GRANT (conceder) permissões de credencial no escopo do banco de dados (Transact-SQL)

Aplica-se a: SQL Server 2017 (14.x) e posteriores Banco de Dados SQL do Azure Instância Gerenciada de SQL do Azure Azure Synapse Analytics

Concede permissões em uma credencial no escopo do banco de dados.

Convenções de sintaxe de Transact-SQL

Sintaxe

GRANT permission  [ ,...n ]    
    ON DATABASE SCOPED CREDENTIAL :: credential_name   
    TO principal [ ,...n ] [ WITH GRANT OPTION ]   
    [ AS granting_principal ]   

Argumentos

permission

Especifica uma permissão que pode ser concedida em uma credencial no escopo do banco de dados. Listada abaixo.

ON DATABASE SCOPED CREDENTIAL ::credential_name

Especifica a credencial no escopo do banco de dados na qual a permissão está sendo concedida. O qualificador de escopo "::" é obrigatório.

database_principal

Especifica a entidade de segurança para o qual a permissão está sendo concedida. Um dos seguintes:

  • usuário de banco de dados
  • função de banco de dados
  • função de aplicativo
  • usuário de banco de dados mapeado para um logon do Windows
  • usuário de banco de dados mapeado para um grupo do Windows
  • usuário de banco de dados mapeado para um certificado
  • usuário de banco de dados mapeado para uma chave assimétrica
  • usuário de banco de dados não mapeado para uma entidade do servidor.

GRANT OPTION

Indica que o principal também terá a capacidade de conceder a permissão especificada a outros principais.

AS granting_principal

Especifica uma entidade de segurança da qual a entidade de segurança que executa esta consulta deriva seu direito de conceder a permissão. Um dos seguintes:

  • usuário de banco de dados
  • função de banco de dados
  • função de aplicativo
  • usuário de banco de dados mapeado para um logon do Windows
  • usuário de banco de dados mapeado para um grupo do Windows
  • usuário de banco de dados mapeado para um certificado
  • usuário de banco de dados mapeado para uma chave assimétrica
  • usuário de banco de dados não mapeado para uma entidade do servidor.

Comentários

Uma credencial no escopo do banco de dados é um item protegível no nível do banco de dados contido pelo banco de dados pai na hierarquia de permissões. As permissões mais específicas e limitadas que podem ser concedidas em uma credencial no escopo do banco de dados estão listadas abaixo, junto com as permissões mais gerais que as incluem implicitamente.

Permissão de credencial no escopo do banco de dados Implícito pela permissão de credencial no escopo do banco de dados Implícito na permissão de banco de dados
CONTROL CONTROL CONTROL
TAKE OWNERSHIP CONTROL CONTROL
ALTER CONTROL CONTROL
REFERENCES CONTROL REFERENCES
VIEW DEFINITION CONTROL VIEW DEFINITION

Observação

No Azure Synapse Analytics, o GRANT na credencial no escopo do banco de dados é compatível apenas com pools de SQL sem servidor.

Permissões

O concessor (ou a entidade de segurança especificada com a opção AS) deve ter a própria permissão com GRANT OPTION ou uma permissão superior que tenha a permissão que está sendo concedida implícita.

Se a opção AS for usada, esses requisitos adicionais se aplicarão.

AS granting_principal Permissão adicional necessária
Usuário de banco de dados A permissão IMPERSONATE no usuário, associação na função de banco de dados fixa db_securityadmin, associação na função de banco de dados fixa db_owner ou associação na função de servidor fixa sysadmin.
Usuário de banco de dados mapeado para um logon do Windows A permissão IMPERSONATE no usuário, associação na função de banco de dados fixa db_securityadmin, associação na função de banco de dados fixa db_owner ou associação na função de servidor fixa sysadmin.
Usuário de banco de dados mapeado para um grupo do Windows Associação no grupo do Windows, associação na função de banco de dados fixa db_securityadmin, associação na função de banco de dados fixa db_owner ou associação na função de servidor fixa sysadmin.
Usuário de banco de dados mapeado para um certificado Associação na função de banco de dados fixa db_securityadmin, associação na função de banco de dados fixa db_owner ou associação na função de servidor fixa sysadmin.
Usuário de banco de dados mapeado para uma chave assimétrica Associação na função de banco de dados fixa db_securityadmin, associação na função de banco de dados fixa db_owner ou associação na função de servidor fixa sysadmin.
Usuário de banco de dados não mapeado para nenhuma entidade de segurança de servidor A permissão IMPERSONATE no usuário, associação na função de banco de dados fixa db_securityadmin, associação na função de banco de dados fixa db_owner ou associação na função de servidor fixa sysadmin.
Função de banco de dados Permissão ALTER na função, associação na função de banco de dados fixa db_securityadmin, associação na função de banco de dados fixa db_owner ou associação na função de servidor fixa sysadmin.
Função de aplicativo Permissão ALTER na função, associação na função de banco de dados fixa db_securityadmin, associação na função de banco de dados fixa db_owner ou associação na função de servidor fixa sysadmin.

Os proprietários de objetos podem conceder permissões nos objetos de sua propriedade. Principais com a permissão CONTROL em um item protegível podem conceder permissão nesse item.

As entidades autorizadas com a permissão CONTROL SERVER, como os membros da função de servidor fixa sysadmin, podem conceder qualquer permissão em qualquer protegível do servidor. As entidades autorizadas com a permissão CONTROL em um banco de dados, como os membros da função de banco de dados fixa db_owner, podem conceder qualquer permissão para qualquer protegível do banco de dados. Os usuários autorizados da permissão CONTROL em um esquema podem conceder qualquer permissão em qualquer objeto dentro do esquema.

Próximas etapas

GRANT (Transact-SQL)
Credencial REVOKE no escopo do banco de dados (Transact-SQL)
Credencial no escopo do banco de dados DENY (Transact-SQL)
Permissões (Mecanismo de Banco de Dados)
Entidades (Mecanismo de Banco de Dados)
Hierarquia de criptografia