次の方法で共有

DENY (データベースの権限の拒否) (Transact-SQL)

適用対象:SQL ServerAzure SQL DatabaseAzure SQL Managed InstanceAzure Synapse AnalyticsAnalytics Platform System (PDW)Microsoft Fabric の SQL 分析エンドポイントMicrosoft Fabric のウェアハウスMicrosoft Fabric プレビューの SQL データベース

SQL Server のデータベースに対する権限を拒否します。

Transact-SQL 構文表記規則

Syntax

DENY <permission> [ ,...n ]
    TO <database_principal> [ ,...n ] [ CASCADE ]
    [ AS <database_principal> ]

<permission> ::=
    permission | ALL [ PRIVILEGES ]

<database_principal> ::=
    Database_user
  | Database_role
  | Application_role
  | Database_user_mapped_to_Windows_User
  | Database_user_mapped_to_Windows_Group
  | Database_user_mapped_to_certificate
  | Database_user_mapped_to_asymmetric_key
  | Database_user_with_no_login

Arguments

permission: データベースで取り消すことができる権限を指定します。 権限の一覧については、後の「解説」を参照してください。

ALL: このオプションに設定しても、可能な権限がすべて拒否されるわけではありません。 ALL を指定した場合は、次の権限を拒否することになります:BACKUP DATABASE、BACKUP LOG、CREATE DATABASE、CREATE DEFAULT、CREATE FUNCTION、CREATE PROCEDURE、CREATE RULE、CREATE TABLE、CREATE VIEW。

PRIVILEGES: ISO 準拠のために用意されています。 ALL の動作は変更されません。

CASCADE: 指定したプリンシパルが権限を許可したプリンシパルに対しても、権限を拒否することを示します。

AS <database_principal> このクエリを実行するプリンシパルが権限を拒否する権利の派生元のプリンシパルを指定します。

Database_user: データベース ユーザーを指定します。

Database_role: データベース ロールを指定します。

Application_role適用対象: SQL Server 2008 (10.0.x) 以降、SQL Database。

アプリケーション ロールを指定します。

Database_user_mapped_to_Windows_User: Windows ユーザーにマップされているデータベース ユーザーを指定します。

Database_user_mapped_to_Windows_Group: Windows グループにマップされているデータベース ユーザーを指定します。

Database_user_mapped_to_certificate: 証明書にマップされているデータベース ユーザーを指定します。

Database_user_mapped_to_asymmetric_key: 非対称キーにマップされているデータベース ユーザーを指定します。

Database_user_with_no_login: 対応するサーバー レベルのプリンシパルがないデータベース ユーザーを指定します。

Remarks

データベースは、セキュリティ保護可能なリソースで、権限の階層で親となっているサーバーに含まれています。 次の表に、データベースで拒否できる権限のうち最も限定的なものを、それらを暗黙的に含む一般的な権限と共に示します。

Database permission 権限が含まれるデータベース権限 権限が含まれるサーバー権限
データベースの一括処理の管理
適用対象: SQL Database。		 CONTROL CONTROL SERVER
ALTER CONTROL 任意のデータベースを変更する
任意のアプリケーション ロールを変更する ALTER CONTROL SERVER
任意のアセンブリを変更 ALTER CONTROL SERVER
非対称キーを変更する ALTER CONTROL SERVER
任意の証明書を変更する ALTER CONTROL SERVER
任意の列の暗号化キーを変更します。 ALTER CONTROL SERVER
ALTER ANY COLUMN MASTER KEY DEFINITION ALTER CONTROL SERVER
任意の契約を変更する ALTER CONTROL SERVER
任意のデータベース監査の変更 ALTER サーバー監査の変更許可
ALTER ANY DATABASE DDL TRIGGER ALTER CONTROL SERVER
任意のデータベースイベント通知を変更する ALTER 任意のイベント通知を変更する
ALTER ANY DATABASE イベント セッション
適用対象: Azure SQL データベース		 ALTER 任意のイベントセッションを変更する
いずれのデータベース スコープ設定も変更する
適用対象: SQL Server 2016 (13.x) 以降、SQL Database。		 CONTROL CONTROL SERVER
任意のデータスペースを変更する ALTER CONTROL SERVER
すべての外部データ ソースを変更します。 ALTER CONTROL SERVER
任意の外部のファイル形式を変更します。 ALTER CONTROL SERVER
ALTER ANY EXTERNAL LIBRARY
適用対象: SQL Server 2017 (14.x)		 CONTROL CONTROL SERVER
任意のフルテキストカタログを変更 ALTER CONTROL SERVER
任意のマスクを変更します。 CONTROL CONTROL SERVER
任意のメッセージ型を変更する ALTER CONTROL SERVER
任意のリモートサービスバインディングを変更する ALTER CONTROL SERVER
あらゆるロールを変更する ALTER CONTROL SERVER
任意のルートを変更 ALTER CONTROL SERVER
すべてのセキュリティ ポリシーを変更します。
適用対象: SQL Server 2016 (13.x) 以降、Azure SQL データベース。		 CONTROL CONTROL SERVER
任意のスキーマを変更する ALTER CONTROL SERVER
任意のサービスを変更する ALTER CONTROL SERVER
対称鍵の変更可能 ALTER CONTROL SERVER
任意のユーザーを変更する ALTER CONTROL SERVER
AUTHENTICATE CONTROL AUTHENTICATE SERVER
BACKUP DATABASE CONTROL CONTROL SERVER
BACKUP LOG CONTROL CONTROL SERVER
CHECKPOINT CONTROL CONTROL SERVER
CONNECT CONNECT REPLICATION CONTROL SERVER
CONNECT REPLICATION CONTROL CONTROL SERVER
CONTROL CONTROL CONTROL SERVER
CREATE AGGREGATE ALTER CONTROL SERVER
CREATE ASSEMBLY 任意のアセンブリを変更 CONTROL SERVER
非対称キーを作成する 非対称キーを変更する CONTROL SERVER
CREATE CERTIFICATE 任意の証明書を変更する CONTROL SERVER
CREATE CONTRACT 任意の契約を変更する CONTROL SERVER
CREATE DATABASE CONTROL 任意のデータベースを作成する
データベースDDLイベント通知の作成 任意のデータベースイベント通知を変更する CREATE DDL イベント通知
CREATE DEFAULT ALTER CONTROL SERVER
フルテキスト カタログの作成 任意のフルテキストカタログを変更 CONTROL SERVER
CREATE FUNCTION ALTER CONTROL SERVER
メッセージの種類を作成する 任意のメッセージ型を変更する CONTROL SERVER
CREATE PROCEDURE ALTER CONTROL SERVER
CREATE QUEUE ALTER CONTROL SERVER
リモート サービス バインディングを作成する 任意のリモートサービスバインディングを変更する CONTROL SERVER
CREATE ROLE あらゆるロールを変更する CONTROL SERVER
CREATE ROUTE 任意のルートを変更 CONTROL SERVER
CREATE RULE ALTER CONTROL SERVER
CREATE SCHEMA 任意のスキーマを変更する CONTROL SERVER
CREATE SERVICE 任意のサービスを変更する CONTROL SERVER
対称キーの作成 対称鍵の変更可能 CONTROL SERVER
CREATE SYNONYM ALTER CONTROL SERVER
CREATE TABLE ALTER CONTROL SERVER
CREATE TYPE ALTER CONTROL SERVER
CREATE VIEW ALTER CONTROL SERVER
XML スキーマ コレクションの作成 ALTER CONTROL SERVER
DELETE CONTROL CONTROL SERVER
EXECUTE CONTROL CONTROL SERVER
EXECUTE ANY EXTERNAL SCRIPT
適用対象: SQL Server 2016 (13.x)		 CONTROL CONTROL SERVER
INSERT CONTROL CONTROL SERVER
データベース接続の終了
適用対象: Azure SQL データベース		 CONTROL 任意の接続を変更する
REFERENCES CONTROL CONTROL SERVER
SELECT CONTROL CONTROL SERVER
SHOWPLAN CONTROL ALTER TRACE
クエリ通知をサブスクライブする CONTROL CONTROL SERVER
TAKE OWNERSHIP CONTROL CONTROL SERVER
UNMASK CONTROL CONTROL SERVER
UPDATE CONTROL CONTROL SERVER
列暗号化キーを表示する CONTROL 任意の定義を表示
マスター キー定義を表示する CONTROL 任意の定義を表示
データベースの状態の表示 CONTROL サーバー状態を表示
VIEW DEFINITION CONTROL 任意の定義を表示

Permissions

このステートメントを実行するプリンシパル (または AS オプションで指定したプリンシパル) には、データベースに対する CONTROL 権限、またはデータベースに対する CONTROL 権限を暗黙的に許可する上位レベルの権限が与えられている必要があります。

AS オプションを使用する場合、指定するプリンシパルはデータベースを所有している必要があります。

Examples

A. 証明書を作成する権限を拒否する

次の例では、CREATE CERTIFICATE データベースでの AdventureWorks2022 権限を、ユーザー MelanieK に対して拒否します。

USE AdventureWorks2022;
DENY CREATE CERTIFICATE TO MelanieK;
GO

B. アプリケーション ロールに対して REFERENCES 権限を拒否する

次の例では、REFERENCES データベースでの AdventureWorks2022 権限を、アプリケーション ロール AuditMonitor に対して拒否します。

適用対象: SQL Server 2008 (10.0.x) 以降、SQL Database。

USE AdventureWorks2022;
DENY REFERENCES TO AuditMonitor;
GO

C. CASCADE を指定して VIEW DEFINITION を拒否する

次の例では、VIEW DEFINITION データベースでの AdventureWorks2022 権限を、ユーザー CarmineEs と、CarmineEsVIEW DEFINITION 権限を許可したすべてのプリンシパルに対して拒否します。

USE AdventureWorks2022;
DENY VIEW DEFINITION TO CarmineEs CASCADE;
GO

See Also