Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S’applique à :
SQL ServerAzure SQL DatabaseAzure SQL Managed InstanceAzure Synapse AnalyticsAnalytics Platform System (PDW)Point de terminaison d’analytique SQL dans Microsoft FabricEntrepôt dans Microsoft FabricBase de données SQL dans Microsoft Fabric
Permet d’accorder des autorisations sur une base de données dans SQL Server.
Conventions de la syntaxe Transact-SQL
Syntax
GRANT <permission> [ ,...n ]
TO <database_principal> [ ,...n ] [ WITH GRANT OPTION ]
[ AS <database_principal> ]
<permission>::=
permission | ALL [ PRIVILEGES ]
<database_principal> ::=
Database_user
| Database_role
| Application_role
| Database_user_mapped_to_Windows_User
| Database_user_mapped_to_Windows_Group
| Database_user_mapped_to_certificate
| Database_user_mapped_to_asymmetric_key
| Database_user_with_no_login
Arguments
permission Spécifie une autorisation qui peut être accordée sur une base de données. Pour obtenir la liste des autorisations, consultez la section Notes plus loin dans cette rubrique.
ALL Cette option n’accorde pas toutes les autorisations possibles. Accorder TOUS équivaut à accorder les autorisations suivantes : BACKUP, LOG, CREATE DEFAULT, CREATE FUNCTION, CREATE PROCEDURE, CREATE RULE, CREATE TABLE, et CREATE VIEW. BACKUPDATABASE
PRIVILEGES Inclus pour la conformité aux normes ANSI-92. Ne change pas le comportement de l'option ALL.
AVEC GRANT OPTION Indique que le mandant aura également la possibilité d’accorder l’autorisation spécifiée à d’autres mandataires.
AS <database_principal> Spécifie un principal dont le principal qui exécute cette requête dérive son droit d’octroyer l’autorisation.
Database_user Spécifie un utilisateur de base de données.
Database_role Spécifie un rôle de base de données.
Application_roleS’applique à : SQL Server 2008 (10.0.x) et versions ultérieures, Azure SQL Database
Spécifie un rôle d'application.
Database_user_mapped_to_Windows_UserS’applique à : SQL Server 2008 (10.0.x) et versions ultérieures
Spécifie un utilisateur de base de données mappé sur un utilisateur Windows.
Database_user_mapped_to_Windows_GroupS’applique à : SQL Server 2008 (10.0.x) et versions ultérieures
Spécifie un utilisateur de base de données mappé à un groupe Windows.
Database_user_mapped_to_certificateS’applique à : SQL Server 2008 (10.0.x) et versions ultérieures
Spécifie un utilisateur de base de données mappé sur un certificat.
Database_user_mapped_to_asymmetric_keyS’applique à : SQL Server 2008 (10.0.x) et versions ultérieures
Spécifie un utilisateur de base de données mappé à une clé asymétrique.
Database_user_with_no_login Spécifie un utilisateur de base de données sans principal au niveau du serveur correspondant.
Remarks
Important
Dans certains cas, une combinaison d'autorisations ALTER et REFERENCE pourrait autoriser le bénéficiaire des autorisations à afficher des données ou à exécuter des fonctions non autorisées. Par exemple : un utilisateur avec une autorisation ALTER sur une table et une autorisation REFERENCE sur une fonction peut créer une colonne calculée sur une fonction et l’exécuter. Dans ce cas, l'utilisateur doit également disposer d'une autorisation SELECT sur la colonne calculée.
Une base de données est un élément sécurisable contenu par le serveur qui est son parent dans la hiérarchie des autorisations. Les autorisations les plus spécifiques et limitées qu'il est possible d'accorder sur une base de données sont répertoriées dans le tableau ci-dessous, avec les autorisations plus générales qui les incluent de manière implicite.
| Autorisation de base de données | Impliquée par une autorisation de base de données | Déduite d'une autorisation de serveur |
|---|---|---|
| ADMINISTRATION DATABASE DES OPÉRATIONS EN VRAC S’applique à : SQL Database. |
CONTROL | SERVEUR DE CONTRÔLE |
| ALTER | CONTROL | MODIFIER TOUT DATABASE |
| MODIFIER TOUT APPLICATION ROLE | ALTER | SERVEUR DE CONTRÔLE |
| MODIFIER TOUT ASSEMBLY | ALTER | SERVEUR DE CONTRÔLE |
| MODIFIER TOUT ASYMMETRIC KEY | ALTER | SERVEUR DE CONTRÔLE |
| MODIFIER TOUT CERTIFICATE | ALTER | SERVEUR DE CONTRÔLE |
| MODIFIER TOUT COLUMN ENCRYPTION KEY | ALTER | SERVEUR DE CONTRÔLE |
| MODIFIER TOUTE COLUMN MASTER KEY DÉFINITION | ALTER | SERVEUR DE CONTRÔLE |
| MODIFIER TOUT CONTRACT | ALTER | SERVEUR DE CONTRÔLE |
| MODIFIER TOUT DATABASE AUDIT | ALTER | MODIFIER TOUT SERVER AUDIT |
| MODIFIER N’IMPORTE QUEL DATABASE DDL TRIGGER | ALTER | SERVEUR DE CONTRÔLE |
| MODIFIER TOUT DATABASEEVENT NOTIFICATION | ALTER | MODIFIER TOUT EVENT NOTIFICATION |
| MODIFIER TOUT DATABASEEVENT SESSION S’applique à : SQL Database. |
ALTER | MODIFIER TOUT EVENT SESSION |
| MODIFIER TOUT DATABASE SCOPED CONFIGURATION S’applique à : SQL Server 2016 (13.x) et versions ultérieures, SQL Database. |
CONTROL | SERVEUR DE CONTRÔLE |
| MODIFIER TOUT ESPACE DE DONNÉES | ALTER | SERVEUR DE CONTRÔLE |
| MODIFIER TOUT EXTERNAL DATA SOURCE | ALTER | SERVEUR DE CONTRÔLE |
| MODIFIER TOUT EXTERNAL FILE FORMAT | ALTER | SERVEUR DE CONTRÔLE |
| MODIFIER TOUT EXTERNAL LIBRARY S'applique à: SQL Server 2017 (14.x). |
CONTROL | SERVEUR DE CONTRÔLE |
| MODIFIER TOUT FULLTEXT CATALOG | ALTER | SERVEUR DE CONTRÔLE |
| MODIFIER TOUT MASQUE | CONTROL | SERVEUR DE CONTRÔLE |
| MODIFIER TOUT MESSAGE TYPE | ALTER | SERVEUR DE CONTRÔLE |
| MODIFIER TOUT REMOTE SERVICE BINDING | ALTER | SERVEUR DE CONTRÔLE |
| MODIFIER TOUT ROLE | ALTER | SERVEUR DE CONTRÔLE |
| MODIFIER TOUT ROUTE | ALTER | SERVEUR DE CONTRÔLE |
| MODIFIER TOUT SCHEMA | ALTER | SERVEUR DE CONTRÔLE |
| MODIFIER TOUT SECURITY POLICY S'applique à: Azure SQL Database. |
CONTROL | SERVEUR DE CONTRÔLE |
| MODIFIER TOUT SENSITIVITY CLASSIFICATION S’applique à : SQL Server (SQL Server 2019 et versions ultérieures), Azure SQL Database. |
CONTROL | SERVEUR DE CONTRÔLE |
| MODIFIER TOUT SERVICE | ALTER | SERVEUR DE CONTRÔLE |
| MODIFIER TOUT SYMMETRIC KEY | ALTER | SERVEUR DE CONTRÔLE |
| MODIFIER TOUT USER | ALTER | SERVEUR DE CONTRÔLE |
| AUTHENTICATE | CONTROL | AUTHENTIFIER LE SERVEUR |
| BACKUP DATABASE | CONTROL | SERVEUR DE CONTRÔLE |
| BACKUP JOURNAL | CONTROL | SERVEUR DE CONTRÔLE |
| CHECKPOINT | CONTROL | SERVEUR DE CONTRÔLE |
| CONNECT | RÉPLICATION DE CONNEXION | SERVEUR DE CONTRÔLE |
| RÉPLICATION DE CONNEXION | CONTROL | SERVEUR DE CONTRÔLE |
| CONTROL | CONTROL | SERVEUR DE CONTRÔLE |
| CREATE AGGREGATE | ALTER | SERVEUR DE CONTRÔLE |
| CRÉEZ N’IMPORTE QUEL EXTERNAL LIBRARY S'applique à: SQL Server 2017 (14.x). |
CONTROL | SERVEUR DE CONTRÔLE |
| CREATE ASSEMBLY | MODIFIER TOUT ASSEMBLY | SERVEUR DE CONTRÔLE |
| CREATE ASYMMETRIC KEY | MODIFIER TOUT ASYMMETRIC KEY | SERVEUR DE CONTRÔLE |
| CREATE CERTIFICATE | MODIFIER TOUT CERTIFICATE | SERVEUR DE CONTRÔLE |
| CREATE CONTRACT | MODIFIER TOUT CONTRACT | SERVEUR DE CONTRÔLE |
| CREATE DATABASE | CONTROL | CRÉEZ N’IMPORTE QUEL DATABASE |
| CREATE DATABASE DDL EVENT NOTIFICATION | MODIFIER TOUT DATABASEEVENT NOTIFICATION | CRÉER DDL EVENT NOTIFICATION |
| CREATE DEFAULT | ALTER | SERVEUR DE CONTRÔLE |
| CREATE FULLTEXT CATALOG | MODIFIER TOUT FULLTEXT CATALOG | SERVEUR DE CONTRÔLE |
| CREATE FUNCTION | ALTER | SERVEUR DE CONTRÔLE |
| CREATE MESSAGE TYPE | MODIFIER TOUT MESSAGE TYPE | SERVEUR DE CONTRÔLE |
| CREATE PROCEDURE | ALTER | SERVEUR DE CONTRÔLE |
| CREATE QUEUE | ALTER | SERVEUR DE CONTRÔLE |
| CREATE REMOTE SERVICE BINDING | MODIFIER TOUT REMOTE SERVICE BINDING | SERVEUR DE CONTRÔLE |
| CREATE ROLE | MODIFIER TOUT ROLE | SERVEUR DE CONTRÔLE |
| CREATE ROUTE | MODIFIER TOUT ROUTE | SERVEUR DE CONTRÔLE |
| CREATE RULE | ALTER | SERVEUR DE CONTRÔLE |
| CREATE SCHEMA | MODIFIER TOUT SCHEMA | SERVEUR DE CONTRÔLE |
| CREATE SERVICE | MODIFIER TOUT SERVICE | SERVEUR DE CONTRÔLE |
| CREATE SYMMETRIC KEY | MODIFIER TOUT SYMMETRIC KEY | SERVEUR DE CONTRÔLE |
| CREATE SYNONYM | ALTER | SERVEUR DE CONTRÔLE |
| CREATE TABLE | ALTER | SERVEUR DE CONTRÔLE |
| CREATE TYPE | ALTER | SERVEUR DE CONTRÔLE |
| CREATE VIEW | ALTER | SERVEUR DE CONTRÔLE |
| CREATE XML SCHEMA COLLECTION | ALTER | SERVEUR DE CONTRÔLE |
| DELETE | CONTROL | SERVEUR DE CONTRÔLE |
| EXECUTE | CONTROL | SERVEUR DE CONTRÔLE |
| EXÉCUTER N’IMPORTE QUEL EXTERNE ENDPOINT S'applique à: Azure SQL Database. |
CONTROL | SERVEUR DE CONTRÔLE |
| EXÉCUTER UN SCRIPT EXTERNE S'applique à: SQL Server 2016 (13.x). |
CONTROL | SERVEUR DE CONTRÔLE |
| EXÉCUTER UN SCRIPT EXTERNE S’applique à : SQL Server 2019 (15.x) |
EXÉCUTER UN SCRIPT EXTERNE | SERVEUR DE CONTRÔLE |
| INSERT | CONTROL | SERVEUR DE CONTRÔLE |
| KILL DATABASE CONNECTION S'applique à: Azure SQL Database. |
CONTROL | MODIFIER N’IMPORTE QUELLE CONNEXION |
| REFERENCES | CONTROL | SERVEUR DE CONTRÔLE |
| SELECT | CONTROL | SERVEUR DE CONTRÔLE |
| SHOWPLAN | CONTROL | ALTER TRACE |
| NOTIFICATIONS DE REQUÊTE D’ABONNEMENT | CONTROL | SERVEUR DE CONTRÔLE |
| PRENDRE POSSESSION | CONTROL | SERVEUR DE CONTRÔLE |
| UNMASK | CONTROL | SERVEUR DE CONTRÔLE |
| UPDATE | CONTROL | SERVEUR DE CONTRÔLE |
| VIEW TOUTE COLUMN ENCRYPTION KEY DÉFINITION | CONTROL | VIEW TOUTE DÉFINITION |
| VIEW TOUTE COLUMN MASTER KEY DÉFINITION | CONTROL | VIEW TOUTE DÉFINITION |
| VIEW DATABASE ÉTAT | CONTROL | VIEW ÉTAT DU SERVEUR |
| VIEW DÉFINITION | CONTROL | VIEW TOUTE DÉFINITION |
Permissions
Le constituant (ou le mandant spécifié avec l’option AS) doit avoir soit la permission elle-même avec GRANT OPTION, soit une autorisation supérieure qui implique que la permission est accordée.
Si vous utilisez l'option AS, les conditions supplémentaires ci-dessous s'appliquent.
| COMME granting_principal | Autres autorisations nécessaires |
|---|---|
| Utilisateur de base de données | Autorisation IMPERSONATE sur l'utilisateur, appartenance au rôle de base de données fixe db_securityadmin, appartenance au rôle de base de données fixe db_owner ou appartenance au rôle serveur fixe sysadmin. |
| Utilisateur de base de données mappé à une connexion Windows | Autorisation IMPERSONATE sur l'utilisateur, appartenance au rôle de base de données fixe db_securityadmin, appartenance au rôle de base de données fixe db_owner ou appartenance au rôle serveur fixe sysadmin. |
| Utilisateur de base de données mappé à un groupe Windows | Appartenance au groupe Windows, appartenance aux rôles de base de données fixe db_securityadmin ou db_owner ou appartenance au rôle serveur fixe sysadmin. |
| Utilisateur de base de données mappé à un certificat | Appartenance aux rôles de base de données fixe db_securityadmin ou db_owner ou appartenance au rôle serveur fixe sysadmin. |
| Utilisateur de base de données mappé à une clé asymétrique | Appartenance aux rôles de base de données fixe db_securityadmin ou db_owner ou appartenance au rôle serveur fixe sysadmin. |
| Utilisateur de base de données qui n'est mappé sur aucun principal d'un serveur | Autorisation IMPERSONATE sur l'utilisateur, appartenance au rôle de base de données fixe db_securityadmin, appartenance au rôle de base de données fixe db_owner ou appartenance au rôle serveur fixe sysadmin. |
| Rôle de base de données | Autorisation ALTER sur le rôle, appartenance au rôle de base de données fixe db_securityadmin, appartenance au rôle de base de données fixe db_owner ou appartenance au rôle serveur fixe sysadmin. |
| Rôle d’application | Autorisation ALTER sur le rôle, appartenance au rôle de base de données fixe db_securityadmin, appartenance au rôle de base de données fixe db_owner ou appartenance au rôle serveur fixe sysadmin. |
Les propriétaires d'objets peuvent accorder des autorisations sur les objets qu'ils possèdent. Les principaux qui possèdent l'autorisation CONTROL sur un élément sécurisable peuvent accorder une autorisation sur cet élément sécurisable.
Les détenteurs de l'autorisation CONTROL SERVER, tels que les membres du rôle serveur fixe sysadmin, peuvent accorder une autorisation sur n'importe quel élément sécurisable du serveur.
Examples
A. Octroi d'une autorisation pour créer des tables
Dans l’exemple suivant, l’autorisation CREATE TABLE sur la base de données AdventureWorks est accordée à l’utilisateur MelanieK.
USE AdventureWorks;
GRANT CREATE TABLE TO MelanieK;
GO
B. Octroi d'une autorisation SHOWPLAN à un rôle d'application
Dans l'exemple ci-dessous, l'autorisation SHOWPLAN sur la base de données AdventureWorks2025 est accordée au rôle d'application AuditMonitor.
S’applique à : SQL Server 2008 (10.0.x) et versions ultérieures, Azure SQL Database
USE AdventureWorks2022;
GRANT SHOWPLAN TO AuditMonitor;
GO
C. Octroi CREATE VIEW avec GRANT OPTION
Dans l'exemple ci-dessous, l'autorisation CREATE VIEW sur la base de données AdventureWorks2025 est accordée à l'utilisateur CarmineEs avec le droit d'accorder CREATE VIEW à d'autres principaux.
USE AdventureWorks2022;
GRANT CREATE VIEW TO CarmineEs WITH GRANT OPTION;
GO
D. Octroi d’une autorisation CONTROL à un utilisateur de base de données
Dans l’exemple suivant, l’autorisation CONTROL sur la base de données AdventureWorks2025 est accordée à l’utilisateur de base de données Sarah. Celui-ci doit exister dans la base de données ; par ailleurs, le contexte doit être défini sur la base de données.
USE AdventureWorks2022;
GRANT CONTROL ON DATABASE::AdventureWorks2022 TO Sarah;
GO