
GO    

C.C. オブジェクトに対する実行中のプリンシパルに許可された権限を返すReturning the permissions granted to the executing principal on an object

次の例では、 fn_my_permissions を使用して、指定したセキュリティ保護可能なリソースについて、呼び出し元のプリンシパルが保持している有効な権限の一覧を返します。The following example uses fn_my_permissions to return a list of the effective permissions that are held by the calling principal on a specified securable. この例では、Orders55 という名前のオブジェクトに対する権限を返します。The example returns permissions on an object named Orders55. 詳細については、「sys.fn_my_permissions (Transact-SQL)」を参照してください。For more information, see sys.fn_my_permissions (Transact-SQL).

SELECT * FROM fn_my_permissions('Orders55', 'object');  
GO  

D.D. 指定したオブジェクトに適用できる権限を返すReturning the permissions applicable to a specified object

次の例は、 Yttriumと呼ばれるオブジェクトに適用できる権限を返します。The following example returns permissions applicable to an object called Yttrium. オブジェクト OBJECT_ID の ID を取得するために、組み込み関数 Yttriumが使用されていることに注意してください。Notice that the built-in function OBJECT_ID is used to retrieve the ID of object Yttrium.

SELECT * FROM sys.database_permissions   
    WHERE major_id = OBJECT_ID('Yttrium');  
GO  

参照See Also

権限の階層 (データベース エンジン) Permissions Hierarchy (Database Engine)
sys.database_permissions (Transact-SQL)sys.database_permissions (Transact-SQL)