GRANT(Transact-SQL)

적용 대상: Microsoft Fabric의 Microsoft FabricWarehouse에 있는 SQL ServerAzure SQL DatabaseAzure SQL Managed InstanceAzure Synapse AnalyticsPlatform System(PDW) SQL 분석 엔드포인트

보안 주체에 보안 개체에 대한 사용 권한을 부여합니다. 일반적인 개념은 다음과 입니다 GRANT <some permission> ON <some object> TO <some user, login, or group>. 사용 권한에 대한 일반적인 설명은 사용 권한(데이터베이스 엔진)을 참조하세요.

Transact-SQL 구문 표기 규칙

구문

SQL Server 및 Azure SQL Database 구문

-- Simplified syntax for GRANT
GRANT { ALL [ PRIVILEGES ] }
      | permission [ ( column [ , ...n ] ) ] [ , ...n ]
      [ ON [ class :: ] securable ] TO principal [ , ...n ]
      [ WITH GRANT OPTION ] [ AS principal ]

Azure Synapse Analytics 및 병렬 데이터 웨어하우스 및 Microsoft Fabric에 대한 구문입니다.

GRANT
    <permission> [ , ...n ]
    [ ON [ <class_type> :: ] securable ]
    TO principal [ , ...n ]
    [ WITH GRANT OPTION ]
[;]

<permission> ::=
{ see the tables below }

<class_type> ::=
{
      LOGIN
    | DATABASE
    | OBJECT
    | ROLE
    | SCHEMA
    | USER
}

참고 항목

SQL Server 2014(12.x) 및 이전 버전에 대한 Transact-SQL 구문을 보려면 이전 버전 설명서를 참조 하세요.

인수

ALL

이 옵션은 사용되지 않으며 이전 버전과의 호환성을 위해서만 유지 관리되고 가능한 모든 권한을 부여하지는 않습니다. ALL 부여는 다음 사용 권한을 부여하는 것과 같습니다.

보안 개체 사용 권한
데이터베이스 BACKUP DATABASE, BACKUP LOG,CREATE DATABASE, CREATE DEFAULT, CREATE FUNCTION, CREATE PROCEDURECREATE RULE, CREATE TABLECREATE VIEW
스칼라 함수 EXECUTEREFERENCES
테이블 반환 함수 DELETE, INSERT, REFERENCES, SELECTUPDATE
저장 프로시저 EXECUTE
테이블 DELETE, INSERT, REFERENCES, SELECTUPDATE
보기 DELETE, INSERT, REFERENCES, SELECTUPDATE

PRIVILEGES

ISO 호환성을 위해 포함됩니다. 의 동작 ALL을 변경하지 않습니다.

permission

사용 권한의 이름입니다. 보안 개체에 대한 사용 권한의 유효한 매핑은 다음 섹션에서 설명합니다.

column

사용 권한을 부여할 테이블의 열 이름을 지정합니다. 괄호 ( 이며 ) 필수입니다.

class

사용 권한을 부여할 보안 개체의 클래스를 지정합니다. 범위 한정 :: 자는 필수입니다.

securable

사용 권한을 부여할 보안 개체를 지정합니다.

TO principal

보안 주체의 이름입니다. 보안 개체에 대한 사용 권한을 부여할 수 있는 대상 보안 주체는 보안 개체에 따라 달라집니다. 유효한 조합은 다음 섹션을 참조하세요.

GRANT OPTION

지정된 사용 권한을 다른 보안 주체에게 부여할 수 있는 권한도 피부여자에게 제공됨을 나타냅니다.

AS principal

이 절을 AS <principal> 사용하여 사용 권한 부여자로 기록된 보안 주체가 문을 실행하는 사람이 아닌 보안 주체여야 함을 나타냅니다. 예를 들어 사용자에게는 해당 사용자가 Maryprincipal_id12있고 사용자가 Raul 보안 주체 15라고 가정합니다. Mary는 GRANT SELECT ON OBJECT::X TO Steven WITH GRANT OPTION AS Raul; 이제 sys.database_permissions 테이블을 실행합니다. 이 테이블은 문이 실제로 사용자 12 (MaryRaul)에 의해 실행되었음에도 불구하고 ()임을 15 나타냅니다grantor_prinicpal_id.

권한 체인을 AS 명시적으로 정의해야 하는 경우가 아니면 일반적으로 절을 사용하지 않는 것이 좋습니다. 자세한 내용은 사용 권한 검사 알고리즘의 요약을 참조 하세요.

이 문에서 사용하는 AS 것이 다른 사용자를 가장하는 기능을 의미하지는 않습니다.

설명

문의 전체 구문 GRANT 은 복잡합니다. 이전 구문 다이어그램은 구조에 주의를 끌기 위해 간소화되었습니다. 특정 보안 개체에 대한 사용 권한을 부여하기 위한 전체 구문은 이 문서의 뒷부분에 나열된 문서에 설명되어 있습니다.

REVOKE 문을 사용하여 부여된 권한을 제거할 수 있으며 DENY , 이 문을 사용하여 보안 주체가 을 통해 GRANT특정 사용 권한을 얻지 못하도록 할 수 있습니다.

사용 권한을 부여하면 지정된 보안 개체에 대한 사용 권한이 제거되거나 REVOKE 해당 권한이 제거 DENY 됩니다. 보안 개체 DENY 가 포함된 상위 범위에서 동일한 권한이 거부되면 우선합니다. 그러나 더 높은 범위에서 부여된 권한을 취소하는 것이 우선하지 않습니다.

데이터베이스 수준 사용 권한은 지정된 데이터베이스 범위 내에서 부여됩니다. 사용자가 다른 데이터베이스에 있는 개체에 대한 사용 권한을 필요로 하는 경우에는 다른 데이터베이스에서 사용자 계정을 만들거나 다른 데이터베이스와 현재 데이터베이스에 대해 사용자 계정 액세스를 부여하세요.

주의

테이블 수준은 열 수준 DENYGRANT보다 우선하지 않습니다. 사용 권한 계층에서의 이러한 불일치는 이전 버전과의 호환성을 위해 유지되었으며 후속 릴리스에서 제거될 예정입니다.

시스템 저장 프로시저는 sp_helprotect 데이터베이스 수준 보안 개체에 대한 권한을 보고합니다.

Microsoft Fabric CREATE USER 에서는 현재 명시적으로 실행할 수 없습니다. GRANT 실행되거나 DENY 실행되면 사용자가 자동으로 만들어집니다.

WITH GRANT OPTION

GRANT ... WITH GRANT OPTION 권한을 받는 보안 주체에 지정된 권한을 다른 보안 계정에 부여할 수 있는 권한이 부여되도록 지정합니다. 사용 권한을 받는 보안 주체가 역할 또는 Windows 그룹인 AS 경우 그룹 또는 역할의 멤버가 아닌 사용자에게 개체 권한을 추가로 부여해야 하는 경우 절을 사용해야 합니다. 그룹 또는 역할이 아닌 사용자만 문을 실행할 GRANT 수 있으므로 그룹 또는 역할의 특정 멤버는 권한을 부여할 때 역할 또는 그룹 멤버 자격을 명시적으로 호출하는 절을 사용해야 AS 합니다. 다음 예제에서는 역할 또는 Windows 그룹에 부여할 때 사용되는 방법을 WITH GRANT OPTION 보여 줍니다.

-- Execute the following as a database owner
GRANT EXECUTE ON TestProc TO TesterRole WITH GRANT OPTION;
EXEC sp_addrolemember TesterRole, User1;

-- Execute the following as User1
-- The following fails because User1 does not have the permission as the User1
GRANT EXECUTE ON TestProc TO User2;

-- The following succeeds because User1 invokes the TesterRole membership
GRANT EXECUTE ON TestProc TO User2 AS TesterRole;

SQL Server 사용 권한 차트

PDF 형식의 모든 데이터베이스 엔진 권한에 대한 포스터 크기 차트는 다음을 참조하세요https://aka.ms/sql-permissions-poster.

사용 권한

부여자(또는 옵션으로 AS 지정된 보안 주체)에는 사용 권한이 있는 GRANT OPTION권한 자체 또는 부여되는 사용 권한을 의미하는 더 높은 권한이 있어야 합니다. 이 AS 옵션을 사용하는 경우 추가 요구 사항이 적용됩니다. 자세한 내용은 보안 개체 관련 문서를 참조하세요.

개체 소유자는 소유하고 있는 개체에 대한 사용 권한을 부여할 수 있습니다. CONTROL 보안 개체에 대한 사용 권한이 있는 보안 주체는 해당 보안 개체에 대한 권한을 부여할 수 있습니다.

sysadmin 고정 서버 역할의 멤버와 같은 사용 권한 피부여자의 CONTROL SERVER 경우 서버의 모든 보안 개체에 대한 사용 권한을 부여할 수 있습니다. db_owner 고정 데이터베이스 역할의 멤버와 같은 데이터베이스에 대한 사용 권한의 피부여는 CONTROL 데이터베이스의 모든 보안 개체에 대한 사용 권한을 부여할 수 있습니다. 스키마에 대한 사용 권한 피부여자가 스키마 내의 CONTROL 모든 개체에 대한 사용 권한을 부여할 수 있습니다.

예제

다음 표에는 보안 개체와 보안 개체별 구문을 설명하는 문서 목록이 정리되어 있습니다.

보안 개체 GRANT 구문
애플리케이션 역할 GRANT 데이터베이스 보안 주체 사용 권한(Transact-SQL)
어셈블리 GRANT 어셈블리 권한(Transact-SQL)
비대칭 키 GRANT 비대칭 키 권한(Transact-SQL)
가용성 그룹 가용성 그룹 사용 권한 부여(Transact-SQL)
인증서 GRANT 인증서 권한(Transact-SQL)
계약 GRANT Service Broker 권한(Transact-SQL)
데이터베이스 GRANT 데이터베이스 사용 권한(Transact-SQL)
데이터베이스 범위 자격 증명 GRANT 데이터베이스 범위 자격 증명(Transact-SQL)
엔드포인트 GRANT 엔드포인트 사용 권한(Transact-SQL)
전체 텍스트 카탈로그 GRANT 전체 텍스트 사용 권한(Transact-SQL)
전체 텍스트 중지 목록 GRANT 전체 텍스트 사용 권한(Transact-SQL)
기능 개체 사용 권한(Transact-SQL)
로그인 GRANT 서버 보안 주체 사용 권한(Transact-SQL)
메시지 유형 GRANT Service Broker 권한(Transact-SQL)
개체 개체 사용 권한(Transact-SQL)
개체 사용 권한(Transact-SQL)
원격 서비스 바인딩 GRANT Service Broker 권한(Transact-SQL)
역할 GRANT 데이터베이스 보안 주체 사용 권한(Transact-SQL)
경로 GRANT Service Broker 권한(Transact-SQL)
스키마 GRANT 스키마 권한(Transact-SQL)
검색 속성 목록 GRANT 검색 속성 목록 사용 권한(Transact-SQL)
서버 GRANT 서버 사용 권한(Transact-SQL)
서비스 GRANT Service Broker 권한(Transact-SQL)
저장 프로시저 개체 사용 권한(Transact-SQL)
대칭 키 GRANT 대칭 키 사용 권한(Transact-SQL)
동의어 개체 사용 권한(Transact-SQL)
시스템 개체 GRANT 시스템 개체 사용 권한(Transact-SQL)
테이블 개체 사용 권한(Transact-SQL)
형식 GRANT 유형 사용 권한(Transact-SQL)
사용자 GRANT 데이터베이스 보안 주체 사용 권한(Transact-SQL)
보기 개체 사용 권한(Transact-SQL)
XML 스키마 컬렉션 GRANT XML 스키마 컬렉션 사용 권한(Transact-SQL)