Autorisations (moteur de base de données)
Chaque élément sécurisable SQL Server a des autorisations associées qui peuvent être accordées à un principal. Cette rubrique fournit les informations suivantes :
Conventions de noms d'autorisations
La section ci-après décrit les conventions générales qui sont suivies pour affecter des noms aux autorisations.
CONTROL
Confère des fonctionnalités de type propriété au bénéficiaire de l'autorisation. Le bénéficiaire dispose effectivement de toutes les autorisations définies sur l'élément sécurisable. Un principal qui dispose de l'autorisation CONTROL peut aussi accorder des autorisations sur l'élément sécurisable. Le modèle de sécurité de SQL Server étant hiérarchique, l'autorisation CONTROL sur une portée particulière étend implicitement CONTROL à tous les éléments sécurisables inclus dans cette portée. Par exemple, CONTROL sur une base de données implique toutes les autorisations sur la base de données, toutes les autorisations sur tous les assemblys de la base de données, toutes les autorisations sur tous les schémas de la base de données et toutes les autorisations sur les objets de tous les schémas de la base de données.
ALTER
Confère la capacité de modifier les propriétés, excepté l'appartenance, d'un élément sécurisable particulier. Lorsque ALTER est accordé sur une portée, ALTER octroie également la capacité de modifier, de créer ou de supprimer tous les éléments sécurisables contenus dans cette portée. Par exemple, l'autorisation ALTER sur un schéma inclut la capacité de créer, de modifier et de supprimer les objets du schéma.
ALTER ANY <Server Sécurisable>, où Server Securable peut être n’importe quel serveur sécurisable.
Confère la capacité de créer, de modifier ou de supprimer des instances individuelles de l' Élément sécurisable du serveur. Par exemple, ALTER ANY LOGIN confère la capacité de créer, de modifier ou de supprimer n'importe quelle connexion dans l'instance.
ALTER ANY <Database Securable>, où Database Securable peut être n’importe quel sécurisable au niveau de la base de données.
Confère la capacité de créer, de modifier ou de supprimer des instances individuelles de l' Élément sécurisable de base de données. Par exemple, ALTER ANY SCHEMA confère la capacité de créer, de modifier ou de supprimer n'importe quel schéma dans la base de données.
TAKE OWNERSHIP
Permet au bénéficiaire d'obtenir la propriété de l'élément sécurisable sur lequel cette autorisation est accordée.
Connexion IMPERSONATE <>
Permet au bénéficiaire d'emprunter l'identité impliquée dans la connexion.
Utilisateur IMPERSONATE <>
Permet au bénéficiaire d'emprunter l'identité de l'utilisateur.
CREATE <Server Sécurisable>
Confère au bénéficiaire la capacité de créer l' Élément sécurisable du serveur.
CREATE <Database Sécurisable>
Confère au bénéficiaire la capacité de créer l' Élément sécurisable de base de données.
CREATE <Schema-contained Sécurable>
Confère la capacité de créer l'élément sécurisable contenu dans le schéma. Toutefois, l'autorisation ALTER sur le schéma est requise pour créer l'élément sécurisable dans un schéma particulier.
VIEW DEFINITION
Permet au bénéficiaire d'accéder aux métadonnées.
REFERENCES
L'autorisation REFERENCES sur une table est obligatoire pour pouvoir créer une contrainte FOREIGN KEY qui référence cette table.
L'autorisation REFERENCES est obligatoire sur un objet pour pouvoir créer une FONCTION ou une VUE avec la clause
WITH SCHEMABINDINGqui référence cet objet.
Graphique des autorisations SQL Server
Pour obtenir un graphique de la taille d’une affiche de toutes les autorisations du Moteur de base de données au format PDF, consultez https://github.com/microsoft/sql-server-samples/blob/master/samples/features/security/permissions-posters/Microsoft_SQL_Server_2017_and_Azure_SQL_Database_permissions_infographic.pdf.
Autorisations applicables à des éléments sécurisables spécifiques
Le tableau ci-dessous répertorie les principales classes d'autorisations et les types d'éléments sécurisables auxquels elles peuvent s'appliquer.
| Autorisation | S’applique à |
|---|---|
| SELECT | Synonymes Tables et colonnes Fonctions table, Transact-SQL et Common Language Runtime (CLR) et colonnes Vues et colonnes |
| VIEW CHANGE TRACKING | Tables Schémas |
| UPDATE | Synonymes Tables et colonnes Vues et colonnes Objets séquence |
| REFERENCES | Fonctions scalaires et d’agrégation (Transact-SQL et CLR) Files d’attenteService Broker Tables et colonnes Fonctions table (Transact-SQL et CLR) et colonnes Types Vues et colonnes Objets séquence |
| INSERT | Synonymes Tables et colonnes Vues et colonnes |
| Suppression | Synonymes Tables et colonnes Vues et colonnes |
| Exécutez | Procédures (Transact-SQL et CLR) Fonctions scalaires et d’agrégation (Transact-SQL et CLR) Synonymes Types CLR |
| RECEIVE | Files d’attenteService Broker |
| VIEW DEFINITION | Groupes de disponibilité Procédures (Transact-SQL et CLR) Files d’attenteService Broker Fonctions scalaires et d’agrégation (Transact-SQL et CLR) Connexions, utilisateurs et rôles Synonymes Tables Fonctions table (Transact-SQL et CLR) Les vues Objets séquence |
| ALTER | Groupes de disponibilité Procédures (Transact-SQL et CLR) Fonctions scalaires et d’agrégation (Transact-SQL et CLR) Objets séquence Connexions, utilisateurs et rôles Files d’attenteService Broker Tables Fonctions table (Transact-SQL et CLR) Les vues |
| TAKE OWNERSHIP | Groupes de disponibilité Rôles Procédures (Transact-SQL et CLR) Fonctions scalaires et d’agrégation (Transact-SQL et CLR) Rôles serveur Synonymes Tables Fonctions table (Transact-SQL et CLR) Les vues Objets séquence |
| CONTROL | Groupes de disponibilité Procédures (Transact-SQL et CLR) Fonctions scalaires et d’agrégation (Transact-SQL et CLR) Connexions, utilisateurs et rôles Files d’attenteService Broker Synonymes Tables Fonctions table (Transact-SQL et CLR) Les vues Objets séquence |
| IMPERSONATE | Connexions et utilisateurs |
Attention
Les autorisations par défaut accordées aux objets système au moment de l'installation sont évaluées avec soin par rapport aux menaces potentielles et ne doivent pas être modifiées dans le cadre du renforcement de l'installation SQL Server . Les modifications apportées aux autorisations sur les objets système peuvent limiter ou rompre le fonctionnement et pourraient potentiellement laisser votre installation SQL Server dans un état non pris en charge.
SQL Server et autorisations de base de données
Le tableau ci-dessous fournit la liste complète des autorisations SQL Server . SQL Database autorisations ne sont disponibles que pour les éléments sécurisables de base pris en charge. Les autorisations au niveau du serveur ne peuvent pas être accordées dans SQL Database, mais dans certains cas, les autorisations de base de données sont disponibles à la place.
| Élément sécurisable de base | Autorisations granulaires sur les éléments sécurisables de base | Code du type d'autorisation | Élément sécurisable qui contient un élément sécurisable de base | Autorisation sur l'élément sécurisable conteneur, qui implique une autorisation granulaire sur l'élément sécurisable de base |
|---|---|---|---|---|
| APPLICATION ROLE | ALTER | AL | DATABASE | ALTER ANY APPLICATION ROLE |
| APPLICATION ROLE | CONTROL | CL | DATABASE | CONTROL |
| APPLICATION ROLE | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| ASSEMBLY | ALTER | AL | DATABASE | ALTER ANY ASSEMBLY |
| ASSEMBLY | CONTROL | CL | DATABASE | CONTROL |
| ASSEMBLY | REFERENCES | RF | DATABASE | REFERENCES |
| ASSEMBLY | TAKE OWNERSHIP | TO | DATABASE | CONTROL |
| ASSEMBLY | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| ASYMMETRIC KEY | ALTER | AL | DATABASE | ALTER ANY ASYMMETRIC KEY |
| ASYMMETRIC KEY | CONTROL | CL | DATABASE | CONTROL |
| ASYMMETRIC KEY | REFERENCES | RF | DATABASE | REFERENCES |
| ASYMMETRIC KEY | TAKE OWNERSHIP | TO | DATABASE | CONTROL |
| ASYMMETRIC KEY | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| AVAILABILITY GROUP | ALTER | AL | SERVER | ALTER ANY AVAILABILITY GROUP |
| AVAILABILITY GROUP | CONTROL | CL | SERVER | CONTROL SERVER |
| AVAILABILITY GROUP | TAKE OWNERSHIP | TO | SERVER | CONTROL SERVER |
| AVAILABILITY GROUP | VIEW DEFINITION | VW | SERVER | VIEW ANY DEFINITION |
| CERTIFICATE | ALTER | AL | DATABASE | ALTER ANY CERTIFICATE |
| CERTIFICATE | CONTROL | CL | DATABASE | CONTROL |
| CERTIFICATE | REFERENCES | RF | DATABASE | REFERENCES |
| CERTIFICATE | TAKE OWNERSHIP | TO | DATABASE | CONTROL |
| CERTIFICATE | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| CONTRACT | ALTER | AL | DATABASE | ALTER ANY CONTRACT |
| CONTRACT | CONTROL | CL | DATABASE | CONTROL |
| CONTRACT | REFERENCES | RF | DATABASE | REFERENCES |
| CONTRACT | TAKE OWNERSHIP | TO | DATABASE | CONTROL |
| CONTRACT | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| DATABASE | ALTER | AL | SERVER | ALTER ANY DATABASE |
| DATABASE | ALTER ANY APPLICATION ROLE | ALAR | SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY ASSEMBLY | ALAS | SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY ASYMMETRIC KEY | ALAK | SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY CERTIFICATE | ALCF | SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY CONTRACT | ALSC | SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY DATABASE AUDIT | ALDA | SERVER | ALTER ANY SERVER AUDIT |
| DATABASE | ALTER ANY DATABASE DDL TRIGGER | ALTG | SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY DATABASE EVENT NOTIFICATION | ALED | SERVER | ALTER ANY EVENT NOTIFICATION |
| DATABASE | ALTER ANY DATABASE EVENT SESSION | AADS Remarque : s’applique uniquement à SQL Database. |
SERVER | ALTER ANY EVENT SESSION |
| DATABASE | ALTER ANY DATASPACE | ALDS | SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY FULLTEXT CATALOG | ALFT | SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY MESSAGE TYPE | ALMT | SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY REMOTE SERVICE BINDING | ALSB | SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY ROLE | ALRL | SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY ROUTE | ALRT | SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY SCHEMA | ALSM | SERVER | CONTROL SERVER |
| DATABASE | MODIFIER UNE STRATÉGIE DE SÉCURITÉ | ALSP Remarque : s’applique uniquement à SQL Database. |
SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY SERVICE | ALSV | SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY SYMMETRIC KEY | ALSK | SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY USER | ALUS | SERVER | CONTROL SERVER |
| DATABASE | AUTHENTICATE | AUTH | SERVER | AUTHENTICATE SERVER |
| DATABASE | BACKUP DATABASE | BADB | SERVER | CONTROL SERVER |
| DATABASE | BACKUP LOG | BALO | SERVER | CONTROL SERVER |
| DATABASE | CHECKPOINT | CP | SERVER | CONTROL SERVER |
| DATABASE | CONNECT | CO | SERVER | CONTROL SERVER |
| DATABASE | CONNECT REPLICATION | CORP | SERVER | CONTROL SERVER |
| DATABASE | CONTROL | CL | SERVER | CONTROL SERVER |
| DATABASE | CREATE AGGREGATE | CRAG | SERVER | CONTROL SERVER |
| DATABASE | CREATE ASSEMBLY | CRAS | SERVER | CONTROL SERVER |
| DATABASE | CREATE ASYMMETRIC KEY | CRAK | SERVER | CONTROL SERVER |
| DATABASE | CREATE CERTIFICATE | CRCF | SERVER | CONTROL SERVER |
| DATABASE | CREATE CONTRACT | CRSC | SERVER | CONTROL SERVER |
| DATABASE | CREATE DATABASE | CRDB | SERVER | CREATE ANY DATABASE |
| DATABASE | CREATE DATABASE DDL EVENT NOTIFICATION | CRED | SERVER | CREATE DDL EVENT NOTIFICATION |
| DATABASE | CREATE DEFAULT | CRDF | SERVER | CONTROL SERVER |
| DATABASE | CREATE FULLTEXT CATALOG | CRFT | SERVER | CONTROL SERVER |
| DATABASE | CREATE FUNCTION | CRFN | SERVER | CONTROL SERVER |
| DATABASE | CREATE MESSAGE TYPE | CRMT | SERVER | CONTROL SERVER |
| DATABASE | CREATE PROCEDURE | CRPR | SERVER | CONTROL SERVER |
| DATABASE | CREATE QUEUE | CRQU | SERVER | CONTROL SERVER |
| DATABASE | CREATE REMOTE SERVICE BINDING | CRSB | SERVER | CONTROL SERVER |
| DATABASE | CREATE ROLE | CRRL | SERVER | CONTROL SERVER |
| DATABASE | CREATE ROUTE | CRRT | SERVER | CONTROL SERVER |
| DATABASE | CREATE RULE | CRRU | SERVER | CONTROL SERVER |
| DATABASE | CREATE SCHEMA | CRSM | SERVER | CONTROL SERVER |
| DATABASE | CREATE SERVICE | CRSV | SERVER | CONTROL SERVER |
| DATABASE | CREATE SYMMETRIC KEY | CRSK | SERVER | CONTROL SERVER |
| DATABASE | CREATE SYNONYM | CRSN | SERVER | CONTROL SERVER |
| DATABASE | CREATE TABLE | CRTB | SERVER | CONTROL SERVER |
| DATABASE | CREATE TYPE | CRTY | SERVER | CONTROL SERVER |
| DATABASE | CREATE VIEW | CRVW | SERVER | CONTROL SERVER |
| DATABASE | CREATE XML SCHEMA COLLECTION | CRXS | SERVER | CONTROL SERVER |
| DATABASE | Suppression | DL | SERVER | CONTROL SERVER |
| DATABASE | Exécutez | EX | SERVER | CONTROL SERVER |
| DATABASE | INSERT | IN | SERVER | CONTROL SERVER |
| DATABASE | KILL DATABASE CONNECTION | KIDC Remarque : s’applique uniquement à SQL Database. Utilisez ALTER ANY CONNECTION dans SQL Server. |
SERVER | ALTER ANY CONNECTION |
| DATABASE | REFERENCES | RF | SERVER | CONTROL SERVER |
| DATABASE | SELECT | SL | SERVER | CONTROL SERVER |
| DATABASE | SHOWPLAN | SPLN | SERVER | ALTER TRACE |
| DATABASE | SUBSCRIBE QUERY NOTIFICATIONS | SUQN | SERVER | CONTROL SERVER |
| DATABASE | TAKE OWNERSHIP | TO | SERVER | CONTROL SERVER |
| DATABASE | UPDATE | UP | SERVER | CONTROL SERVER |
| DATABASE | VIEW DATABASE STATE | VWDS | SERVER | VIEW SERVER STATE |
| DATABASE | VIEW DEFINITION | VW | SERVER | VIEW ANY DEFINITION |
| ENDPOINT | ALTER | AL | SERVER | ALTER ANY ENDPOINT |
| ENDPOINT | CONNECT | CO | SERVER | CONTROL SERVER |
| ENDPOINT | CONTROL | CL | SERVER | CONTROL SERVER |
| ENDPOINT | TAKE OWNERSHIP | TO | SERVER | CONTROL SERVER |
| ENDPOINT | VIEW DEFINITION | VW | SERVER | VIEW ANY DEFINITION |
| FULLTEXT CATALOG | ALTER | AL | DATABASE | ALTER ANY FULLTEXT CATALOG |
| FULLTEXT CATALOG | CONTROL | CL | DATABASE | CONTROL |
| FULLTEXT CATALOG | REFERENCES | RF | DATABASE | REFERENCES |
| FULLTEXT CATALOG | TAKE OWNERSHIP | TO | DATABASE | CONTROL |
| FULLTEXT CATALOG | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| FULLTEXT STOPLIST | ALTER | AL | DATABASE | ALTER ANY FULLTEXT CATALOG |
| FULLTEXT STOPLIST | CONTROL | CL | DATABASE | CONTROL |
| FULLTEXT STOPLIST | REFERENCES | RF | DATABASE | REFERENCES |
| FULLTEXT STOPLIST | TAKE OWNERSHIP | TO | DATABASE | CONTROL |
| FULLTEXT STOPLIST | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| Connexion | ALTER | AL | SERVER | ALTER ANY LOGIN |
| Connexion | CONTROL | CL | SERVER | CONTROL SERVER |
| Connexion | IMPERSONATE | IM | SERVER | CONTROL SERVER |
| Connexion | VIEW DEFINITION | VW | SERVER | VIEW ANY DEFINITION |
| MESSAGE TYPE | ALTER | AL | DATABASE | ALTER ANY MESSAGE TYPE |
| MESSAGE TYPE | CONTROL | CL | DATABASE | CONTROL |
| MESSAGE TYPE | REFERENCES | RF | DATABASE | REFERENCES |
| MESSAGE TYPE | TAKE OWNERSHIP | TO | DATABASE | CONTROL |
| MESSAGE TYPE | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| OBJECT | ALTER | AL | SCHEMA | ALTER |
| OBJECT | CONTROL | CL | SCHEMA | CONTROL |
| OBJECT | Suppression | DL | SCHEMA | Suppression |
| OBJECT | Exécutez | EX | SCHEMA | Exécutez |
| OBJECT | INSERT | IN | SCHEMA | INSERT |
| OBJECT | RECEIVE | RC | SCHEMA | CONTROL |
| OBJECT | REFERENCES | RF | SCHEMA | REFERENCES |
| OBJECT | SELECT | SL | SCHEMA | SELECT |
| OBJECT | TAKE OWNERSHIP | TO | SCHEMA | CONTROL |
| OBJECT | UPDATE | UP | SCHEMA | UPDATE |
| OBJECT | VIEW CHANGE TRACKING | VWCT | SCHEMA | VIEW CHANGE TRACKING |
| OBJECT | VIEW DEFINITION | VW | SCHEMA | VIEW DEFINITION |
| REMOTE SERVICE BINDING | ALTER | AL | DATABASE | ALTER ANY REMOTE SERVICE BINDING |
| REMOTE SERVICE BINDING | CONTROL | CL | DATABASE | CONTROL |
| REMOTE SERVICE BINDING | TAKE OWNERSHIP | TO | DATABASE | CONTROL |
| REMOTE SERVICE BINDING | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| ROLE | ALTER | AL | DATABASE | ALTER ANY ROLE |
| ROLE | CONTROL | CL | DATABASE | CONTROL |
| ROLE | TAKE OWNERSHIP | TO | DATABASE | CONTROL |
| ROLE | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| ROUTE | ALTER | AL | DATABASE | ALTER ANY ROUTE |
| ROUTE | CONTROL | CL | DATABASE | CONTROL |
| ROUTE | TAKE OWNERSHIP | TO | DATABASE | CONTROL |
| ROUTE | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| SEARCH PROPERTY LIST | ALTER | AL | SERVER | ALTER ANY FULLTEXT CATALOG |
| SEARCH PROPERTY LIST | CONTROL | CL | SERVER | CONTROL |
| SEARCH PROPERTY LIST | REFERENCES | RF | SERVER | REFERENCES |
| SEARCH PROPERTY LIST | TAKE OWNERSHIP | TO | SERVER | CONTROL |
| SEARCH PROPERTY LIST | VIEW DEFINITION | VW | SERVER | VIEW DEFINITION |
| SCHEMA | ALTER | AL | DATABASE | ALTER ANY SCHEMA |
| SCHEMA | CONTROL | CL | DATABASE | CONTROL |
| SCHEMA | CREATE SEQUENCE | CRSO | DATABASE | CONTROL |
| SCHEMA | Suppression | DL | DATABASE | Suppression |
| SCHEMA | Exécutez | EX | DATABASE | Exécutez |
| SCHEMA | INSERT | IN | DATABASE | INSERT |
| SCHEMA | REFERENCES | RF | DATABASE | REFERENCES |
| SCHEMA | SELECT | SL | DATABASE | SELECT |
| SCHEMA | TAKE OWNERSHIP | TO | DATABASE | CONTROL |
| SCHEMA | UPDATE | UP | DATABASE | UPDATE |
| SCHEMA | VIEW CHANGE TRACKING | VWCT | DATABASE | VIEW CHANGE TRACKING |
| SCHEMA | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| SERVER | ADMINISTER BULK OPERATIONS | ADBO | Non applicable | Non applicable |
| SERVER | ALTER ANY CONNECTION | ALCO | Non applicable | Non applicable |
| SERVER | ALTER ANY CREDENTIAL | ALCD | Non applicable | Non applicable |
| SERVER | ALTER ANY DATABASE | ALDB | Non applicable | Non applicable |
| SERVER | ALTER ANY ENDPOINT | ALHE | Non applicable | Non applicable |
| SERVER | ALTER ANY EVENT NOTIFICATION | ALES | Non applicable | Non applicable |
| SERVER | ALTER ANY EVENT SESSION | AAES | Non applicable | Non applicable |
| SERVER | ALTER ANY LINKED SERVER | ALLS | Non applicable | Non applicable |
| SERVER | ALTER ANY LOGIN | ALLG | Non applicable | Non applicable |
| SERVER | ALTER ANY SERVER AUDIT | ALAA | Non applicable | Non applicable |
| SERVER | ALTER ANY SERVER ROLE | ALSR | Non applicable | Non applicable |
| SERVER | ALTER AVAILABILITY GROUP | ALAG | Non applicable | Non applicable |
| SERVER | ALTER RESOURCES | ALRS | Non applicable | Non applicable |
| SERVER | ALTER SERVER STATE | ALSS | Non applicable | Non applicable |
| SERVER | ALTER SETTINGS | ALST | Non applicable | Non applicable |
| SERVER | ALTER TRACE | ALTR | Non applicable | Non applicable |
| SERVER | AUTHENTICATE SERVER | AUTH | Non applicable | Non applicable |
| SERVER | CONNECT ANY DATABASE | CADB | Non applicable | Non applicable |
| SERVER | CONNECT SQL | COSQ | Non applicable | Non applicable |
| SERVER | CONTROL SERVER | CL | Non applicable | Non applicable |
| SERVER | CREATE ANY DATABASE | CRDB | Non applicable | Non applicable |
| SERVER | CREATE AVAILABILTITY GROUP | CRAC | Non applicable | Non applicable |
| SERVER | CREATE DDL EVENT NOTIFICATION | CRDE | Non applicable | Non applicable |
| SERVER | CREATE ENDPOINT | CRHE | Non applicable | Non applicable |
| SERVER | CREATE SERVER ROLE | CRSR | Non applicable | Non applicable |
| SERVER | CREATE TRACE EVENT NOTIFICATION | CRTE | Non applicable | Non applicable |
| SERVER | EXTERNAL ACCESS ASSEMBLY | XA | Non applicable | Non applicable |
| SERVER | IMPERSONATE ANY LOGIN | IAL | Non applicable | Non applicable |
| SERVER | SELECT ALL USER SECURABLES | SUS | Non applicable | Non applicable |
| SERVER | SHUTDOWN | SHDN | Non applicable | Non applicable |
| SERVER | UNSAFE ASSEMBLY | XU | Non applicable | Non applicable |
| SERVER | VIEW ANY DATABASE | VWDB | Non applicable | Non applicable |
| SERVER | VIEW ANY DEFINITION | VWAD | Non applicable | Non applicable |
| SERVER | VIEW SERVER STATE | VWSS | Non applicable | Non applicable |
| SERVER ROLE | ALTER | AL | SERVER | ALTER ANY SERVER ROLE |
| SERVER ROLE | CONTROL | CL | SERVER | CONTROL SERVER |
| SERVER ROLE | TAKE OWNERSHIP | TO | SERVER | CONTROL SERVER |
| SERVER ROLE | VIEW DEFINITION | VW | SERVER | VIEW ANY DEFINITION |
| SERVICE | ALTER | AL | DATABASE | ALTER ANY SERVICE |
| SERVICE | CONTROL | CL | DATABASE | CONTROL |
| SERVICE | SEND | SN | DATABASE | CONTROL |
| SERVICE | TAKE OWNERSHIP | TO | DATABASE | CONTROL |
| SERVICE | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| SYMMETRIC KEY | ALTER | AL | DATABASE | ALTER ANY SYMMETRIC KEY |
| SYMMETRIC KEY | CONTROL | CL | DATABASE | CONTROL |
| SYMMETRIC KEY | REFERENCES | RF | DATABASE | REFERENCES |
| SYMMETRIC KEY | TAKE OWNERSHIP | TO | DATABASE | CONTROL |
| SYMMETRIC KEY | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| TYPE | CONTROL | CL | SCHEMA | CONTROL |
| TYPE | Exécutez | EX | SCHEMA | Exécutez |
| TYPE | REFERENCES | RF | SCHEMA | REFERENCES |
| TYPE | TAKE OWNERSHIP | TO | SCHEMA | CONTROL |
| TYPE | VIEW DEFINITION | VW | SCHEMA | VIEW DEFINITION |
| Utilisateur | ALTER | AL | DATABASE | ALTER ANY USER |
| Utilisateur | CONTROL | CL | DATABASE | CONTROL |
| Utilisateur | IMPERSONATE | IM | DATABASE | CONTROL |
| Utilisateur | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| XML SCHEMA COLLECTION | ALTER | AL | SCHEMA | ALTER |
| XML SCHEMA COLLECTION | CONTROL | CL | SCHEMA | CONTROL |
| XML SCHEMA COLLECTION | Exécutez | EX | SCHEMA | Exécutez |
| XML SCHEMA COLLECTION | REFERENCES | RF | SCHEMA | REFERENCES |
| XML SCHEMA COLLECTION | TAKE OWNERSHIP | TO | SCHEMA | CONTROL |
| XML SCHEMA COLLECTION | VIEW DEFINITION | VW | SCHEMA | VIEW DEFINITION |
Synthèse sur l'algorithme de vérification des autorisations
La vérification des autorisations peut être complexe. L'algorithme de vérification des autorisations englobe les membres de groupes qui se chevauchent et le chaînage des propriétés, l'autorisation explicite et implicite, et peut être affecté par les autorisations sur les classes sécurisables qui contiennent l'entité sécurisable. Le processus général de l'algorithme consiste à collecter toutes les autorisations pertinentes. Si aucun blocage DENY n'est rencontré, l'algorithme recherche une instruction GRANT fournissant un accès suffisant. L'algorithme contient trois éléments essentiels : le contexte de sécurité, l' espace d'autorisationet l' autorisation requise.
Notes
Vous ne pouvez pas accorder, refuser ou révoquer des autorisations à sa, dbo, le propriétaire de l'entité (entity owner), information_schema, sys ou à vous-même.
Contexte de sécurité
Il s'agit du groupe de principaux qui apporte les autorisations à la vérification d'accès. Ces autorisations sont liées à la connexion ou à l'utilisateur actif, à moins que le contexte de sécurité n'ait été modifié au profit d'une autre connexion ou d'un autre utilisateur par le biais de l'instruction EXECUTE AS. Le contexte de sécurité se compose des principaux suivants :
la connexion ;
L’utilisateur
les appartenances aux rôles ;
les appartenances aux groupes Windows ;
si la signature de module est utilisée, toute connexion ou compte d'utilisateur du certificat utilisé pour signer le module actuellement exécuté par l'utilisateur, ainsi que les appartenances aux rôles associées de ce principal.
Espace d’autorisation
Correspond à l'entité sécurisable et aux classes sécurisables qui contiennent l'élément sécurisable. Par exemple, une table (entité sécurisable) est contenue par la classe sécurisable de schéma et par la classe sécurisable de base de données. L'accès peut être affecté par des autorisations de niveau table, schéma, base de données et serveur. Pour plus d’informations, consultez Hiérarchie des autorisations (moteur de base de données).
Autorisation obligatoire
Correspond au type d'autorisation requise. Il peut s'agir, par exemple, d'une autorisation INSERT, UPDATE, DELETE, SELECT, EXECUTE, ALTER, CONTROL, etc.
L'accès peut nécessiter plusieurs autorisations, comme l'illustrent les exemples suivants :
Une procédure stockée peut nécessiter une autorisation EXECUTE sur la procédure stockée et une autorisation INSERT sur plusieurs tables référencées par la procédure stockée.
Une vue de gestion dynamique peut nécessiter à la fois une autorisation VIEW SERVER STATE et une autorisation SELECT sur la vue.
Étapes générales de l'algorithme
Au moment de déterminer si l'accès à un élément sécurisable doit être autorisé, l'algorithme peut suivre différentes étapes en fonction des principaux et des éléments sécurisables concernés. Cependant, l'algorithme exécute les étapes générales suivantes :
Contournement de la procédure de vérification des autorisations si la connexion est membre du rôle serveur fixe sysadmin ou si l'utilisateur est l'utilisateur dbo dans la base de données active.
Autorisation de l'accès si le chaînage des propriétés est applicable et si la vérification de l'accès sur l'objet plus tôt dans la chaîne a passé avec succès le contrôle de sécurité.
Agrégation des identités de niveau serveur, base de données et du module signé qui sont associées à l'appelant pour créer le contexte de sécurité.
Pour ce contexte de sécurité, collecte de toutes les autorisations accordées ou refusées pour l' espace d'autorisation. L'autorisation peut être explicitement déclarée comme une autorisation GRANT, GRANT WITH GRANT ou DENY ; les autorisations peuvent également correspondre à une autorisation implicite ou couvrante GRANT ou DENY. Par exemple, l'autorisation CONTROL sur un schéma implique une autorisation CONTROL sur une table. Et une autorisation CONTROL sur une table implique une autorisation SELECT. Par conséquent, si l'autorisation CONTROL a été accordée sur le schéma, l'autorisation SELECT l'est également sur la table. Si l'autorisation CONTROL a été refusée sur la table, l'autorisation SELECT l'est tout autant sur la table.
Notes
Une instruction GRANT associée à une autorisation au niveau colonne se substitue à une instruction DENY au niveau objet.
Identification de l' autorisation requise.
Échec de la vérification des autorisations si l' autorisation requise est directement ou implicitement refusée à l'une des identités dans le contexte de sécurité pour les objets contenus dans l' espace d'autorisation.
Succès de la vérification des autorisations si l' autorisation requise n'a pas été refusée et si l' autorisation requise contient une autorisation GRANT ou GRANT WITH GRANT directement ou implicitement accordée à l'une des identités dans le contexte de sécurité pour un objet contenu dans l' espace d'autorisation.
Exemples
Les exemples de cette section montrent comment récupérer des informations relatives aux autorisations.
R. Retour de la liste complète des autorisations accordables
L'instruction suivante retourne toutes les autorisations du Moteur de base de données à l'aide de la fonction fn_builtin_permissions . Pour plus d’informations, consultez sys.fn_builtin_permissions (Transact-SQL).
SELECT * FROM fn_builtin_permissions(default);
GO
B. Retour des autorisations sur une classe d'objets particulière
L'exemple suivant utilise la fonction fn_builtin_permissions pour consulter toutes les autorisations disponibles pour une catégorie d'élément sécurisable donnée. L'exemple retourne les autorisations sur les assemblys.
SELECT * FROM fn_builtin_permissions('assembly');
GO
C. Retour des autorisations accordées au principal en cours d'exécution sur un objet
L'exemple suivant utilise la fonction fn_my_permissions pour retourner la liste des autorisations effectives détenues par le principal appelant sur un élément sécurisable spécifié. L'exemple retourne les autorisations sur un objet nommé Orders55. Pour plus d’informations, consultez sys.fn_my_permissions (Transact-SQL).
SELECT * FROM fn_my_permissions('Orders55', 'object');
GO
D. Retour des autorisations applicables à un objet spécifié
L'exemple suivant retourne les autorisations applicables à un objet nommé Yttrium. Notez que la fonction intégrée OBJECT_ID est utilisée pour récupérer l'identificateur de l'objet Yttrium.
SELECT * FROM sys.database_permissions
WHERE major_id = OBJECT_ID('Yttrium');
GO
Voir aussi
Hiérarchie des autorisations (moteur de base de données)
sys.database_permissions (Transact-SQL)