다음을 통해 공유

사용 권한(데이터베이스 엔진)

적용 대상:Microsoft Fabric의 Microsoft Fabric SQL 데이터베이스에 있는 Microsoft Fabric Warehouse의 SQL Server Azure SQL Managed Instance Azure Synapse Analytics Analytics Platform System(PDW)SQL 분석 엔드포인트

모든 SQL Server 보안에는 주체에 부여할 수 있는 관련 권한이 있습니다. 데이터베이스 엔진의 권한은 로그인 및 서버 역할에 할당된 서버 수준과 데이터베이스 사용자 및 데이터베이스 역할에 할당된 데이터베이스 수준에서 관리됩니다. Azure SQL 데이터베이스 모델에는 데이터베이스 사용 권한에 대해 동일한 시스템이 있지만 서버 수준 사용 권한은 사용할 수 없습니다. 이 문서에는 전체 사용 권한 목록이 포함되어 있습니다. 사용 권한의 일반적인 구현은 데이터베이스 엔진 사용 권한 시작을 참조하세요.

SQL Server 2022(16.x)의 총 사용 권한 수는 292개입니다. Azure SQL 데이터베이스는 292개의 권한을 노출합니다. 대부분의 권한은 모든 플랫폼에 적용되지만 일부는 적용되지 않습니다. 예를 들어 대부분의 서버 수준 권한은 Azure SQL 데이터베이스에 부여할 수 없으며 몇 가지 권한은 Azure SQL 데이터베이스에만 적합합니다. 새 릴리스를 통해 새로운 사용 권한이 점진적으로 도입되고 있습니다. SQL Server 2019(15.x)는 248개의 권한을 노출합니다. SQL Server 2017(14.x)은 238개의 사용 권한을 노출했습니다. SQL Server 2016(13.x)은 230개의 사용 권한을 노출했습니다. SQL Server 2014(12.x)는 219개의 사용 권한을 노출했습니다. SQL Server 2012(11.x)는 214개의 사용 권한을 노출했습니다. SQL Server 2008 R2(10.50.x)는 195개의 권한을 노출했습니다. sys.fn_builtin_permissions 문서는 최신 버전의 새로운 사용 권한을 지정합니다.

Microsoft Fabric의 SQL 데이터베이스에서는 데이터베이스 수준 사용자 및 역할만 지원됩니다. 서버 수준 로그인, 역할 및 sa 계정을 사용할 수 없습니다. Microsoft Fabric의 SQL 데이터베이스에서 데이터베이스 사용자에 대한 Microsoft Entra ID는 유일하게 지원되는 인증 방법입니다. 자세한 내용은 Microsoft Fabric의 SQL 데이터베이스 권한 부여를 참조 하세요.

필요한 권한을 이해했다면 GRANT, REVOKE, DENY 문을 사용하여 로그인 또는 서버 역할에는 서버 수준 권한을, 사용자 또는 데이터베이스 역할에는 데이터베이스 수준 권한을 적용할 수 있습니다. 예시:

GRANT SELECT ON SCHEMA::HumanResources TO role_HumanResourcesDept;
REVOKE SELECT ON SCHEMA::HumanResources TO role_HumanResourcesDept;

사용 권한 시스템 계획에 대한 팁은 데이터베이스 엔진 사용 권한 시작을 참조하세요.

사용 권한 명명 규칙

다음은 권한 명명에 대해 따르는 일반적인 규칙에 대해 설명합니다.

  • 제어

    피부여자에게 소유권과 유사한 기능을 부여합니다. 피부여자는 보안 개체에 대해 정의된 모든 권한을 효과적으로 가지고 있습니다. CONTROL이 부여된 보안 주체는 보안 개체에 대한 사용 권한을 부여할 수도 있습니다. SQL Server 보안 모델은 계층적이기 때문에 특정 범위의 CONTROL에는 해당 범위 아래의 모든 보안 대상에 대한 CONTROL이 암시적으로 포함됩니다. 예를 들어 데이터베이스에 대한 CONTROL은 데이터베이스에 대한 모든 권한, 데이터베이스의 모든 어셈블리에 대한 모든 권한, 데이터베이스의 모든 스키마에 대한 모든 권한, 데이터베이스 내 모든 스키마 내의 개체에 대한 모든 권한을 의미합니다.

  • 변경

    특정 보안 개체의 소유권을 제외한 속성을 변경하는 기능을 제공합니다. 범위에 부여된 경우 ALTER는 또한 해당 범위 내에 포함된 임의의 보안 개체를 변경하고, 만들고, 삭제할 수 있는 기능을 부여합니다. 예를 들어 스키마의 ALTER 권한에는 스키마에서 개체를 만들고, 변경하고, 삭제할 수 있는 기능이 포함됩니다.

  • ALTER ANY <Server Securable>(여기서 Server Securable은 모든 서버 보안 개체가 될 수 있습니다).

    Server Securable의 개별 인스턴스를 만들거나 변경하거나 삭제하는 기능을 제공합니다. 예를 들어 ALTER ANY LOGIN은 인스턴스의 모든 로그인을 만들거나 변경하거나 삭제할 수 있는 기능을 제공합니다.

  • ALTER ANY <Database Securable>(여기서 Database Securable은 데이터베이스 수준의 모든 보안 개체가 될 수 있습니다).

    Database Securable의 개별 인스턴스를 만들거나 변경하거나 삭제하는 기능을 제공합니다. 예를 들어 ALTER ANY SCHEMA는 데이터베이스의 모든 스키마를 만들거나 변경하거나 삭제할 수 있는 기능을 제공합니다.

  • 소유권을 취하다

    수혜자가 부여된 보안 개체의 소유권을 취득할 수 있도록 합니다.

  • IMPERSONATE <로그인>

    피부여자가 로그인을 가장할 수 있도록 합니다.

  • IMPERSONATE <사용자>

    피부여자가 사용자를 가장할 수 있도록 합니다.

  • CREATE <Server Securable>

    피부여자에게 Server Securable을 만들 수 있는 기능을 제공합니다.

  • CREATE <Database Securable>

    피부여자에게 Database Securable을 만들 수 있는 기능을 제공합니다.

  • CREATE <스키마 포함 보안 개체>

    스키마가 포함된 보안 개체를 만드는 기능을 제공합니다. 그러나 특정 스키마에서 보안 개체를 만들려면 스키마에 대한 ALTER 권한이 필요합니다.

  • 정의 보기

    피부여자가 메타데이터에 액세스할 수 있도록 합니다.

  • 참고 문헌

    테이블에 대한 REFERENCES 권한은 해당 테이블을 참조하는 FOREIGN KEY 제약 조건을 만드는 데 필요합니다.

    해당 개체를 참조하는 WITH SCHEMABINDING 절이 있는 FUNCTION 또는 VIEW를 만들려면 개체에 REFERENCES 권한이 필요합니다.

SQL Server 사용 권한 차트

다음 이미지는 사용 권한과 서로의 관계를 보여 줍니다. 일부 상위 수준 권한(예: CONTROL SERVER)은 여러 번 나열됩니다. 이 문서에서는 포스터가 너무 작아 읽기 어렵습니다. 전체 크기의 데이터베이스 엔진 사용 권한 포스터를 PDF 형식으로 다운로드할 수 있습니다.

데이터베이스 엔진 사용 권한 PDF의 스크린샷.

특정 보안 개체에 적용할 수 있는 권한

다음 표에는 사용 권한의 주요 클래스 및 적용할 수 있는 보안 개체의 종류가 나열되어 있습니다.

허가 적용 대상
변경 TYPE을 제외한 모든 개체 클래스입니다.
제어 모든 개체 클래스:

집계
애플리케이션 역할,
집회
비대칭 키,
가용성 그룹,
증명서
계약
자격 증명
데이터베이스
데이터베이스 범위 자격 증명,
기본값
엔드포인트
전체 텍스트 카탈로그
전체 텍스트 중지 목록
기능
로그인
메시지 유형,
절차

원격 서비스 바인딩,
역할
경로
규칙
스키마
검색 속성 목록,
서버
서버 역할,
서비스
대칭 키,
동의어
테이블
유형
사용자
VIEW,
XML 스키마 컬렉션
삭제 DATABASE SCOPED CONFIGURATION, SERVER 및 TYPE을 제외한 전체 개체 클래스입니다.
실행 CLR 형식, 외부 스크립트, 프로시저(Transact-SQL 및 CLR), 스칼라 및 집계 함수(Transact-SQL 및 CLR) 및 동의어
사칭하다 로그인 및 사용자
삽입 동의어, 테이블 및 열, 뷰 및 열 데이터베이스, 스키마 또는 개체 수준에서 권한을 부여할 수 있습니다.
받다 Service Broker 큐
참고 문헌 집계
집회
비대칭 키,
증명서
계약
CREDENTIAL(적용 대상: SQL Server 2022(16.x) 이상),
데이터베이스
데이터베이스 범위 자격 증명,
전체 텍스트 카탈로그
전체 텍스트 중지 목록
기능
메시지 유형,
절차

규칙
스키마
검색 속성 목록,
시퀀스 객체
대칭 키,
테이블
유형
VIEW,
XML 스키마 컬렉션
선택 동의어, 테이블 및 열, 뷰 및 열 데이터베이스, 스키마 또는 개체 수준에서 권한을 부여할 수 있습니다.
소유권을 취하다 DATABASE SCOPED CONFIGURATION, LOGIN, SERVER 및 USER를 제외한 전체 개체 클래스입니다.
업데이트 동의어, 테이블 및 열, 뷰 및 열 데이터베이스, 스키마 또는 개체 수준에서 권한을 부여할 수 있습니다.
변경 내용 추적 보기 스키마 및 테이블
정의 보기 DATABASE SCOPED CONFIGURATION 및 SERVER를 제외한 전체 개체 클래스입니다.

주의

설정 시 시스템 개체에 부여되는 기본 권한은 가능한 위협에 대해 신중하게 평가되며 SQL Server 설치 강화의 일부로 변경할 필요가 없습니다. 시스템 개체에 대한 사용 권한을 변경하면 기능이 제한 또는 중단될 수 있으며 SQL Server 설치가 지원되지 않는 상태가 될 수 있습니다.

SQL Server 사용 권한

다음 표에서는 SQL Server 사용 권한의 전체 목록을 제공합니다. Azure SQL 데이터베이스 권한은 지원 되는 기본 보안 개체에 대해서만 사용할 수 있습니다. Azure SQL 데이터베이스에서는 서버 수준 권한을 부여할 수 없지만 경우에 따라 데이터베이스 사용 권한을 대신 사용할 수 있습니다.

기본 보안 개체 기본 보안 개체에 대한 세분화된 권한 권한 유형 코드 기본 보안 개체를 포함하는 보안 개체 기본 보안 개체에 대한 세분화된 권한을 의미하는 컨테이너 보안 개체에 대한 권한
애플리케이션 역할 변경 알 (AL) 데이터베이스 애플리케이션 역할 변경 권한 (ALTER ANY APPLICATION ROLE)
애플리케이션 역할 제어 CL 데이터베이스 제어
애플리케이션 역할 정의 보기 폭스바겐 데이터베이스 정의 보기
의회 변경 알 (AL) 데이터베이스 모든 어셈블리 수정
의회 제어 CL 데이터베이스 제어
의회 참고 문헌 RF(무선 주파수) 데이터베이스 참고 문헌
의회 소유권을 취하다 에게 데이터베이스 제어
의회 정의 보기 폭스바겐 데이터베이스 정의 보기
비대칭 키 변경 알 (AL) 데이터베이스 ALTER ANY 비대칭 키
비대칭 키 제어 CL 데이터베이스 제어
비대칭 키 참고 문헌 RF(무선 주파수) 데이터베이스 참고 문헌
비대칭 키 소유권을 취하다 에게 데이터베이스 제어
비대칭 키 정의 보기 폭스바겐 데이터베이스 정의 보기
가용성 그룹 변경 알 (AL) 서버 가용성 그룹 변경 권한 부여
가용성 그룹 제어 CL 서버 제어 서버
가용성 그룹 소유권을 취하다 에게 서버 제어 서버
가용성 그룹 정의 보기 폭스바겐 서버 모든 정의 보기
인증서 변경 알 (AL) 데이터베이스 모든 인증서 수정
인증서 제어 CL 데이터베이스 제어
인증서 참고 문헌 RF(무선 주파수) 데이터베이스 참고 문헌
인증서 소유권을 취하다 에게 데이터베이스 제어
인증서 정의 보기 폭스바겐 데이터베이스 정의 보기
계약 변경 알 (AL) 데이터베이스 모든 계약 변경
계약 제어 CL 데이터베이스 제어
계약 참고 문헌 RF(무선 주파수) 데이터베이스 참고 문헌
계약 소유권을 취하다 에게 데이터베이스 제어
계약 정의 보기 폭스바겐 데이터베이스 정의 보기
자격 증명 제어 CL 서버 제어 서버
자격 증명 참고 문헌 RF(무선 주파수) 서버 모든 자격 증명 변경
데이터베이스 데이터베이스 대량 작업 관리 DABO 서버 제어 서버
데이터베이스 변경 알 (AL) 서버 모든 데이터베이스 변경
데이터베이스 애플리케이션 역할 변경 권한 (ALTER ANY APPLICATION ROLE) ALAR 서버 제어 서버
데이터베이스 모든 어셈블리 수정 아아 서버 제어 서버
데이터베이스 ALTER ANY 비대칭 키 ALAK 서버 제어 서버
데이터베이스 모든 인증서 수정 ALCF 서버 제어 서버
데이터베이스 모든 열 암호화 키 변경 ALCK

SQL Server(SQL Server 2016(13.x) ~ 현재 버전), Azure SQL 데이터베이스에 적용됩니다.		 서버 제어 서버
데이터베이스 열 마스터 키 변경 권한 ALCM

SQL Server(SQL Server 2016(13.x) ~ 현재 버전), Azure SQL 데이터베이스에 적용됩니다.		 서버 제어 서버
데이터베이스 모든 계약 변경 ALSC 서버 제어 서버
데이터베이스 모든 데이터베이스 감사 변경 ALDA 서버 서버 감사 수정 권한 (ALTER ANY SERVER AUDIT)
데이터베이스 모든 데이터베이스 DDL 트리거 변경 ALTG 서버 제어 서버
데이터베이스 ALTER ANY DATABASE 이벤트 알림 수정 ALED 서버 어떤 이벤트 알림이라도 변경
데이터베이스 모든 데이터베이스 이벤트 세션 변경 AADS 서버 어떤 이벤트 세션 변경
데이터베이스 ALTER ANY DATABASE 이벤트 세션 추가 이벤트 LDAE 서버 모든 이벤트 세션 변경 추가 이벤트
데이터베이스 ALTER ANY DATABASE 이벤트 세션에 대상 추가 LDAT 서버 ALTER ANY 이벤트 세션 대상 추가
데이터베이스 ALTER ANY DATABASE 이벤트 세션 사용 안 함 DDES 서버 ALTER ANY 이벤트 세션 사용 안 함
데이터베이스 어떤 데이터베이스 이벤트 세션 변경 삭제 이벤트 LDDE 서버 ALTER ANY EVENT SESSION DROP EVENT (이벤트 세션 변경 삭제)
데이터베이스 모든 데이터베이스 이벤트 세션 대상 변경 제거 LDDT 서버 모든 이벤트 세션 대상을 변경하거나 삭제하기
데이터베이스 ALTER ANY DATABASE 이벤트 세션 활성화 EDES 서버 모든 이벤트 세션 사용 가능 변경
데이터베이스 ALTER ANY DATABASE 이벤트 세션 옵션 LDSO 서버 모든 이벤트 세션 옵션 변경
데이터베이스 모든 데이터베이스 범위 구성 변경 ALDC

SQL Server(SQL Server 2016(13.x) ~ 현재 버전), Azure SQL 데이터베이스에 적용됩니다.		 서버 제어 서버
데이터베이스 모든 DATASPACE 변경 ALDS 서버 제어 서버
데이터베이스 외부 데이터 소스 수정 권한 Automatic External Defibrillator System (자동 외부 제세동기 시스템) 서버 제어 서버
데이터베이스 외부 파일 형식 변경 권한 부여 AEFF 서버 제어 서버
데이터베이스 외부 작업 변경 권한 부여 AESJ 서버 제어 서버
데이터베이스 모든 외부 언어 수정 알라 서버 제어 서버
데이터베이스 외부 라이브러리 변경 권한 ALEL 서버 제어 서버
데이터베이스 모든 외부 스트림 변경 AEST 서버 제어 서버
데이터베이스 모든 전문 검색 카탈로그 변경 ALFT 서버 제어 서버
데이터베이스 모든 마스크 변경 AAMK

SQL Server(SQL Server 2016(13.x) ~ 현재 버전), Azure SQL 데이터베이스에 적용됩니다.		 서버 제어 서버
데이터베이스 아무 메시지 형식 변경 ALMT 서버 제어 서버
데이터베이스 모든 원격 서비스 바인딩 변경 ALSB 서버 제어 서버
데이터베이스 모든 역할 변경 ALRL 서버 제어 서버
데이터베이스 모든 경로 변경 ALRT 서버 제어 서버
데이터베이스 스키마 변경 권한 부여 ALSM 서버 제어 서버
데이터베이스 모든 보안 정책 변경 ALSP

SQL Server(SQL Server 2016(13.x) ~ 현재 버전), Azure SQL 데이터베이스에 적용됩니다.		 서버 제어 서버
데이터베이스 모든 민감도 분류 변경 AASC
적용 대상: SQL Server(SQL Server 2019(15.x) ~ 현재 버전), Azure SQL 데이터베이스에 적용됩니다.		 서버 제어 서버
데이터베이스 모든 서비스를 변경 ALSV 서버 제어 서버
데이터베이스 임의의 대칭 키 수정 ALSK 서버 제어 서버
데이터베이스 모든 사용자 변경 ALUS 서버 제어 서버
데이터베이스 ALTER LEDGER ALR 서버 제어
데이터베이스 LEDGER 구성 변경 ALC 서버 제어 서버
데이터베이스 인증 인증 서버 서버 인증
데이터베이스 데이터베이스 백업 BADB 서버 제어 서버
데이터베이스 백업 로그 BALO 서버 제어 서버
데이터베이스 점검 지점 CP 서버 제어 서버
데이터베이스 연결하다 일산화탄소 서버 제어 서버
데이터베이스 복제 연결 회사 서버 제어 서버
데이터베이스 제어 CL 서버 제어 서버
데이터베이스 집계 생성 CRAG 서버 제어 서버
데이터베이스 모든 데이터베이스 이벤트 세션 생성 CRDS 서버 모든 이벤트 세션 만들기
데이터베이스 어셈블리 생성 CRAS 서버 제어 서버
데이터베이스 비대칭 키 만들기 CRAK 서버 제어 서버
데이터베이스 인증서 생성 CRCF 서버 제어 서버
데이터베이스 계약 작성 CRSC 서버 제어 서버
데이터베이스 데이터베이스 생성 CRDB 서버 어떤 데이터베이스든 생성하기
데이터베이스 데이터베이스 DDL 이벤트 알림 생성 크레드 서버 CREATE DDL 이벤트 알림
데이터베이스 기본값 생성 CRDF 서버 제어 서버
데이터베이스 외부 언어 생성 CRLA 서버 제어 서버
데이터베이스 CREATE EXTERNAL LIBRARY (외부 라이브러리 생성) CREL 서버 제어 서버
데이터베이스 전체 텍스트 카탈로그 만들기 CRFT 서버 제어 서버
데이터베이스 함수 생성 CRFN 서버 제어 서버
데이터베이스 메시지 형식 만들기 CRMT 서버 제어 서버
데이터베이스 프로시저 생성 CRPR 서버 제어 서버
데이터베이스 큐 생성 CRQU 서버 제어 서버
데이터베이스 원격 서비스 바인딩 만들기 CRSB 서버 제어 서버
데이터베이스 역할 생성 CRRL 서버 제어 서버
데이터베이스 경로 생성 CRRT 서버 제어 서버
데이터베이스 규칙 생성 CRRU 서버 제어 서버
데이터베이스 스키마 생성 CRSM 서버 제어 서버
데이터베이스 서비스 생성 CRSV 서버 제어 서버
데이터베이스 대칭 키 생성 CRSK 서버 제어 서버
데이터베이스 동의어 생성 CRSN 서버 제어 서버
데이터베이스 테이블 생성 CRTB 서버 제어 서버
데이터베이스 유형 만들기 크리티 서버 제어 서버
데이터베이스 사용자 생성 CUSR 서버 제어 서버
데이터베이스 보기 만들기 CRVW 서버 제어 서버
데이터베이스 XML 스키마 컬렉션 생성 CRXS 서버 제어 서버
데이터베이스 삭제 DL 서버 제어 서버
데이터베이스 모든 데이터베이스 이벤트 세션 삭제 DRDS 서버 모든 이벤트 세션 삭제
데이터베이스 LEDGER 사용 서버 제어
데이터베이스 실행 서버 제어 서버
데이터베이스 모든 외부 엔드포인트 실행 EAEE 서버 제어 서버
데이터베이스 모든 외부 스크립트 실행 EAES

SQL Server(SQL Server 2016(13.x) ~ 현재 버전)에 적용됩니다.		 서버 제어 서버
데이터베이스 삽입 인도 서버 제어 서버
데이터베이스 데이터베이스 연결 종료 KIDC

Azure SQL 데이터베이스에만 적용됩니다. SQL Server에서 ALTER ANY CONNECTION을 사용합니다.		 서버 모든 연결 변경
데이터베이스 참고 문헌 RF(무선 주파수) 서버 제어 서버
데이터베이스 선택 SL 서버 제어 서버
데이터베이스 쇼플랜 SPLN 서버 추적 변경
데이터베이스 쿼리 알림 구독 SUQN 서버 제어 서버
데이터베이스 소유권을 취하다 에게 서버 제어 서버
데이터베이스 정체를 밝히다 UMSK

SQL Server(SQL Server 2016(13.x) ~ 현재 버전), Azure SQL 데이터베이스에 적용됩니다.		 서버 제어 서버
데이터베이스 업데이트 위로 서버 제어 서버
데이터베이스 열 암호화 키 정의 보기 VWCK

SQL Server(SQL Server 2016(13.x) ~ 현재 버전), Azure SQL 데이터베이스에 적용됩니다.		 서버 서버 상태 보기
데이터베이스 열 마스터 키 정의 보기 VWCM

SQL Server(SQL Server 2016(13.x) ~ 현재 버전), Azure SQL 데이터베이스에 적용됩니다.		 서버 서버 상태 보기
데이터베이스 모든 민감도 분류 보기 VASC 서버 제어 서버
데이터베이스 암호화된 보안 정의 보기 VCD 서버 암호화된 보안 정의 보기
데이터베이스 데이터베이스 성능 상태 보기 VDP 서버 서버 성능 상태 보기
데이터베이스 데이터베이스 보안 감사 보기 VDSA 서버 제어 서버
데이터베이스 데이터베이스 보안 상태 보기 VDS 서버 서버 보안 상태 보기
데이터베이스 데이터베이스 상태 보기 VWDS 서버 서버 상태 보기
데이터베이스 정의 보기 폭스바겐 서버 모든 정의 보기
데이터베이스 원장 콘텐츠 보기 VLC 서버 제어
데이터베이스 보안 정의 보기 폭스바겐 서버 모든 보안 정의 보기
데이터베이스 성능 정의 보기 비자 면제 프로그램 (VWP) 서버 모든 성능 정의 보기
데이터베이스 범위의 자격 증명 변경 알 (AL) 데이터베이스 제어
데이터베이스 범위의 자격 증명 제어 CL 데이터베이스 제어
데이터베이스 범위의 자격 증명 참고 문헌 RF(무선 주파수) 데이터베이스 참고 문헌
데이터베이스 범위의 자격 증명 소유권을 취하다 에게 데이터베이스 제어
데이터베이스 범위의 자격 증명 정의 보기 폭스바겐 데이터베이스 정의 보기
엔드포인트 변경 알 (AL) 서버 모든 끝점을 변경
엔드포인트 연결하다 일산화탄소 서버 제어 서버
엔드포인트 제어 CL 서버 제어 서버
엔드포인트 소유권을 취하다 에게 서버 제어 서버
엔드포인트 정의 보기 폭스바겐 서버 모든 정의 보기
전체 텍스트 카탈로그 변경 알 (AL) 데이터베이스 모든 전문 검색 카탈로그 변경
전체 텍스트 카탈로그 제어 CL 데이터베이스 제어
전체 텍스트 카탈로그 참고 문헌 RF(무선 주파수) 데이터베이스 참고 문헌
전체 텍스트 카탈로그 소유권을 취하다 에게 데이터베이스 제어
전체 텍스트 카탈로그 정의 보기 폭스바겐 데이터베이스 정의 보기
FULLTEXT 중지어 목록 변경 알 (AL) 데이터베이스 모든 전문 검색 카탈로그 변경
FULLTEXT 중지어 목록 제어 CL 데이터베이스 제어
FULLTEXT 중지어 목록 참고 문헌 RF(무선 주파수) 데이터베이스 참고 문헌
FULLTEXT 중지어 목록 소유권을 취하다 에게 데이터베이스 제어
FULLTEXT 중지어 목록 정의 보기 폭스바겐 데이터베이스 정의 보기
로그인 변경 알 (AL) 서버 모든 로그인을 수정하십시오
로그인 제어 CL 서버 제어 서버
로그인 사칭하다 인스턴트 메시지 서버 제어 서버
로그인 정의 보기 폭스바겐 서버 모든 정의 보기
메시지 유형 변경 알 (AL) 데이터베이스 아무 메시지 형식 변경
메시지 유형 제어 CL 데이터베이스 제어
메시지 유형 참고 문헌 RF(무선 주파수) 데이터베이스 참고 문헌
메시지 유형 소유권을 취하다 에게 데이터베이스 제어
메시지 유형 정의 보기 폭스바겐 데이터베이스 정의 보기
객체 변경 알 (AL) 스키마 변경
객체 제어 CL 스키마 제어
객체 삭제 DL 스키마 삭제
객체 실행 스키마 실행
객체 삽입 인도 스키마 삽입
객체 받다 RC 스키마 제어
객체 참고 문헌 RF(무선 주파수) 스키마 참고 문헌
객체 선택 SL 스키마 선택
객체 소유권을 취하다 에게 스키마 제어
객체 정체를 밝히다 UMSK 스키마 정체를 밝히다
객체 업데이트 위로 스키마 업데이트
객체 변경 내용 추적 보기 VWCT 스키마 변경 내용 추적 보기
객체 정의 보기 폭스바겐 스키마 정의 보기
원격 서비스 바인딩 변경 알 (AL) 데이터베이스 모든 원격 서비스 바인딩 변경
원격 서비스 바인딩 제어 CL 데이터베이스 제어
원격 서비스 바인딩 소유권을 취하다 에게 데이터베이스 제어
원격 서비스 바인딩 정의 보기 폭스바겐 데이터베이스 정의 보기
역할 변경 알 (AL) 데이터베이스 모든 역할 변경
역할 제어 CL 데이터베이스 제어
역할 소유권을 취하다 에게 데이터베이스 제어
역할 정의 보기 폭스바겐 데이터베이스 정의 보기
경로 변경 알 (AL) 데이터베이스 모든 경로 변경
경로 제어 CL 데이터베이스 제어
경로 소유권을 취하다 에게 데이터베이스 제어
경로 정의 보기 폭스바겐 데이터베이스 정의 보기
스키마 변경 알 (AL) 데이터베이스 스키마 변경 권한 부여
스키마 제어 CL 데이터베이스 제어
스키마 시퀀스 생성 CRSO 데이터베이스 제어
스키마 삭제 DL 데이터베이스 삭제
스키마 실행 데이터베이스 실행
스키마 삽입 인도 데이터베이스 삽입
스키마 참고 문헌 RF(무선 주파수) 데이터베이스 참고 문헌
스키마 선택 SL 데이터베이스 선택
스키마 소유권을 취하다 에게 데이터베이스 제어
스키마 정체를 밝히다 UMSK 데이터베이스 정체를 밝히다
스키마 업데이트 위로 데이터베이스 업데이트
스키마 변경 내용 추적 보기 VWCT 데이터베이스 변경 내용 추적 보기
스키마 정의 보기 폭스바겐 데이터베이스 정의 보기
부동산 검색 목록 변경 알 (AL) 서버 모든 전문 검색 카탈로그 변경
부동산 검색 목록 제어 CL 서버 제어
부동산 검색 목록 참고 문헌 RF(무선 주파수) 서버 참고 문헌
부동산 검색 목록 소유권을 취하다 에게 서버 제어
부동산 검색 목록 정의 보기 폭스바겐 서버 정의 보기
서버 대량 작업 관리 ADBO 해당 없음 해당 없음
서버 가용성 그룹 변경 권한 부여 ALAG 해당 없음 해당 없음
서버 모든 연결 변경 ALCO 해당 없음 해당 없음
서버 모든 자격 증명 변경 ALCD 해당 없음 해당 없음
서버 모든 데이터베이스 변경 ALDB 해당 없음 해당 없음
서버 모든 끝점을 변경 ALHE 해당 없음 해당 없음
서버 어떤 이벤트 알림이라도 변경 ALES 해당 없음 해당 없음
서버 어떤 이벤트 세션 변경 AAES 해당 없음 해당 없음
서버 모든 이벤트 세션 변경 추가 이벤트 LSAE 해당 없음 해당 없음
서버 ALTER ANY 이벤트 세션 대상 추가 LSAT (법학전문대학원 입학시험) 해당 없음 해당 없음
서버 ALTER ANY 이벤트 세션 사용 안 함 데이터 암호화 표준 (DES) 해당 없음 해당 없음
서버 ALTER ANY EVENT SESSION DROP EVENT (이벤트 세션 변경 삭제) LSDE 해당 없음 해당 없음
서버 모든 이벤트 세션 대상을 변경하거나 삭제하기 LSDT 해당 없음 해당 없음
서버 모든 이벤트 세션 사용 가능 변경 EES 해당 없음 해당 없음
서버 모든 이벤트 세션 옵션 변경 LESO 해당 없음 해당 없음
서버 모든 연결된 서버를 변경하기 ALLS 해당 없음 해당 없음
서버 모든 로그인을 수정하십시오 ALLG 해당 없음 해당 없음
서버 서버 감사 수정 권한 (ALTER ANY SERVER AUDIT) ALAA 해당 없음 해당 없음
서버 모든 서버 역할 수정 ALSR 해당 없음 해당 없음
서버 자원 수정 ALRS 해당 없음 해당 없음
서버 서버 상태 변경 ALSS 해당 없음 해당 없음
서버 설정 변경 ALST 해당 없음 해당 없음
서버 추적 변경 ALTR 해당 없음 해당 없음
서버 서버 인증 인증 해당 없음 해당 없음
서버 모든 데이터베이스 연결 CADB 해당 없음 해당 없음
서버 SQL 연결 COSQ 해당 없음 해당 없음
서버 제어 서버 CL 해당 없음 해당 없음
서버 어떤 데이터베이스든 생성하기 CRDB 해당 없음 해당 없음
서버 가용성 그룹 생성 크락 해당 없음 해당 없음
서버 CREATE DDL 이벤트 알림 CRDE 해당 없음 해당 없음
서버 엔드포인트 생성 CRHE 해당 없음 해당 없음
서버 서버 역할 생성 CRSR 해당 없음 해당 없음
서버 추적 이벤트 알림 만들기 CRTE 해당 없음 해당 없음
서버 외부 액세스 어셈블리 XA 해당 없음 해당 없음
서버 모든 로그인을 사칭합니다. IAL(IAL) 해당 없음 해당 없음
서버 모든 사용자 보안 가능한 항목 선택 SUS 해당 없음 해당 없음
서버 시스템 종료 SHDN 해당 없음 해당 없음
서버 안전하지 않은 어셈블리 XU 해당 없음 해당 없음
서버 모든 데이터베이스 보기 VWDB 해당 없음 해당 없음
서버 모든 정의 보기 VWAD 해당 없음 해당 없음
서버 서버 상태 보기 VWSS 해당 없음 해당 없음
서버 역할 변경 알 (AL) 서버 모든 서버 역할 수정
서버 역할 제어 CL 서버 제어 서버
서버 역할 소유권을 취하다 에게 서버 제어 서버
서버 역할 정의 보기 폭스바겐 서버 모든 정의 보기
서비스 변경 알 (AL) 데이터베이스 모든 서비스를 변경
서비스 제어 CL 데이터베이스 제어
서비스 보내기 SN 데이터베이스 제어
서비스 소유권을 취하다 에게 데이터베이스 제어
서비스 정의 보기 폭스바겐 데이터베이스 정의 보기
대칭 키 변경 알 (AL) 데이터베이스 임의의 대칭 키 수정
대칭 키 제어 CL 데이터베이스 제어
대칭 키 참고 문헌 RF(무선 주파수) 데이터베이스 참고 문헌
대칭 키 소유권을 취하다 에게 데이터베이스 제어
대칭 키 정의 보기 폭스바겐 데이터베이스 정의 보기
유형 제어 CL 스키마 제어
유형 실행 스키마 실행
유형 참고 문헌 RF(무선 주파수) 스키마 참고 문헌
유형 소유권을 취하다 에게 스키마 제어
유형 정의 보기 폭스바겐 스키마 정의 보기
사용자 변경 알 (AL) 데이터베이스 모든 사용자 변경
사용자 제어 CL 데이터베이스 제어
사용자 사칭하다 인스턴트 메시지 데이터베이스 제어
사용자 정의 보기 폭스바겐 데이터베이스 정의 보기
XML 스키마 컬렉션 변경 알 (AL) 스키마 변경
XML 스키마 컬렉션 제어 CL 스키마 제어
XML 스키마 컬렉션 실행 스키마 실행
XML 스키마 컬렉션 참고 문헌 RF(무선 주파수) 스키마 참고 문헌
XML 스키마 컬렉션 소유권을 취하다 에게 스키마 제어
XML 스키마 컬렉션 정의 보기 폭스바겐 스키마 정의 보기

SQL Server 2022에 추가된 새로운 세분화된 권한

SQL Server 2022에 다음 권한이 추가됩니다.

  • 시스템 메타데이터에 대한 액세스를 허용하기 위해 10개의 새 권한이 추가되었습니다.

  • 확장 이벤트에 대한 18개의 새 권한이 추가되었습니다.

  • 보안 관련 개체와 관련하여 9개의 새 권한이 추가되었습니다.

  • 원장에 대해 4개의 권한이 추가되었습니다.

  • 3개의 추가 데이터베이스 권한.

자세한 내용은 PoLP 준수를 개선하기 위한 SQL Server 2022 및 Azure SQL에 대한 새로운 세분화된 사용 권한을 참조하세요.

시스템 메타데이터 사용 권한에 대한 액세스

서버 수준:

  • 모든 보안 정의 보기
  • 모든 성능 정의 보기
  • 서버 보안 상태 보기
  • 서버 성능 상태 보기
  • 암호화된 보안 정의 보기

데이터베이스 수준:

  • 데이터베이스 보안 상태 보기
  • 데이터베이스 성능 상태 보기
  • 보안 정의 보기
  • 성능 정의 보기
  • 암호화된 보안 정의 보기

확장된 이벤트 세션

서버 수준:

  • 모든 이벤트 세션 만들기
  • 모든 이벤트 세션 삭제
  • 모든 이벤트 세션 옵션 변경
  • 모든 이벤트 세션 변경 추가 이벤트
  • ALTER ANY EVENT SESSION DROP EVENT (이벤트 세션 변경 삭제)
  • 모든 이벤트 세션 사용 가능 변경
  • ALTER ANY 이벤트 세션 사용 안 함
  • ALTER ANY 이벤트 세션 대상 추가
  • 모든 이벤트 세션 대상을 변경하거나 삭제하기

이러한 모든 사용 권한은 동일한 부모 권한인 ALTER ANY EVENT SESSION에 있습니다.

데이터베이스 수준:

  • 모든 데이터베이스 이벤트 세션 생성
  • 모든 데이터베이스 이벤트 세션 삭제
  • ALTER ANY DATABASE 이벤트 세션 옵션
  • ALTER ANY DATABASE 이벤트 세션 추가 이벤트
  • 어떤 데이터베이스 이벤트 세션 변경 삭제 이벤트
  • ALTER ANY DATABASE 이벤트 세션 활성화
  • ALTER ANY DATABASE 이벤트 세션 사용 안 함
  • ALTER ANY DATABASE 이벤트 세션에 대상 추가
  • 모든 데이터베이스 이벤트 세션 대상 변경 제거

이러한 모든 사용 권한은 동일한 부모 권한인 ALTER ANY DATABASE EVENT SESSION에 있습니다.

  • CONTROL(CREDENTIAL)
  • 로그인 생성
  • 사용자 생성
  • REFERENCES(CREDENTIAL)
  • UNMASK(OBJECT)
  • UNMASK(SCHEMA)
  • 오류 로그 보기
  • 서버 보안 감사 보기
  • 데이터베이스 보안 감사 보기

원장 사용 권한

  • ALTER LEDGER
  • LEDGER 구성 변경
  • LEDGER 사용
  • 원장 콘텐츠 보기

기타 데이터베이스 사용자 권한

  • 외부 작업 변경 권한 부여
  • 모든 외부 스트림 변경
  • 모든 외부 엔드포인트 실행

사용 권한 검사 알고리즘 요약

사용 권한 검사는 복잡할 수 있습니다. 사용 권한 검사 알고리즘에는 명시적 및 암시적 사용 권한인 겹치는 그룹 구성원 및 소유권 체인이 포함되며 보안 개체를 포함하는 보안 개체 클래스에 대한 사용 권한의 영향을 받을 수 있습니다. 알고리즘의 일반적인 프로세스는 모든 관련 사용 권한을 수집하는 것입니다. 차단 DENY가 없으면 알고리즘은 충분한 액세스를 제공하는 GRANT를 검색합니다. 이 알고리즘에는 보안 컨텍스트, 사용 권한 공간, 필수 사용 권한이라는 세 가지 필수 요소가 포함되어 있습니다.

참고 항목

sa, dbo, 엔터티 소유자, information_schema, sys, 또는 본인에게 권한을 부여, 거부 또는 취소할 수 없습니다.

  • 보안 컨텍스트

    이는 액세스 검사에 대한 권한을 제공하는 보안 주체 그룹입니다. 이것은 EXECUTE AS 문 사용으로 보안 컨텍스트가 다른 로그인 또는 사용자로 변경되지 않는 한 현재 로그인 또는 사용자와 관련된 사용 권한입니다. 보안 컨텍스트에는 다음 보안 주체가 포함됩니다.

    • 로그인

    • 사용자

    • 역할 멤버 자격

    • Windows 그룹 구성원

    • 모듈 서명을 사용하는 경우, 사용자가 현재 실행 중인 모듈에 서명하는 데 사용되는 인증서의 로그인 또는 사용자 계정과 해당 보안 주체의 연결된 역할 멤버 자격입니다.

  • 사용 권한 공간

    보안 개체 엔터티 및 보안 개체를 포함하는 모든 보안 개체 클래스입니다. 예를 들어 테이블(보안 개체 엔터티)은 스키마 보안 개체 클래스와 데이터베이스 보안 개체 클래스에 의해 포함됩니다. 액세스는 테이블 수준, 스키마 수준, 데이터베이스 수준 및 서버 수준 권한의 영향을 받을 수 있습니다. 자세한 내용은 사용 권한 계층 구조(데이터베이스 엔진)를 참조하세요.

  • 필요한 권한

    필요한 권한의 종류입니다. 예를 들어 INSERT, UPDATE, DELETE, SELECT, EXECUTE, ALTER, CONTROL 등이 있습니다.

    다음 예에서와 같이 액세스에는 여러 사용 권한이 필요할 수 있습니다.

    • 저장 프로시저에는 저장 프로시저에 대한 EXECUTE 권한과 저장 프로시저에서 참조하는 여러 테이블에 대한 INSERT 권한이 모두 필요할 수 있습니다.

    • 동적 관리 뷰를 사용하려면 뷰에 대한 VIEW SERVER STATE 및 SELECT 사용 권한이 모두 필요할 수 있습니다.

알고리즘의 일반 단계

알고리즘이 보안 개체에 대한 액세스를 허용할지 여부를 결정할 때 사용하는 정확한 단계는 보안 주체 및 관련된 보안 개체에 따라 달라질 수 있습니다. 그러나 알고리즘은 다음과 같은 일반적인 단계를 수행합니다.

  1. 로그인이 sysadmin 고정 서버 역할의 멤버인 경우 또는 사용자가 현재 데이터베이스의 dbo 사용자인 경우 사용 권한 검사를 무시합니다.

  2. 소유권 체인을 적용할 수 있고 체인의 앞부분에 있는 개체에 대한 액세스 검사가 보안 검사 통과한 경우 액세스를 허용합니다.

  3. 호출자와 연결된 서버 수준, 데이터베이스 수준 및 서명된 모듈 ID를 집계하여 보안 컨텍스트를 만듭니다.

  4. 해당 보안 컨텍스트의 경우 사용 권한 공간에 대해 부여되거나 거부된 모든 권한을 수집합니다. 권한은 GRANT, GRANT WITH GRANT 또는 DENY로 명시적으로 지정하거나 권한은 암시적이거나 GRANT 또는 DENY 권한을 포함할 수 있습니다. 예를 들어 스키마에 대한 CONTROL 권한은 테이블에 대한 CONTROL을 내포합니다. 테이블의 CONTROL은 SELECT를 의미합니다. 따라서 스키마에 대한 CONTROL이 부여된 경우 테이블에 대한 SELECT가 부여됩니다. 테이블에서 CONTROL이 거부된 경우 테이블의 SELECT가 거부됩니다.

    참고 항목

    열 수준 권한의 GRANT는 개체 수준에서 DENY를 재정의합니다. 자세한 내용은 DENY 개체 사용 권한을 참조하세요.

  5. 필요한 사용 권한을 식별합니다.

  6. 사용 권한 공간 의 개체에 대한 보안 컨텍스트 에서 모든 ID에 대해 필요한 사용 권한이 직접적으로 또는 암시적으로 거부되는 경우 사용 권한 검사가 실패합니다.

  7. 필요한 사용 권한이 거부되지 않았고 필요한 사용 권한사용 권한 공간의 모든 개체에 대한 보안 컨텍스트의 ID에 직접 또는 암시적으로 GRANT 또는 GRANT WITH GRANT 권한이 포함된 경우 사용 권한 검사를 통과합니다.

열 수준 권한에 대한 특별 고려 사항

<table_name>(<column _name>) 구문을 사용하여 열 수준 사용 권한을 부여합니다. 예시:

GRANT SELECT ON OBJECT::Customer(CustomerName) TO UserJoe;

테이블의 DENY는 열의 GRANT에 의해 재정의됩니다. 그러나 테이블의 후속 DENY는 GRANT 열을 제거합니다.

예제

이 섹션의 예제에서는 사용 권한 정보를 검색하는 방법을 설명합니다.

A. 부여할 수 있는 권한의 전체 목록을 반환합니다.

다음 문은 fn_builtin_permissions 함수를 사용하여 모든 데이터베이스 엔진 권한을 반환합니다. 자세한 내용은 sys.fn_builtin_permissions 참조하세요.

SELECT * FROM fn_builtin_permissions(default);
GO

B. 특정 개체 클래스에 대한 사용 권한 반환

다음 예에서는 fn_builtin_permissions를 사용하여 보안 개체 범주에 사용할 수 있는 모든 권한을 확인합니다. 이 예에서는 어셈블리에 대한 사용 권한을 반환합니다.

SELECT * FROM fn_builtin_permissions('assembly');
GO

C. 개체의 실행 보안 주체에 부여된 사용 권한을 반환합니다.

다음 예는 fn_my_permissions를 사용하여 호출하는 보안 주체가 지정된 보안 토큰에 대해 보유한 유효 권한 목록을 반환합니다. 이 예에서는 Orders55라는 개체에 대한 사용 권한을 반환합니다. 자세한 내용은 sys.fn_my_permissions 참조하세요.

SELECT * FROM fn_my_permissions('Orders55', 'object');
GO

D. 지정된 개체에 적용할 수 있는 사용 권한을 반환합니다.

다음 예에서는 Yttrium라는 개체에 적용되는 권한을 반환합니다. 기본 제공 함수 OBJECT_ID는 개체 Yttrium의 ID를 검색하는 데 사용됩니다.

SELECT * FROM sys.database_permissions
    WHERE major_id = OBJECT_ID('Yttrium');
GO

관련 콘텐츠