SQL Server のことなら SQL Quality SQL Server パフォーマンス チューニング、コンサルティング、アドバイス、相談、定期診断、トレーニング

ホーム > 技術情報 > SQL Server 2012 自習書 セキュリティ

SQL Server 2012 自習書 「No.18 セキュリティ」(HTML 版)

松本美穂と松本崇博が執筆した完全オリジナル SQL Server 2012 自習書シリーズの「No.18 セキュリティ」の HTML 版です。 日本マイクロソフトさんの Web サイトで Word または PDF 形式でダウンロードできますが、今回、HTML 版として公開する許可をいただきましたので、ここに掲載いたします。[2013年12月29日]

目次へ | 前のページへ | 次のページへ

3.8 オブジェクト権限の状態(GRANT/DENY/REVOKE)

◆ オブジェクト権限の状態

オブジェクト権限の設定時は、「許可」(GRANT)と「拒否」(DENY)、「取り消し」(REVOKE)の 3種類の状態があります。

00093

許可がチェックされている場合は「許可」(GRANT)、拒否がチェックされている場合は「拒否」(DENY)、どちらもチェックされていない場合は「取り消し」(REVOKE)状態です。それぞれの違いは、後ほど試します。

◆ ロールへ権限が与えられている場合の動作

前述したように public ロールは、すべてのデータベース ユーザーが含まれる特殊なデータベース ロールです。したがって、public ロールに対して、オブジェクト権限が許可(GRANT)されている場合は、すべてのデータベース ユーザーが許可されることになります。

たとえば、次のように public ロールへ選択(SELECT)権限が許可(GRANT)され、sqlUser01 ユーザーには取り消し(REVOKE)が設定されている場合があるとします。

00094

この場合は、sqlUser01 ユーザーは、選択権限を許可された状態と同じになります。

◆ 拒否が優先

許可(GRANT)と拒否(DENY)の両方が設定されている場合は、拒否が優先されます。たとえば、次のように public ロールへ選択(SELECT)権限が許可(GRANT)され、sqlUser01 ユーザーには拒否(DENY)が設定されている場合があるとします。

00095

この場合は、拒否が優先されて、sqlUser01 ユーザーは、選択権限が拒否された状態になります。

◆ Let's Try

それでは、オブジェクト権限を試してみましょう。

1.まずは、「社員」テーブルを右クリックして[プロパティ]をクリックし、[テーブルのプロパティ]ダイアログの[権限]ページを開きます。

00096

現在は、sqlUser01 ユーザーに対して、「選択」権限が「許可」(GRANT)されていることを確認できます(Step 2 で設定しました)。

2.続いて、public ロールに対して、オブジェクト権限を設定するために、次のように[ユーザーまたはロール]の[検索]ボタンをクリックします。

00097

3.ユーザーまたはロールの選択]ダイアログが表示されたら、[参照]ボタンをクリックします。

00098

オブジェクトの参照]ダイアログでは、「public」ロールをチェックして、[OK]ボタンをクリックします。

ユーザーまたはロールの選択]ダイアログへ戻ったら、[OK]ボタンをクリックしてダイアログを閉じます。

4.テーブルのプロパティ]ダイアログへ戻ったら、public ロールを選択した状態で、「更新」と「挿入」の「許可」をそれぞれチェックします。

00099

5.続いて、sqlUser01 ユーザーへ権限を設定するために、「sqlUser01」ユーザーを選択して、「選択」の「許可」がチェックされていることを確認し、「更新」の「拒否」をチェックします。

00100

設定後、[OK]ボタンをクリックしてダイアログを閉じます。

設定した権限をまとめると、次のようになります。

00101

◆ sqlUser01 でのログイン

次に、sqlUser01 ログイン アカウントでログインして、オブジェクト権限の設定を確認してみましょう。

1.まずは、ツールバーの[データベース エンジン クエリ]ボタンをクリックします。

00102

データベース エンジンへの接続]ダイアログでは、[認証]で「SQL Server 認証」を選択して、[ログイン]へ「sqlUser01」、[パスワード]へ「P@ssword」と入力し、[接続]ボタンをクリックします。

2.クエリ エディターが表示されたら、「sampleDB」データベースへ接続して、「社員」テーブルを参照する SELECT ステートメントを実行してみましょう。

USE sampleDB
SELECT FROM 社員
 WHERE 社員番号 2

00103

この操作は成功し、sqlUser01 ユーザーが、社員テーブルに対して「選択」権限を持っていることを確認できます。

3.次に、INSERT ステートメントを実行して、データを追加してみましょう。

INSERT INTO 社員
 VALUES (7'山田 花江', 700000'1985/04/01')

00104

この操作も成功し、sqlUser01 ユーザーが、社員テーブルに対して「挿入」権限を持っていることを確認できます。sqlUser01 ユーザーには、直接、挿入権限は許可されていませんが、public ロールに対しては挿入権限が許可されているためです。

4.次に、UPDATE ステートメントを実行してみましょう。

UPDATE 社員
 SET 給与 400000
  WHERE 社員番号 3

00105

この操作は失敗し、sqlUser01 ユーザーは、「更新」権限が拒否されていることを確認できます。オブジェクト権限は、次のように設定していました。

00106

public ロールに対しては、更新権限を「許可」していますが、sqlUser01 ユーザーに対しては「拒否しています。「拒否」は、「許可」よりも優先されるので、sqlUser01 ユーザーは、UPDATE ステートメントに失敗しています。

Note: publicロールで拒否を設定した場合は、すべてのユーザーが拒否される
public ロールに対して権限を拒否した場合は、すべてのデータベース ユーザーが拒否されることに注意する必要があります。これは次のような状況です。
00107
public ロールに対しては、選択権限を「拒否」して、sqlUser01 ユーザーに対しては「許可」していますが、この場合、sqlUser01 ユーザーは SELECT ステートメントを実行することができません(拒否が優先されます)。また、その他のすべてのユーザーも SELECT ステートメントを実行することができなくなります。public ロールに対して権限を設定する場合は、すべてのユーザーへ影響があることに注意するようにしてください。
なお、管理者アカウント(sysdamin ロールのメンバーや dbo ユーザー)の場合は例外で、public ロールに対して「拒否」が設定されていても、関係なくオブジェクトを参照することができます。管理者アカウントは、オブジェクト権限に関しても、まったく関係なくすべてのオブジェクトを操作することが可能です。

目次へ | 前のページへ | 次のページへ

事例1

SQLQualityは執筆とセミナーを通じて技術の啓蒙やエンジニアの育成支援も行っています
最新刊
SQL Server 2016 の教科書
SQL Server 2016 の教科書(ソシム)

弊社オリジナル制作の
SQL Server 2016 自習書も
マイクロソフトのサイトで公開中!
ダウンロードはこちら
セミナー風景
セミナー風景

ロングセラー
ASP.NET でいってみよう  SQL Server 2000 でいってみよう
ASP.NET でいってみよう
第7刷 16,500 部発行
SQL Server 2000 でいってみよう
第12刷 28,500 部発行
SQL Server 2014 CTP2 インメモリ OLTP 機能の概要
SQL Server 2014 CTP2 インメモリ OLTP 機能の概要(Amazon Kindle 書籍)

弊社執筆の
SQL Server 2014 自習書
マイクロソフトのサイトで公開中
目次はこちら

弊社執筆の
SQL Server 2012 自習書
マイクロソフトのサイトで公開中
ダウンロードはこちら
松本美穂のコラム
(公開活動などのお知らせ)

第60回:SQL Server 2017 自習書 No.3「SQL Server 2017 Machine Learning Services」のご案内
第59回:SQL Server 2017 自習書 No.2「SQL Server 2017 on Linux」のご案内
第58回:SQL Server 2017 自習書 No.1「SQL Server 2017 新機能の概要」のご案内
第57回:SQL Server 2017 RC 版とこれまでのドキュメントのまとめ
第56回:「SQL Server 2016 への移行とアップグレードの実践」完成&公開!
第55回:書籍「SQL Server 2016の教科書 開発編」(ソシム)が発刊されました
第54回:「SQL Server 2016 プレビュー版 Reporting Services の新機能」自習書のお知らせ
第 53 回:SQL Server 2016 Reporting Services の新しくなったレポート マネージャーとモバイル レポート機能
第 52 回:SQL Server 2016 の自習書を作成しました!
第 51 回:PASS Summit と MVP Summit で進化を確信!
第 50 回:新しくなった Power BI(2.0)の自習書を作成しました!
第49 回:Excel 2016 の Power Query を使う
第 48 回:新しくなった Microsoft Power BI ! 無料版がある!!
第 47 回:「Microsoft Azure SQL Database 入門」 完成&公開!
第 46 回:Microsoft Power BI for Windows app からの Power BI サイト アクセス
第 45 回:Power Query で取得したデータを PowerPivot へ読み込む方法と PowerPivot for Excel 自習書のご紹介
第44回:「SQL Server 2014 への移行とアップグレードの実践」ドキュメントを作成しました
第43回:SQL Server 2014 インメモリ OLTP 機能の上級者向けドキュメントを作成しました
第42回:Power Query プレビュー版 と Power BI for Office 365 へのクエリ保存(共有クエリ)
第41回:「SQL Server 2014 CTP2 インメモリ OLTP 機能の概要」自習書のお知らせです
第40回: SQL Server 2012 自習書(HTML版)を掲載しました
第39回: Power BI for Office 365 プレビュー版は試されましたか?
第38回: SQL Server 2014 CTP2 の公開
第37回: SQL Server 2014 CTP1 の自習書をご覧ください
第36回: SQL Server 2014 CTP1 のクラスター化列ストア インデックスを試す
第35回: SQL Server 2014 CTP1 のインメモリ OLTP の基本操作を試す
第34回: GeoFlow for Excel 2013 のプレビュー版を試す
第33回: iPad と iPhone からの SQL Server 2012 Reporting Servicesのレポート閲覧
第32回: PASS Summit 2012 参加レポート
第31回: SQL Server 2012 Reporting Services 自習書のお知らせ
第30回: SQL Server 2012(RTM 版)の新機能 自習書をご覧ください
第29回: 書籍「SQL Server 2012の教科書 開発編」のお知らせ
第26回: SQL Server 2012 の Power View 機能のご紹介
第25回: SQL Server 2012 の Data Quality Services
第24回: SQL Server 2012 自習書のご案内と初セミナー報告
第23回: Denali CTP1 が公開されました
第22回 チューニングに王道あらず
第21回 Microsoft TechEd 2010 終了しました
第20回 Microsoft TechEd Japan 2010 今年も登壇します
第19回 SQL Server 2008 R2 RTM の 日本語版が公開されました
第18回 「SQL Azure 入門」自習書のご案内
第17回 SQL Server 2008 自習書の追加ドキュメントのお知らせ
第16回 SQL Server 2008 R2 自習書とプレビュー セミナーのお知らせ
第15回 SQL Server 2008 R2 Reporting Services と新刊のお知らせ
第14回 TechEd 2009 のご報告と SQL Server 2008 R2 について
第13回 SQL Server 2008 R2 の CTP 版が公開されました
第12回 MVP Summit 2009 in Seattle へ参加

技術コミュニティでも活動中