ユーザー定義データベースロール

STEP 3. アカウント管理とビューによるセキュリティ強化

3.10 ユーザー定義データベースロール

ユーザー定義データベースロールは、ユーザーが作成することができる「データベース ロール」

です。データベースユーザーをグループ化して、オブジェクト権限をまとめて設定したい場合などに利用すると便利です。

Let's Try

それでは、これを試してみましょう。

1. ユーザー定義データベースロールを作成するには、オブジェクトエクスプローラーで、

「sampleDB」データベースの［セキュリティ］→「ロール」フォルダーを展開し、［データ ベースロール］フォルダーを右クリックして、［新しいデータベースロール］をクリックし ます。

［データベース ロール - 新規］ダイアログが表示されたら、［ロール名］へ「sqlUsers」な ど任意のロール名を入力して、［追加］ボタンをクリックします。

2. ［データベース ユーザーまたはロールの選択］ダイアログが表示されたら、［参照］ボタンを クリックします。

「ロール」→「データベースロール」

フォルダを右クリックして「新しい データベースロール」をクリック 1

［オブジェクトの参照］ダイアログでは、「sqlUser01」ユーザーをチェックして、［OK］ボタンをクリックします。

［データベース ユーザーまたはロールの選択］ダイアログへ戻ったら、［OK］ボタンをクリ ックしてダイアログを閉じます。

3. ［データベース ロール - 新規］ダイアログへ戻ったら、［このロールのメンバー］へ

「sqlUser01」が追加されていることを確認して、［OK］ボタンをクリックします。

これにより、sqlUsers データベースロールが作成されて、sqlUser01ユーザーをメンバーとして登録することができました。

4. 次に、作成した sqlUsers データベースロールに対してロールに権限を設定します。「社員」

テーブルを右クリックして［プロパティ］をクリックし、［テーブルのプロパティ］の［権限］

ページを開きます。

1 2

↓

現在は、public ロールに対して、「更新」と「挿入」権限が「許可」（GRANT）されていることを確認できます（Step 5.3 で設定）。

5. また、次のように sqlUser01 ユーザーをクリックすると、sqlUser01 に対して、「選択」

権限が「許可」、「更新」権限が「拒否」（REVOKE）されていることを確認できます（Step 5.3 で設定）。

6. 続いて、sqlUsers ロールに対して、オブジェクト権限を設定するために、次のように［ユー

publicロールに対して、更新と挿入権限が

「許可」（GRANT）されている 4

sqlUser01に対して、選択権限が「許可」（GRANT）、

更新権限が「拒否」（REVOKE）されている 3

ザーまたはロール］の［検索］ボタンをクリックします。

7. ［ユーザーまたはロールの選択］ダイアログが表示されたら、［参照］ボタンをクリックします。

［オブジェクトの参照］ダイアログでは、「sqlUsers」ロールをチェックして、［OK］ボタンをクリックします。

［ユーザーまたはロールの選択］ダイアログへ戻ったら、［OK］ボタンをクリックしてダイアログを閉じます。

8. ［テーブルのプロパティ］ダイアログへ戻ったら、［ユーザーまたはロール］で sqlUsers ロールを選択した状態で、「選択」の「拒否」をチェックします。

↓

設定後、［OK］ボタンをクリックしてダイアログを閉じます。

設定した権限をまとめると、次のようになります。

sqlUser01 でのログイン

次に、sqlUser01 ログインアカウントでログインして、オブジェクト権限の設定を確認してみましょう。

9. まずは、ツールバーの［データベース エンジンクエリ］ボタンをクリックします。

［データベース エンジンへの接続］ダイアログでは、［認証］で「SQL Server 認証」を選 択して、［ログイン］へ「sqlUser01」、［パスワード］へ「P@ssword」と入力し、［接続］

ボタンをクリックします。

10. クエリエディターが表示されたら、「sampleDB」データベースへ接続して、「社員」テーブルを参照する SELECT ステートメントを実行してみましょう。

USE sampleDB SELECT * FROM 社員 WHERE 社員番号 = 2

publicロール

sqlUser01ユーザー sqlUsers

ロール

3 1

この操作はエラーとなり、sqlUser01 ユーザーが、社員テーブルに対して選択権限を拒否されていることを確認できます。sqlUsers ロールに対しては「拒否」していたので、こちらが優先されています。

ドキュメント内 SQL Server 2012 自習書シリーズ No.18 セキュリティ Published: 2008 年 6 月 30 日 SQL Server 2012 更新版 : 2012 年 9 月 30 日有限会社エスキューエルクオリティ (ページ 63-69)

ユーザー定義データベース ロール

STEP 3. アカウント管理と ビューによるセキュリティ強化

3.10 ユーザー定義データベース ロール