적용 대상:
SQL ServerAzure SQL DatabaseAzure SQL Managed InstanceAzure Synapse Analytics분석 플랫폼 시스템(PDW)Microsoft Fabric의 SQL 분석 엔드포인트Microsoft Fabric의 웨어하우스Microsoft Fabric의 SQL 데이터베이스
모든 SQL Server 보안에는 주체에 부여할 수 있는 관련 권한이 있습니다. 데이터베이스 엔진의 권한은 로그인 및 서버 역할에 할당된 서버 수준과 데이터베이스 사용자 및 데이터베이스 역할에 할당된 데이터베이스 수준에서 관리됩니다. Azure SQL 데이터베이스 모델에는 데이터베이스 사용 권한에 대해 동일한 시스템이 있지만 서버 수준 사용 권한은 사용할 수 없습니다. 이 문서에는 전체 사용 권한 목록이 포함되어 있습니다. 사용 권한의 일반적인 구현은 데이터베이스 엔진 사용 권한 시작을 참조하세요.
SQL Server 2022(16.x)의 총 사용 권한 수는 292개입니다. Azure SQL 데이터베이스는 292개의 권한을 노출합니다. 대부분의 권한은 모든 플랫폼에 적용되지만 일부는 적용되지 않습니다. 예를 들어 대부분의 서버 수준 권한은 Azure SQL 데이터베이스에 부여할 수 없으며 몇 가지 권한은 Azure SQL 데이터베이스에만 적합합니다. 새 릴리스를 통해 새로운 사용 권한이 점진적으로 도입되고 있습니다. SQL Server 2019(15.x)는 248개의 권한을 노출합니다. SQL Server 2017(14.x)은 238개의 사용 권한을 노출했습니다. SQL Server 2016(13.x)은 230개의 사용 권한을 노출했습니다. SQL Server 2014(12.x)는 219개의 사용 권한을 노출했습니다. SQL Server 2012(11.x)는 214개의 사용 권한을 노출했습니다. SQL Server 2008 R2(10.50.x)는 195개의 권한을 노출했습니다. sys.fn_builtin_permissions 문서는 최신 버전의 새로운 사용 권한을 지정합니다.
Microsoft Fabric의 SQL 데이터베이스에서는 데이터베이스 수준 사용자 및 역할만 지원됩니다. 서버 수준 로그인, 역할 및 sa 계정을 사용할 수 없습니다. Microsoft Fabric의 SQL 데이터베이스에서 데이터베이스 사용자에 대한 Microsoft Entra ID는 유일하게 지원되는 인증 방법입니다. 자세한 내용은 Microsoft Fabric의 SQL 데이터베이스 권한 부여를 참조 하세요.
필요한 권한을 이해했다면 GRANT, REVOKE, DENY 문을 사용하여 로그인 또는 서버 역할에는 서버 수준 권한을, 사용자 또는 데이터베이스 역할에는 데이터베이스 수준 권한을 적용할 수 있습니다. 다음은 그 예입니다.
GRANT SELECT ON SCHEMA::HumanResources TO role_HumanResourcesDept;
REVOKE SELECT ON SCHEMA::HumanResources TO role_HumanResourcesDept;
사용 권한 시스템 계획에 대한 팁은 데이터베이스 엔진 사용 권한 시작을 참조하세요.
사용 권한 명명 규칙
다음은 권한 명명에 대해 따르는 일반적인 규칙에 대해 설명합니다.
CONTROL
피부여자에게 소유권과 유사한 기능을 부여합니다. 피부여자는 보안 개체에 대해 정의된 모든 권한을 효과적으로 가지고 있습니다. CONTROL이 부여된 보안 주체는 보안 개체에 대한 사용 권한을 부여할 수도 있습니다. SQL Server 보안 모델은 계층적이기 때문에 특정 범위의 CONTROL에는 해당 범위 아래의 모든 보안 대상에 대한 CONTROL이 암시적으로 포함됩니다. 예를 들어 데이터베이스에 대한 CONTROL은 데이터베이스에 대한 모든 권한, 데이터베이스의 모든 어셈블리에 대한 모든 권한, 데이터베이스의 모든 스키마에 대한 모든 권한, 데이터베이스 내 모든 스키마 내의 개체에 대한 모든 권한을 의미합니다.
ALTER
특정 보안 개체의 소유권을 제외한 속성을 변경하는 기능을 제공합니다. 범위에 부여된 경우 ALTER는 또한 해당 범위 내에 포함된 임의의 보안 개체를 변경하고, 만들고, 삭제할 수 있는 기능을 부여합니다. 예를 들어 스키마의 ALTER 권한에는 스키마에서 개체를 만들고, 변경하고, 삭제할 수 있는 기능이 포함됩니다.
ALTER ANY <Server Securable>(여기서 Server Securable은 모든 서버 보안 개체가 될 수 있습니다).
Server Securable의 개별 인스턴스를 만들거나 변경하거나 삭제하는 기능을 제공합니다. 예를 들어 ALTER ANY LOGIN은 인스턴스의 모든 로그인을 만들거나 변경하거나 삭제할 수 있는 기능을 제공합니다.
ALTER ANY <Database Securable>(여기서 Database Securable은 데이터베이스 수준의 모든 보안 개체가 될 수 있습니다).
Database Securable의 개별 인스턴스를 만들거나 변경하거나 삭제하는 기능을 제공합니다. 예를 들어 ALTER ANY SCHEMA는 데이터베이스의 모든 스키마를 만들거나 변경하거나 삭제할 수 있는 기능을 제공합니다.
소유권
수혜자가 부여된 보안 개체의 소유권을 취득할 수 있도록 합니다.
IMPERSONATE <로그인>
피부여자가 로그인을 가장할 수 있도록 합니다.
IMPERSONATE <사용자>
피부여자가 사용자를 가장할 수 있도록 합니다.
CREATE <Server Securable>
피부여자에게 Server Securable을 만들 수 있는 기능을 제공합니다.
CREATE <Database Securable>
피부여자에게 Database Securable을 만들 수 있는 기능을 제공합니다.
CREATE <스키마 포함 보안 개체>
스키마가 포함된 보안 개체를 만드는 기능을 제공합니다. 그러나 특정 스키마에서 보안 개체를 만들려면 스키마에 대한 ALTER 권한이 필요합니다.
정의 보기
피부여자가 메타데이터에 액세스할 수 있도록 합니다.
REFERENCES
테이블에 대한 REFERENCES 권한은 해당 테이블을 참조하는 FOREIGN KEY 제약 조건을 만드는 데 필요합니다.
해당 개체를 참조하는
WITH SCHEMABINDING절이 있는 FUNCTION 또는 VIEW를 만들려면 개체에 REFERENCES 권한이 필요합니다.
SQL Server 사용 권한 차트
다음 이미지는 사용 권한과 서로의 관계를 보여 줍니다. 일부 상위 수준 권한(예: CONTROL SERVER)은 여러 번 나열됩니다. 이 문서에서는 포스터가 너무 작아 읽기 어렵습니다. 전체 크기의 데이터베이스 엔진 사용 권한 포스터를 PDF 형식으로 다운로드할 수 있습니다.
특정 보안 개체에 적용할 수 있는 권한
다음 표에는 사용 권한의 주요 클래스 및 적용할 수 있는 보안 개체의 종류가 나열되어 있습니다.
| Permission | 적용 대상 |
|---|---|
| ALTER | TYPE을 제외한 모든 개체 클래스입니다. |
| CONTROL | 모든 개체 클래스: AGGREGATE, 애플리케이션 역할, ASSEMBLY, 비대칭 키, 가용성 그룹, CERTIFICATE, CONTRACT, CREDENTIALS, DATABASE, 데이터베이스 범위 자격 증명, DEFAULT, ENDPOINT, FULLTEXT 카탈로그, FULLTEXT STOPLIST (풀텍스트 중지어 목록) FUNCTION, LOGIN, 메시지 유형, PROCEDURE, QUEUE, 원격 서비스 바인딩, ROLE, ROUTE, RULE, SCHEMA, 검색 속성 목록, SERVER, 서버 역할, SERVICE, 대칭 키, SYNONYM, TABLE, TYPE, USER, 보기 및 XML 스키마 컬렉션 |
| DELETE | DATABASE SCOPED CONFIGURATION, SERVER 및 TYPE을 제외한 전체 개체 클래스입니다. |
| EXECUTE | CLR 형식, 외부 스크립트, 프로시저(Transact-SQL 및 CLR), 스칼라 및 집계 함수(Transact-SQL 및 CLR) 및 동의어 |
| IMPERSONATE | 로그인 및 사용자 |
| INSERT | 동의어, 테이블 및 열, 뷰 및 열 데이터베이스, 스키마 또는 개체 수준에서 권한을 부여할 수 있습니다. |
| RECEIVE | Service Broker 큐 |
| REFERENCES | AGGREGATE, ASSEMBLY, 비대칭 키, CERTIFICATE, CONTRACT, CREDENTIAL(적용 대상: SQL Server 2022(16.x) 이상), DATABASE, 데이터베이스 범위 자격 증명, 전체 텍스트 카탈로그 FULLTEXT 정지 목록 FUNCTION, 메시지 유형, PROCEDURE, QUEUE, RULE, SCHEMA, 검색 속성 목록, SEQUENCE 개체, 대칭 키, TABLE, TYPE, 보기 및 XML 스키마 컬렉션 |
| SELECT | 동의어, 테이블 및 열, 뷰 및 열 데이터베이스, 스키마 또는 개체 수준에서 권한을 부여할 수 있습니다. |
| 소유권 | DATABASE SCOPED CONFIGURATION, LOGIN, SERVER 및 USER를 제외한 전체 개체 클래스입니다. |
| UPDATE | 동의어, 테이블 및 열, 뷰 및 열 데이터베이스, 스키마 또는 개체 수준에서 권한을 부여할 수 있습니다. |
| 변경 내용 추적 보기 | 스키마 및 테이블 |
| 정의 보기 | DATABASE SCOPED CONFIGURATION 및 SERVER를 제외한 전체 개체 클래스입니다. |
Caution
설정 시 시스템 개체에 부여되는 기본 권한은 가능한 위협에 대해 신중하게 평가되며 SQL Server 설치 강화의 일부로 변경할 필요가 없습니다. 시스템 개체에 대한 사용 권한을 변경하면 기능이 제한 또는 중단될 수 있으며 SQL Server 설치가 지원되지 않는 상태가 될 수 있습니다.
SQL Server 사용 권한
다음 표에서는 SQL Server 사용 권한의 전체 목록을 제공합니다. Azure SQL 데이터베이스 권한은 지원 되는 기본 보안 개체에 대해서만 사용할 수 있습니다. Azure SQL 데이터베이스에서는 서버 수준 권한을 부여할 수 없지만 경우에 따라 데이터베이스 사용 권한을 대신 사용할 수 있습니다.
| 기본 보안 개체 | 기본 보안 개체에 대한 세분화된 권한 | 권한 유형 코드 | 기본 보안 개체를 포함하는 보안 개체 | 기본 보안 개체에 대한 세분화된 권한을 의미하는 컨테이너 보안 개체에 대한 권한 |
|---|---|---|---|---|
| 애플리케이션 역할 | ALTER | AL | DATABASE | 애플리케이션 역할 변경 권한 (ALTER ANY APPLICATION ROLE) |
| 애플리케이션 역할 | CONTROL | CL | DATABASE | CONTROL |
| 애플리케이션 역할 | 정의 보기 | VW | DATABASE | 정의 보기 |
| ASSEMBLY | ALTER | AL | DATABASE | 모든 어셈블리 수정 |
| ASSEMBLY | CONTROL | CL | DATABASE | CONTROL |
| ASSEMBLY | REFERENCES | RF | DATABASE | REFERENCES |
| ASSEMBLY | 소유권 | TO | DATABASE | CONTROL |
| ASSEMBLY | 정의 보기 | VW | DATABASE | 정의 보기 |
| 비대칭 키 | ALTER | AL | DATABASE | ALTER ANY 비대칭 키 |
| 비대칭 키 | CONTROL | CL | DATABASE | CONTROL |
| 비대칭 키 | REFERENCES | RF | DATABASE | REFERENCES |
| 비대칭 키 | 소유권 | TO | DATABASE | CONTROL |
| 비대칭 키 | 정의 보기 | VW | DATABASE | 정의 보기 |
| 가용성 그룹 | ALTER | AL | SERVER | 가용성 그룹 변경 권한 부여 |
| 가용성 그룹 | CONTROL | CL | SERVER | 제어 서버 |
| 가용성 그룹 | 소유권 | TO | SERVER | 제어 서버 |
| 가용성 그룹 | 정의 보기 | VW | SERVER | 모든 정의 보기 |
| CERTIFICATE | ALTER | AL | DATABASE | 모든 인증서 수정 |
| CERTIFICATE | CONTROL | CL | DATABASE | CONTROL |
| CERTIFICATE | REFERENCES | RF | DATABASE | REFERENCES |
| CERTIFICATE | 소유권 | TO | DATABASE | CONTROL |
| CERTIFICATE | 정의 보기 | VW | DATABASE | 정의 보기 |
| CONTRACT | ALTER | AL | DATABASE | 모든 계약 변경 |
| CONTRACT | CONTROL | CL | DATABASE | CONTROL |
| CONTRACT | REFERENCES | RF | DATABASE | REFERENCES |
| CONTRACT | 소유권 | TO | DATABASE | CONTROL |
| CONTRACT | 정의 보기 | VW | DATABASE | 정의 보기 |
| CREDENTIAL | CONTROL | CL | SERVER | 제어 서버 |
| CREDENTIAL | REFERENCES | RF | SERVER | 모든 자격 증명 변경 |
| DATABASE | 데이터베이스 대량 작업 관리 | DABO | SERVER | 제어 서버 |
| DATABASE | ALTER | AL | SERVER | 모든 데이터베이스 변경 |
| DATABASE | 애플리케이션 역할 변경 권한 (ALTER ANY APPLICATION ROLE) | ALAR | SERVER | 제어 서버 |
| DATABASE | 모든 어셈블리 수정 | ALAS | SERVER | 제어 서버 |
| DATABASE | ALTER ANY 비대칭 키 | ALAK | SERVER | 제어 서버 |
| DATABASE | 모든 인증서 수정 | ALCF | SERVER | 제어 서버 |
| DATABASE | 모든 열 암호화 키 변경 | ALCK SQL Server(SQL Server 2016(13.x) ~ 현재 버전), Azure SQL 데이터베이스에 적용됩니다. |
SERVER | 제어 서버 |
| DATABASE | 열 마스터 키 변경 권한 | ALCM SQL Server(SQL Server 2016(13.x) ~ 현재 버전), Azure SQL 데이터베이스에 적용됩니다. |
SERVER | 제어 서버 |
| DATABASE | 모든 계약 변경 | ALSC | SERVER | 제어 서버 |
| DATABASE | 모든 데이터베이스 감사 변경 | ALDA | SERVER | 서버 감사 수정 권한 (ALTER ANY SERVER AUDIT) |
| DATABASE | 모든 데이터베이스 DDL 트리거 변경 | ALTG | SERVER | 제어 서버 |
| DATABASE | ALTER ANY DATABASE 이벤트 알림 수정 | ALED | SERVER | 어떤 이벤트 알림이라도 변경 |
| DATABASE | 모든 데이터베이스 이벤트 세션 변경 | AADS | SERVER | 어떤 이벤트 세션 변경 |
| DATABASE | ALTER ANY DATABASE 이벤트 세션 추가 이벤트 | LDAE | SERVER | 모든 이벤트 세션 변경 추가 이벤트 |
| DATABASE | ALTER ANY DATABASE 이벤트 세션에 대상 추가 | LDAT | SERVER | ALTER ANY 이벤트 세션 대상 추가 |
| DATABASE | ALTER ANY DATABASE 이벤트 세션 사용 안 함 | DDES | SERVER | ALTER ANY 이벤트 세션 사용 안 함 |
| DATABASE | 어떤 데이터베이스 이벤트 세션 변경 삭제 이벤트 | LDDE | SERVER | ALTER ANY EVENT SESSION DROP EVENT (이벤트 세션 변경 삭제) |
| DATABASE | 모든 데이터베이스 이벤트 세션 대상 변경 제거 | LDDT | SERVER | 모든 이벤트 세션 대상을 변경하거나 삭제하기 |
| DATABASE | ALTER ANY DATABASE 이벤트 세션 활성화 | EDES | SERVER | 모든 이벤트 세션 사용 가능 변경 |
| DATABASE | ALTER ANY DATABASE 이벤트 세션 옵션 | LDSO | SERVER | 모든 이벤트 세션 옵션 변경 |
| DATABASE | 모든 데이터베이스 범위 구성 변경 | ALDC SQL Server(SQL Server 2016(13.x) ~ 현재 버전), Azure SQL 데이터베이스에 적용됩니다. |
SERVER | 제어 서버 |
| DATABASE | 모든 DATASPACE 변경 | ALDS | SERVER | 제어 서버 |
| DATABASE | 외부 데이터 소스 수정 권한 | AEDS | SERVER | 제어 서버 |
| DATABASE | 외부 파일 형식 변경 권한 부여 | AEFF | SERVER | 제어 서버 |
| DATABASE | 외부 작업 변경 권한 부여 | AESJ | SERVER | 제어 서버 |
| DATABASE | 모든 외부 언어 수정 | ALLA | SERVER | 제어 서버 |
| DATABASE | 외부 라이브러리 변경 권한 | ALEL | SERVER | 제어 서버 |
| DATABASE | 모든 외부 스트림 변경 | AEST | SERVER | 제어 서버 |
| DATABASE | 모든 전문 검색 카탈로그 변경 | ALFT | SERVER | 제어 서버 |
| DATABASE | 모든 마스크 변경 | AAMK SQL Server(SQL Server 2016(13.x) ~ 현재 버전), Azure SQL 데이터베이스에 적용됩니다. |
SERVER | 제어 서버 |
| DATABASE | 아무 메시지 형식 변경 | ALMT | SERVER | 제어 서버 |
| DATABASE | 모든 원격 서비스 바인딩 변경 | ALSB | SERVER | 제어 서버 |
| DATABASE | 모든 역할 변경 | ALRL | SERVER | 제어 서버 |
| DATABASE | 모든 경로 변경 | ALRT | SERVER | 제어 서버 |
| DATABASE | 스키마 변경 권한 부여 | ALSM | SERVER | 제어 서버 |
| DATABASE | 모든 보안 정책 변경 | ALSP SQL Server(SQL Server 2016(13.x) ~ 현재 버전), Azure SQL 데이터베이스에 적용됩니다. |
SERVER | 제어 서버 |
| DATABASE | 모든 민감도 분류 변경 | AASC 적용 대상: SQL Server(SQL Server 2019(15.x) ~ 현재 버전), Azure SQL 데이터베이스에 적용됩니다. |
SERVER | 제어 서버 |
| DATABASE | 모든 서비스를 변경 | ALSV | SERVER | 제어 서버 |
| DATABASE | 임의의 대칭 키 수정 | ALSK | SERVER | 제어 서버 |
| DATABASE | 모든 사용자 변경 | ALUS | SERVER | 제어 서버 |
| DATABASE | ALTER LEDGER | ALR | SERVER | CONTROL |
| DATABASE | LEDGER 구성 변경 | ALC | SERVER | 제어 서버 |
| DATABASE | AUTHENTICATE | AUTH | SERVER | 서버 인증 |
| DATABASE | 데이터베이스 백업 | BADB | SERVER | 제어 서버 |
| DATABASE | 백업 로그 | BALO | SERVER | 제어 서버 |
| DATABASE | CHECKPOINT | CP | SERVER | 제어 서버 |
| DATABASE | CONNECT | CO | SERVER | 제어 서버 |
| DATABASE | 복제 연결 | CORP | SERVER | 제어 서버 |
| DATABASE | CONTROL | CL | SERVER | 제어 서버 |
| DATABASE | 집계 생성 | CRAG | SERVER | 제어 서버 |
| DATABASE | 모든 데이터베이스 이벤트 세션 생성 | CRDS | SERVER | 모든 이벤트 세션 만들기 |
| DATABASE | 어셈블리 생성 | CRAS | SERVER | 제어 서버 |
| DATABASE | 비대칭 키 만들기 | CRAK | SERVER | 제어 서버 |
| DATABASE | 인증서 생성 | CRCF | SERVER | 제어 서버 |
| DATABASE | 계약 작성 | CRSC | SERVER | 제어 서버 |
| DATABASE | 데이터베이스 생성 | CRDB | SERVER | 어떤 데이터베이스든 생성하기 |
| DATABASE | 데이터베이스 DDL 이벤트 알림 생성 | CRED | SERVER | CREATE DDL 이벤트 알림 |
| DATABASE | 기본값 생성 | CRDF | SERVER | 제어 서버 |
| DATABASE | 외부 언어 생성 | CRLA | SERVER | 제어 서버 |
| DATABASE | CREATE EXTERNAL LIBRARY (외부 라이브러리 생성) | CREL | SERVER | 제어 서버 |
| DATABASE | 전체 텍스트 카탈로그 만들기 | CRFT | SERVER | 제어 서버 |
| DATABASE | 함수 생성 | CRFN | SERVER | 제어 서버 |
| DATABASE | 메시지 형식 만들기 | CRMT | SERVER | 제어 서버 |
| DATABASE | 프로시저 생성 | CRPR | SERVER | 제어 서버 |
| DATABASE | 큐 생성 | CRQU | SERVER | 제어 서버 |
| DATABASE | 원격 서비스 바인딩 만들기 | CRSB | SERVER | 컨트롤 서버 |
| DATABASE | 역할을 창조합니다 | CRRL | SERVER | 제어 서버 |
| DATABASE | 경로 생성 | CRRT | SERVER | 제어 서버 |
| DATABASE | 규칙 생성 | CRRU | SERVER | 제어 서버 |
| DATABASE | 스키마 생성 | CRSM | SERVER | 제어 서버 |
| DATABASE | 서비스 생성 | CRSV | SERVER | CONTROL SERVER (제어 서버) |
| DATABASE | 대칭 키 생성 | CRSK | SERVER | 제어 서버 |
| DATABASE | 동의어 생성 | CRSN | SERVER | 제어 서버 |
| DATABASE | CREATE TABLE | CRTB | SERVER | 제어 서버 |
| DATABASE | 유형 만들기 | CRTY | SERVER | 제어 서버 |
| DATABASE | 사용자 생성 | CUSR | SERVER | 제어 서버 |
| DATABASE | 보기 만들기 | CRVW | SERVER | 제어 서버 |
| DATABASE | XML 스키마 컬렉션 생성 | CRXS | SERVER | 제어 서버 |
| DATABASE | DELETE | DL | SERVER | 제어 서버 |
| DATABASE | 모든 데이터베이스 이벤트 세션 삭제 | DRDS | SERVER | 모든 이벤트 세션 삭제 |
| DATABASE | LEDGER 사용 | EL | SERVER | CONTROL |
| DATABASE | EXECUTE | EX | SERVER | 컨트롤 서버 |
| DATABASE | 모든 외부 엔드포인트 실행 | EAEE | SERVER | 제어 서버 |
| DATABASE | 모든 외부 스크립트 실행 | EAES SQL Server(SQL Server 2016(13.x) ~ 현재 버전)에 적용됩니다. |
SERVER | 제어 서버 |
| DATABASE | INSERT | IN | SERVER | 제어 서버 |
| DATABASE | 데이터베이스 연결 종료 | KIDC Azure SQL 데이터베이스에만 적용됩니다. SQL Server에서 ALTER ANY CONNECTION을 사용합니다. |
SERVER | 모든 연결 변경 |
| DATABASE | REFERENCES | RF | SERVER | 제어 서버 |
| DATABASE | SELECT | SL | SERVER | 컨트롤 서버 |
| DATABASE | SHOWPLAN | SPLN | SERVER | ALTER TRACE |
| DATABASE | 쿼리 알림 구독 | SUQN | SERVER | 제어 서버 |
| DATABASE | 소유권 | TO | SERVER | 제어 서버 |
| DATABASE | UNMASK | UMSK SQL Server(SQL Server 2016(13.x) ~ 현재 버전), Azure SQL 데이터베이스에 적용됩니다. |
SERVER | 제어 서버 |
| DATABASE | UPDATE | UP | SERVER | 컨트롤 서버 |
| DATABASE | 열 암호화 키 정의 보기 | VWCK SQL Server(SQL Server 2016(13.x) ~ 현재 버전), Azure SQL 데이터베이스에 적용됩니다. |
SERVER | 서버 상태 보기 |
| DATABASE | 열 마스터 키 정의 보기 | VWCM SQL Server(SQL Server 2016(13.x) ~ 현재 버전), Azure SQL 데이터베이스에 적용됩니다. |
SERVER | 서버 상태 보기 |
| DATABASE | 모든 민감도 분류 보기 | VASC | SERVER | 제어 서버 |
| DATABASE | 암호화된 보안 정의 보기 | VCD | SERVER | 암호화된 보안 정의 보기 |
| DATABASE | 데이터베이스 성능 상태 보기 | VDP | SERVER | 서버 성능 상태 보기 |
| DATABASE | 데이터베이스 보안 감사 보기 | VDSA | SERVER | 제어 서버 |
| DATABASE | 데이터베이스 보안 상태 보기 | VDS | SERVER | 서버 보안 상태 보기 |
| DATABASE | 데이터베이스 상태 보기 | VWDS | SERVER | 서버 상태 보기 |
| DATABASE | 정의 보기 | VW | SERVER | 모든 정의 보기 |
| DATABASE | 원장 콘텐츠 보기 | VLC | SERVER | CONTROL |
| DATABASE | 보안 정의 보기 | VWS | SERVER | 모든 보안 정의 보기 |
| DATABASE | 성능 정의 보기 | VWP | SERVER | 모든 성능 정의 보기 |
| 데이터베이스 범위의 자격 증명 | ALTER | AL | DATABASE | CONTROL |
| 데이터베이스 범위의 자격 증명 | CONTROL | CL | DATABASE | CONTROL |
| 데이터베이스 범위의 자격 증명 | REFERENCES | RF | DATABASE | REFERENCES |
| 데이터베이스 범위의 자격 증명 | 소유권 | TO | DATABASE | CONTROL |
| 데이터베이스 범위의 자격 증명 | 정의 보기 | VW | DATABASE | 정의 보기 |
| ENDPOINT | ALTER | AL | SERVER | 모든 끝점을 변경 |
| ENDPOINT | CONNECT | CO | SERVER | 제어 서버 |
| ENDPOINT | CONTROL | CL | SERVER | 제어 서버 |
| ENDPOINT | 소유권 | TO | SERVER | 제어 서버 |
| ENDPOINT | 정의 보기 | VW | SERVER | 모든 정의 보기 |
| FULLTEXT 카탈로그 | ALTER | AL | DATABASE | 모든 전문 검색 카탈로그 변경 |
| FULLTEXT 카탈로그 | CONTROL | CL | DATABASE | CONTROL |
| FULLTEXT 카탈로그 | REFERENCES | RF | DATABASE | REFERENCES |
| FULLTEXT 카탈로그 | 소유권 | TO | DATABASE | CONTROL |
| FULLTEXT 카탈로그 | 정의 보기 | VW | DATABASE | 정의 보기 |
| 전체 텍스트 정지 목록 | ALTER | AL | DATABASE | 모든 전문 검색 카탈로그 변경 |
| 전체 텍스트 정지 목록 | CONTROL | CL | DATABASE | CONTROL |
| 전체 텍스트 정지 목록 | REFERENCES | RF | DATABASE | REFERENCES |
| 전체 텍스트 정지 목록 | 소유권 | TO | DATABASE | CONTROL |
| 전체 텍스트 정지 목록 | 정의 보기 | VW | DATABASE | 정의 보기 |
| LOGIN | ALTER | AL | SERVER | 모든 로그인을 수정하십시오 |
| LOGIN | CONTROL | CL | SERVER | 제어 서버 |
| LOGIN | IMPERSONATE | IM | SERVER | 제어 서버 |
| LOGIN | 정의 보기 | VW | SERVER | 모든 정의 보기 |
| 메시지 유형 | ALTER | AL | DATABASE | 아무 메시지 형식 변경 |
| 메시지 유형 | CONTROL | CL | DATABASE | CONTROL |
| 메시지 유형 | REFERENCES | RF | DATABASE | REFERENCES |
| 메시지 유형 | 소유권 | TO | DATABASE | CONTROL |
| 메시지 유형 | 정의 보기 | VW | DATABASE | 정의 보기 |
| OBJECT | ALTER | AL | SCHEMA | ALTER |
| OBJECT | CONTROL | CL | SCHEMA | CONTROL |
| OBJECT | DELETE | DL | SCHEMA | DELETE |
| OBJECT | EXECUTE | EX | SCHEMA | EXECUTE |
| OBJECT | INSERT | IN | SCHEMA | INSERT |
| OBJECT | RECEIVE | RC | SCHEMA | CONTROL |
| OBJECT | REFERENCES | RF | SCHEMA | REFERENCES |
| OBJECT | SELECT | SL | SCHEMA | SELECT |
| OBJECT | 소유권 | TO | SCHEMA | CONTROL |
| OBJECT | UNMASK | UMSK | SCHEMA | UNMASK |
| OBJECT | UPDATE | UP | SCHEMA | UPDATE |
| OBJECT | 변경 내용 추적 보기 | VWCT | SCHEMA | 변경 내용 추적 보기 |
| OBJECT | 정의 보기 | VW | SCHEMA | 정의 보기 |
| 원격 서비스 바인딩 | ALTER | AL | DATABASE | 모든 원격 서비스 바인딩 변경 |
| 원격 서비스 바인딩 | CONTROL | CL | DATABASE | CONTROL |
| 원격 서비스 바인딩 | 소유권 | TO | DATABASE | CONTROL |
| 원격 서비스 바인딩 | 정의 보기 | VW | DATABASE | 정의 보기 |
| ROLE | ALTER | AL | DATABASE | 모든 역할 변경 |
| ROLE | CONTROL | CL | DATABASE | CONTROL |
| ROLE | 소유권 | TO | DATABASE | CONTROL |
| ROLE | 정의 보기 | VW | DATABASE | 정의 보기 |
| ROUTE | ALTER | AL | DATABASE | 모든 경로 변경 |
| ROUTE | CONTROL | CL | DATABASE | CONTROL |
| ROUTE | 소유권 | TO | DATABASE | CONTROL |
| ROUTE | 정의 보기 | VW | DATABASE | 정의 보기 |
| SCHEMA | ALTER | AL | DATABASE | 스키마 변경 권한 부여 |
| SCHEMA | CONTROL | CL | DATABASE | CONTROL |
| SCHEMA | 시퀀스 생성 | CRSO | DATABASE | CONTROL |
| SCHEMA | DELETE | DL | DATABASE | DELETE |
| SCHEMA | EXECUTE | EX | DATABASE | EXECUTE |
| SCHEMA | INSERT | IN | DATABASE | INSERT |
| SCHEMA | REFERENCES | RF | DATABASE | REFERENCES |
| SCHEMA | SELECT | SL | DATABASE | SELECT |
| SCHEMA | 소유권 | TO | DATABASE | CONTROL |
| SCHEMA | UNMASK | UMSK | DATABASE | UNMASK |
| SCHEMA | UPDATE | UP | DATABASE | UPDATE |
| SCHEMA | 변경 내용 추적 보기 | VWCT | DATABASE | 변경 내용 추적 보기 |
| SCHEMA | 정의 보기 | VW | DATABASE | 정의 보기 |
| 부동산 검색 목록 | ALTER | AL | SERVER | 모든 전문 검색 카탈로그 변경 |
| 부동산 검색 목록 | CONTROL | CL | SERVER | CONTROL |
| 부동산 검색 목록 | REFERENCES | RF | SERVER | REFERENCES |
| 부동산 검색 목록 | 소유권 | TO | SERVER | CONTROL |
| 부동산 검색 목록 | 정의 보기 | VW | SERVER | 정의 보기 |
| SERVER | 대량 작업 관리 | ADBO | 해당 없음 | 해당 없음 |
| SERVER | 가용성 그룹 변경 권한 부여 | ALAG | 해당 없음 | 해당 없음 |
| SERVER | 모든 연결 변경 | ALCO | 해당 없음 | 해당 없음 |
| SERVER | 모든 자격 증명 변경 | ALCD | 해당 없음 | 해당 없음 |
| SERVER | 모든 데이터베이스 변경 | ALDB | 해당 없음 | 해당 없음 |
| SERVER | 모든 끝점을 변경 | ALHE | 해당 없음 | 해당 없음 |
| SERVER | 어떤 이벤트 알림이라도 변경 | ALES | 해당 없음 | 해당 없음 |
| SERVER | 어떤 이벤트 세션 변경 | AAES | 해당 없음 | 해당 없음 |
| SERVER | 모든 이벤트 세션 변경 추가 이벤트 | LSAE | 해당 없음 | 해당 없음 |
| SERVER | ALTER ANY 이벤트 세션 대상 추가 | LSAT | 해당 없음 | 해당 없음 |
| SERVER | ALTER ANY 이벤트 세션 사용 안 함 | DES | 해당 없음 | 해당 없음 |
| SERVER | ALTER ANY EVENT SESSION DROP EVENT (이벤트 세션 변경 삭제) | LSDE | 해당 없음 | 해당 없음 |
| SERVER | 모든 이벤트 세션 대상을 변경하거나 삭제하기 | LSDT | 해당 없음 | 해당 없음 |
| SERVER | 모든 이벤트 세션 사용 가능 변경 | EES | 해당 없음 | 해당 없음 |
| SERVER | 모든 이벤트 세션 옵션 변경 | LESO | 해당 없음 | 해당 없음 |
| SERVER | 모든 연결된 서버를 변경하기 | ALLS | 해당 없음 | 해당 없음 |
| SERVER | 모든 로그인을 수정하십시오 | ALLG | 해당 없음 | 해당 없음 |
| SERVER | 서버 감사 수정 권한 (ALTER ANY SERVER AUDIT) | ALAA | 해당 없음 | 해당 없음 |
| SERVER | 모든 서버 역할 수정 | ALSR | 해당 없음 | 해당 없음 |
| SERVER | ALTER RESOURCES | ALRS | 해당 없음 | 해당 없음 |
| SERVER | 서버 상태 변경 | ALSS | 해당 없음 | 해당 없음 |
| SERVER | 설정 변경 | ALST | 해당 없음 | 해당 없음 |
| SERVER | ALTER TRACE | ALTR | 해당 없음 | 해당 없음 |
| SERVER | 서버 인증 | AUTH | 해당 없음 | 해당 없음 |
| SERVER | 모든 데이터베이스 연결 | CADB | 해당 없음 | 해당 없음 |
| SERVER | SQL 연결 | COSQ | 해당 없음 | 해당 없음 |
| SERVER | 제어 서버 | CL | 해당 없음 | 해당 없음 |
| SERVER | 어떤 데이터베이스든 생성하기 | CRDB | 해당 없음 | 해당 없음 |
| SERVER | 가용성 그룹 생성 | CRAC | 해당 없음 | 해당 없음 |
| SERVER | CREATE DDL 이벤트 알림 | CRDE | 해당 없음 | 해당 없음 |
| SERVER | CREATE ENDPOINT (종점 생성) | CRHE | 해당 없음 | 해당 없음 |
| SERVER | 서버 역할 생성 | CRSR | 해당 없음 | 해당 없음 |
| SERVER | 추적 이벤트 알림 만들기 | CRTE | 해당 없음 | 해당 없음 |
| SERVER | 외부 액세스 어셈블리 | XA | 해당 없음 | 해당 없음 |
| SERVER | 모든 로그인을 사칭합니다. | IAL | 해당 없음 | 해당 없음 |
| SERVER | 모든 사용자 보안 가능한 항목 선택 | SUS | 해당 없음 | 해당 없음 |
| SERVER | SHUTDOWN | SHDN | 해당 없음 | 해당 없음 |
| SERVER | 안전하지 않은 어셈블리 | XU | 해당 없음 | 해당 없음 |
| SERVER | 모든 데이터베이스 보기 | VWDB | 해당 없음 | 해당 없음 |
| SERVER | 모든 정의 보기 | VWAD | 해당 없음 | 해당 없음 |
| SERVER | 서버 상태 보기 | VWSS | 해당 없음 | 해당 없음 |
| 서버 역할 | ALTER | AL | SERVER | 모든 서버 역할 수정 |
| 서버 역할 | CONTROL | CL | SERVER | 제어 서버 |
| 서버 역할 | 소유권 | TO | SERVER | 제어 서버 |
| 서버 역할 | 정의 보기 | VW | SERVER | 모든 정의 보기 |
| SERVICE | ALTER | AL | DATABASE | 모든 서비스를 변경 |
| SERVICE | CONTROL | CL | DATABASE | CONTROL |
| SERVICE | SEND | SN | DATABASE | CONTROL |
| SERVICE | 소유권 | TO | DATABASE | CONTROL |
| SERVICE | 정의 보기 | VW | DATABASE | 정의 보기 |
| 대칭 키 | ALTER | AL | DATABASE | 임의의 대칭 키 수정 |
| 대칭 키 | CONTROL | CL | DATABASE | CONTROL |
| 대칭 키 | REFERENCES | RF | DATABASE | REFERENCES |
| 대칭 키 | 소유권 | TO | DATABASE | CONTROL |
| 대칭 키 | 정의 보기 | VW | DATABASE | 정의 보기 |
| TYPE | CONTROL | CL | SCHEMA | CONTROL |
| TYPE | EXECUTE | EX | SCHEMA | EXECUTE |
| TYPE | REFERENCES | RF | SCHEMA | REFERENCES |
| TYPE | 소유권 | TO | SCHEMA | CONTROL |
| TYPE | 정의 보기 | VW | SCHEMA | 정의 보기 |
| USER | ALTER | AL | DATABASE | 모든 사용자 변경 |
| USER | CONTROL | CL | DATABASE | CONTROL |
| USER | IMPERSONATE | IM | DATABASE | CONTROL |
| USER | 정의 보기 | VW | DATABASE | 정의 보기 |
| XML 스키마 컬렉션 | ALTER | AL | SCHEMA | ALTER |
| XML 스키마 컬렉션 | CONTROL | CL | SCHEMA | CONTROL |
| XML 스키마 컬렉션 | EXECUTE | EX | SCHEMA | EXECUTE |
| XML 스키마 컬렉션 | REFERENCES | RF | SCHEMA | REFERENCES |
| XML 스키마 컬렉션 | 소유권 | TO | SCHEMA | CONTROL |
| XML 스키마 컬렉션 | 정의 보기 | VW | SCHEMA | 정의 보기 |
SQL Server 2022에 추가된 새로운 세분화된 권한
SQL Server 2022에 다음 권한이 추가됩니다.
시스템 메타데이터에 대한 액세스를 허용하기 위해 10개의 새 권한이 추가되었습니다.
확장 이벤트에 대한 18개의 새 권한이 추가되었습니다.
보안 관련 개체와 관련하여 9개의 새 권한이 추가되었습니다.
원장에 대해 4개의 권한이 추가되었습니다.
3개의 추가 데이터베이스 권한.
자세한 내용은 PoLP 준수를 개선하기 위한 SQL Server 2022 및 Azure SQL에 대한 새로운 세분화된 사용 권한을 참조하세요.
시스템 메타데이터 사용 권한에 대한 액세스
서버 수준:
- 모든 보안 정의 보기
- 모든 성능 정의 보기
- 서버 보안 상태 보기
- 서버 성능 상태 보기
- 암호화된 보안 정의 보기
데이터베이스 수준:
- 데이터베이스 보안 상태 보기
- 데이터베이스 성능 상태 보기
- 보안 정의 보기
- 성능 정의 보기
- 암호화된 보안 정의 보기
확장된 이벤트 세션
서버 수준:
- 모든 이벤트 세션 만들기
- 모든 이벤트 세션 삭제
- 모든 이벤트 세션 옵션 변경
- 모든 이벤트 세션 변경 추가 이벤트
- ALTER ANY EVENT SESSION DROP EVENT (이벤트 세션 변경 삭제)
- 모든 이벤트 세션 사용 가능 변경
- ALTER ANY 이벤트 세션 사용 안 함
- ALTER ANY 이벤트 세션 대상 추가
- 모든 이벤트 세션 대상을 변경하거나 삭제하기
이러한 모든 사용 권한은 동일한 부모 권한인 ALTER ANY EVENT SESSION에 있습니다.
데이터베이스 수준:
- 모든 데이터베이스 이벤트 세션 생성
- 모든 데이터베이스 이벤트 세션 삭제
- ALTER ANY DATABASE 이벤트 세션 옵션
- ALTER ANY DATABASE 이벤트 세션 추가 이벤트
- 어떤 데이터베이스 이벤트 세션 변경 삭제 이벤트
- ALTER ANY DATABASE 이벤트 세션 활성화
- ALTER ANY DATABASE 이벤트 세션 사용 안 함
- ALTER ANY DATABASE 이벤트 세션에 대상 추가
- 모든 데이터베이스 이벤트 세션 대상 변경 제거
이러한 모든 사용 권한은 동일한 부모 권한인 ALTER ANY DATABASE EVENT SESSION에 있습니다.
보안 관련 개체 사용 권한
- CONTROL(자격 증명)
- 로그인 생성
- 사용자 생성
- 참조(자격 증명)
- 마스크 해제(객체)
- UNMASK(스키마)
- 오류 로그 보기
- 서버 보안 감사 보기
- 데이터베이스 보안 감사 보기
원장 권한
- ALTER LEDGER
- LEDGER 구성 변경
- LEDGER 사용
- 원장 콘텐츠 보기
기타 데이터베이스 사용자 권한
- 외부 작업 변경 권한 부여
- 모든 외부 스트림 변경
- 모든 외부 엔드포인트 실행
사용 권한 검사 알고리즘 요약
사용 권한 검사는 복잡할 수 있습니다. 사용 권한 검사 알고리즘에는 명시적 및 암시적 사용 권한인 겹치는 그룹 구성원 및 소유권 체인이 포함되며 보안 개체를 포함하는 보안 개체 클래스에 대한 사용 권한의 영향을 받을 수 있습니다. 알고리즘의 일반적인 프로세스는 모든 관련 사용 권한을 수집하는 것입니다. 차단 DENY가 없으면 알고리즘은 충분한 액세스를 제공하는 GRANT를 검색합니다. 이 알고리즘에는 보안 컨텍스트, 사용 권한 공간, 필수 사용 권한이라는 세 가지 필수 요소가 포함되어 있습니다.
Note
sa, dbo, 엔터티 소유자, information_schema, sys, 또는 본인에게 권한을 부여, 거부 또는 취소할 수 없습니다.
보안 컨텍스트
이는 액세스 검사에 대한 권한을 제공하는 보안 주체 그룹입니다. 이것은 EXECUTE AS 문 사용으로 보안 컨텍스트가 다른 로그인 또는 사용자로 변경되지 않는 한 현재 로그인 또는 사용자와 관련된 사용 권한입니다. 보안 컨텍스트에는 다음 보안 주체가 포함됩니다.
로그인
사용자
역할 멤버십
Windows 그룹 구성원
모듈 서명을 사용하는 경우, 사용자가 현재 실행 중인 모듈에 서명하는 데 사용되는 인증서의 로그인 또는 사용자 계정과 해당 보안 주체의 연결된 역할 멤버 자격입니다.
사용 권한 공간
보안 개체 엔터티 및 보안 개체를 포함하는 모든 보안 개체 클래스입니다. 예를 들어 테이블(보안 개체 엔터티)은 스키마 보안 개체 클래스와 데이터베이스 보안 개체 클래스에 의해 포함됩니다. 액세스는 테이블 수준, 스키마 수준, 데이터베이스 수준 및 서버 수준 권한의 영향을 받을 수 있습니다. 자세한 내용은 사용 권한 계층 구조(데이터베이스 엔진)를 참조하세요.
필요한 권한
필요한 권한의 종류입니다. 예를 들어 INSERT, UPDATE, DELETE, SELECT, EXECUTE, ALTER, CONTROL 등이 있습니다.
다음 예에서와 같이 액세스에는 여러 사용 권한이 필요할 수 있습니다.
저장 프로시저에는 저장 프로시저에 대한 EXECUTE 권한과 저장 프로시저에서 참조하는 여러 테이블에 대한 INSERT 권한이 모두 필요할 수 있습니다.
동적 관리 뷰를 사용하려면 뷰에 대한 VIEW SERVER STATE 및 SELECT 사용 권한이 모두 필요할 수 있습니다.
알고리즘의 일반 단계
알고리즘이 보안 개체에 대한 액세스를 허용할지 여부를 결정할 때 사용하는 정확한 단계는 보안 주체 및 관련된 보안 개체에 따라 달라질 수 있습니다. 그러나 알고리즘은 다음과 같은 일반적인 단계를 수행합니다.
로그인이 sysadmin 고정 서버 역할의 멤버인 경우 또는 사용자가 현재 데이터베이스의 dbo 사용자인 경우 사용 권한 검사를 무시합니다.
소유권 체인을 적용할 수 있고 체인의 앞부분에 있는 개체에 대한 액세스 검사가 보안 검사 통과한 경우 액세스를 허용합니다.
호출자와 연결된 서버 수준, 데이터베이스 수준 및 서명된 모듈 ID를 집계하여 보안 컨텍스트를 만듭니다.
해당 보안 컨텍스트의 경우 사용 권한 공간에 대해 부여되거나 거부된 모든 권한을 수집합니다. 권한은 GRANT, GRANT WITH GRANT 또는 DENY로 명시적으로 지정하거나 권한은 암시적이거나 GRANT 또는 DENY 권한을 포함할 수 있습니다. 예를 들어 스키마에 대한 CONTROL 권한은 테이블에 대한 CONTROL을 내포합니다. 테이블의 CONTROL은 SELECT를 의미합니다. 따라서 스키마에 대한 CONTROL이 부여된 경우 테이블에 대한 SELECT가 부여됩니다. 테이블에서 CONTROL이 거부된 경우 테이블의 SELECT가 거부됩니다.
Note
열 수준 권한의 GRANT는 개체 수준에서 DENY를 재정의합니다. 자세한 내용은 DENY 개체 사용 권한을 참조하세요.
필요한 사용 권한을 식별합니다.
사용 권한 공간 의 개체에 대한 보안 컨텍스트 에서 모든 ID에 대해 필요한 사용 권한이 직접적으로 또는 암시적으로 거부되는 경우 사용 권한 검사가 실패합니다.
필요한 사용 권한이 거부되지 않았고 필요한 사용 권한에 사용 권한 공간의 모든 개체에 대한 보안 컨텍스트의 ID에 직접 또는 암시적으로 GRANT 또는 GRANT WITH GRANT 권한이 포함된 경우 사용 권한 검사를 통과합니다.
열 수준 권한에 대한 특별 고려 사항
<table_name>(<column _name>) 구문을 사용하여 열 수준 사용 권한을 부여합니다. 다음은 그 예입니다.
GRANT SELECT ON OBJECT::Customer(CustomerName) TO UserJoe;
테이블의 DENY는 열의 GRANT에 의해 재정의됩니다. 그러나 테이블의 후속 DENY는 GRANT 열을 제거합니다.
Examples
이 섹션의 예제에서는 사용 권한 정보를 검색하는 방법을 설명합니다.
A. 부여할 수 있는 권한의 전체 목록을 반환합니다.
다음 문은 fn_builtin_permissions 함수를 사용하여 모든 데이터베이스 엔진 권한을 반환합니다. 자세한 내용은 sys.fn_builtin_permissions 참조하세요.
SELECT * FROM fn_builtin_permissions(default);
GO
B. 특정 개체 클래스에 대한 사용 권한 반환
다음 예에서는 fn_builtin_permissions를 사용하여 보안 개체 범주에 사용할 수 있는 모든 권한을 확인합니다. 이 예에서는 어셈블리에 대한 사용 권한을 반환합니다.
SELECT * FROM fn_builtin_permissions('assembly');
GO
C. 개체의 실행 보안 주체에 부여된 사용 권한을 반환합니다.
다음 예는 fn_my_permissions를 사용하여 호출하는 보안 주체가 지정된 보안 토큰에 대해 보유한 유효 권한 목록을 반환합니다. 이 예에서는 Orders55라는 개체에 대한 사용 권한을 반환합니다. 자세한 내용은 sys.fn_my_permissions 참조하세요.
SELECT * FROM fn_my_permissions('Orders55', 'object');
GO
D. 지정된 개체에 적용할 수 있는 사용 권한을 반환합니다.
다음 예에서는 Yttrium라는 개체에 적용되는 권한을 반환합니다. 기본 제공 함수 OBJECT_ID는 개체 Yttrium의 ID를 검색하는 데 사용됩니다.
SELECT * FROM sys.database_permissions
WHERE major_id = OBJECT_ID('Yttrium');
GO