SQL Server パフォーマンスチューニング、コンサルティング、アドバイス、相談、定期診断、トレーニング

ホーム＞技術情報＞ SQL Server 2012 自習書セキュリティ

SQL Server 2012 自習書「No.18 セキュリティ」（HTML 版）

松本美穂と松本崇博が執筆した完全オリジナル SQL Server 2012 自習書シリーズの「No.18 セキュリティ」の HTML 版です。日本マイクロソフトさんの Web サイトで Word または PDF 形式でダウンロードできますが、今回、HTML 版として公開する許可をいただきましたので、ここに掲載いたします。[2013年12月29日]

目次へ | 前のページへ | 次のページへ

3.8　オブジェクト権限の状態（GRANT／DENY／REVOKE）

◆ オブジェクト権限の状態

オブジェクト権限の設定時は、「許可」（GRANT）と「拒否」（DENY）、「取り消し」（REVOKE）の 3種類の状態があります。

00093

許可がチェックされている場合は「許可」（GRANT）、拒否がチェックされている場合は「拒否」（DENY）、どちらもチェックされていない場合は「取り消し」（REVOKE）状態です。それぞれの違いは、後ほど試します。

◆ ロールへ権限が与えられている場合の動作

前述したように public ロールは、すべてのデータベースユーザーが含まれる特殊なデータベースロールです。したがって、public ロールに対して、オブジェクト権限が許可（GRANT）されている場合は、すべてのデータベースユーザーが許可されることになります。

たとえば、次のように public ロールへ選択（SELECT）権限が許可（GRANT）され、sqlUser01 ユーザーには取り消し（REVOKE）が設定されている場合があるとします。

00094

この場合は、sqlUser01 ユーザーは、選択権限を許可された状態と同じになります。

◆ 拒否が優先

許可（GRANT）と拒否（DENY）の両方が設定されている場合は、拒否が優先されます。たとえば、次のように public ロールへ選択（SELECT）権限が許可（GRANT）され、sqlUser01 ユーザーには拒否（DENY）が設定されている場合があるとします。

00095

この場合は、拒否が優先されて、sqlUser01 ユーザーは、選択権限が拒否された状態になります。

◆ Let's Try

それでは、オブジェクト権限を試してみましょう。

1．まずは、「社員」テーブルを右クリックして［プロパティ］をクリックし、［テーブルのプロパティ］ダイアログの［権限］ページを開きます。

00096

現在は、sqlUser01 ユーザーに対して、「選択」権限が「許可」（GRANT）されていることを確認できます（Step 2 で設定しました）。

2．続いて、public ロールに対して、オブジェクト権限を設定するために、次のように［ユーザーまたはロール］の［検索］ボタンをクリックします。

00097

3．［ユーザーまたはロールの選択］ダイアログが表示されたら、［参照］ボタンをクリックします。

00098

［オブジェクトの参照］ダイアログでは、「public」ロールをチェックして、［OK］ボタンをクリックします。

［ユーザーまたはロールの選択］ダイアログへ戻ったら、［OK］ボタンをクリックしてダイアログを閉じます。

4．［テーブルのプロパティ］ダイアログへ戻ったら、public ロールを選択した状態で、「更新」と「挿入」の「許可」をそれぞれチェックします。

00099

5．続いて、sqlUser01 ユーザーへ権限を設定するために、「sqlUser01」ユーザーを選択して、「選択」の「許可」がチェックされていることを確認し、「更新」の「拒否」をチェックします。

00100

設定後、［OK］ボタンをクリックしてダイアログを閉じます。

設定した権限をまとめると、次のようになります。

00101

◆ sqlUser01 でのログイン

次に、sqlUser01 ログインアカウントでログインして、オブジェクト権限の設定を確認してみましょう。

1．まずは、ツールバーの［データベースエンジンクエリ］ボタンをクリックします。

00102

［データベースエンジンへの接続］ダイアログでは、［認証］で「SQL Server 認証」を選択して、［ログイン］へ「sqlUser01」、［パスワード］へ「P@ssword」と入力し、［接続］ボタンをクリックします。

2．クエリエディターが表示されたら、「sampleDB」データベースへ接続して、「社員」テーブルを参照する SELECT ステートメントを実行してみましょう。

USE sampleDB
SELECT * FROM 社員
WHERE 社員番号 = 2

00103

この操作は成功し、sqlUser01 ユーザーが、社員テーブルに対して「選択」権限を持っていることを確認できます。

3．次に、INSERT ステートメントを実行して、データを追加してみましょう。

INSERT INTO 社員
VALUES (7, '山田花江', 700000, '1985/04/01')

00104

この操作も成功し、sqlUser01 ユーザーが、社員テーブルに対して「挿入」権限を持っていることを確認できます。sqlUser01 ユーザーには、直接、挿入権限は許可されていませんが、public ロールに対しては挿入権限が許可されているためです。

4．次に、UPDATE ステートメントを実行してみましょう。

UPDATE 社員
SET 給与 = 400000
WHERE 社員番号 = 3

00105

この操作は失敗し、sqlUser01 ユーザーは、「更新」権限が拒否されていることを確認できます。オブジェクト権限は、次のように設定していました。

00106

public ロールに対しては、更新権限を「許可」していますが、sqlUser01 ユーザーに対しては「拒否」しています。「拒否」は、「許可」よりも優先されるので、sqlUser01 ユーザーは、UPDATE ステートメントに失敗しています。

Note： publicロールで拒否を設定した場合は、すべてのユーザーが拒否される
public ロールに対して権限を拒否した場合は、すべてのデータベースユーザーが拒否されることに注意する必要があります。これは次のような状況です。
00107

public ロールに対しては、選択権限を「拒否」して、sqlUser01 ユーザーに対しては「許可」していますが、この場合、sqlUser01 ユーザーは SELECT ステートメントを実行することができません（拒否が優先されます）。また、その他のすべてのユーザーも SELECT ステートメントを実行することができなくなります。public ロールに対して権限を設定する場合は、すべてのユーザーへ影響があることに注意するようにしてください。
なお、管理者アカウント（sysdamin ロールのメンバーや dbo ユーザー）の場合は例外で、public ロールに対して「拒否」が設定されていても、関係なくオブジェクトを参照することができます。管理者アカウントは、オブジェクト権限に関しても、まったく関係なくすべてのオブジェクトを操作することが可能です。

目次へ | 前のページへ | 次のページへ