データベースレベルのロール

[アーティクル]
09/22/2015

データベースのアクセス許可を簡単に管理するために、SQL Serverには、他のプリンシパルをグループ化するセキュリティプリンシパルである複数のロールが用意されています。これらは、Microsoft Windows オペレーティングシステムの グループ のようなものです。データベースレベルのロールは、その権限のスコープがデータベース全体に及びます。

SQL Serverには、データベースに定義済みの固定データベースロールと、作成できるフレキシブルデータベースロールの 2 種類のデータベースレベルロールがあります。

固定データベースロールはデータベースレベルで定義されており、各データベースに存在します。 db_owner データベースロールのメンバーは、固定データベースロールのメンバーシップを管理できます。 msdb データベースには、特別な用途の固定データベースロールもいくつかあります。

データベースレベルのロールには、すべてのデータベースアカウントとその他の SQL Server ロールを追加できます。固定データベースロールの各メンバーは、そのロールに他のログインを追加できます。

重要

可変データベースロールは、固定ロールのメンバーとして追加しないでください。これを行うと、特権が意図せず昇格されることがあります。

次の表に、固定データベースレベルのロールとその機能を示します。これらのロールは、すべてのデータベースに存在します。

データベースレベルのロール名	説明
db_owner	db_owner 固定データベースロールのメンバーは、データベースでのすべての構成作業とメンテナンス作業を実行でき、データベースを削除することもできます。
db_securityadmin	db_securityadmin 固定データベースロールのメンバーは、ロールのメンバーシップを変更し、権限を管理できます。このロールにプリンシパルを追加すると、特権が意図せず昇格されることがあります。
db_accessadmin	db_accessadmin 固定データベースロールのメンバーは、Windows ログイン、Windows グループ、および SQL Server ログインのデータベースに対するアクセスを追加または削除できます。
db_backupoperator	db_backupoperator 固定データベースロールのメンバーは、データベースをバックアップできます。
db_ddladmin	db_ddladmin 固定データベースロールのメンバーは、すべての DDL (データ定義言語) コマンドをデータベースで実行できます。
db_datawriter	db_datawriter 固定データベースロールのメンバーは、すべてのユーザーテーブルのデータを追加、削除、または変更できます。
db_datareader	db_datareader 固定データベースロールのメンバーは、すべてのユーザーテーブルからすべてのデータを読み取ることができます。
db_denydatawriter	db_denydatawriter 固定データベースロールのメンバーは、データベース内のユーザーテーブルのデータを追加、変更、または削除することはできません。
db_denydatareader	db_denydatareader 固定データベースロールのメンバーは、データベース内のユーザーテーブルのデータを読み取ることはできません。

msdb ロール

msdb データベースには、次の表に示す特別な用途のロールが含まれています。

msdb ロール名	説明
`db_ssisadmin` db_ssisoperator db_ssisltduser	これらのデータベースロールのメンバーは、 SSISを管理および使用できます。以前のバージョンからアップグレードされた SQL Server のインスタンスには、SSIS ではなくデータ変換サービス (DTS) を使用して名前が付けられた古いバージョンのロールが含まれている場合があります。詳細については、「Integration Services のロール (SSIS Service)」を参照してください。
`dc_admin` dc_operator dc_proxy	これらのデータベースロールのメンバーは、データコレクターを管理および使用できます。詳細については、「 Data Collection」を参照してください。
PolicyAdministratorRole	PolicyAdministratorRole データベースロールのメンバーは、ポリシーベースの管理のポリシーと条件で、すべての構成作業とメンテナンス作業を実行できます。詳細については、「ポリシーベースの管理を使用したサーバーの管理」を参照してください。
ServerGroupAdministratorRole ServerGroupReaderRole	これらのデータベースロールのメンバーは、登録済みサーバーのグループを管理および使用できます。
dbm_monitor	データベースミラーリングモニターに `msdb` 最初のデータベースが登録されたときにデータベースに作成されます。 dbm_monitor ロールには、メンバーは割り当てられていません。システム管理者がそのロールにユーザーを割り当てる必要があります。

重要

db_ssisadmin ロールおよび dc_admin ロールのメンバーは、特権を sysadmin に昇格できる可能性があります。このような特権の昇格が発生するのは、それらのロールが Integration Services パッケージを変更でき、 Integration Services エージェントの sysadmin セキュリティコンテキストを使用して SQL Server で SQL Server パッケージを実行できるためです。メンテナンスプラン、データコレクションセット、およびその他の Integration Services パッケージの実行時にこの特権の昇格を防ぐには、特権が制限されたプロキシアカウントを使用するようにパッケージを実行する SQL Server エージェントジョブを構成するか、db_ssisadmin ロールおよび dc_admin ロールには sysadmin メンバーのみを追加するようにします。

データベースレベルのロールの操作

次の表では、データベースレベルのロールを操作するためのコマンド、ビュー、および関数について説明します。

機能	Type	説明
sp_helpdbfixedrole (Transact-SQL)	Metadata	固定データベースロールの一覧を返します。
sp_dbfixedrolepermission (Transact-SQL)	Metadata	固定データベースロールの権限を表示します。
sp_helprole (Transact-SQL)	Metadata	現在のデータベース内のロールに関する情報を返します。
sp_helprolemember (Transact-SQL)	Metadata	現在のデータベースに含まれるロールのメンバーに関する情報を返します。
sys.database_role_members (Transact-SQL)	Metadata	データベースロールのメンバーごとに 1 行のデータを返します。
IS_MEMBER (Transact-SQL)	Metadata	現在のユーザーが、指定された Microsoft Windows グループまたは Microsoft SQL Server データベースロールのメンバーであるかどうかを示します。
CREATE ROLE (Transact-SQL)	コマンド	現在のデータベースに新しいデータベースロールを作成します。
ALTER ROLE (Transact-SQL)	コマンド	データベースロールの名前を変更します。
DROP ROLE (Transact-SQL)	コマンド	データベースからロールを削除します。
sp_addrole (Transact-SQL)	コマンド	現在のデータベースに新しいデータベースロールを作成します。
sp_droprole (Transact-SQL)	コマンド	現在のデータベースからデータベースロールを削除します。
sp_addrolemember (Transact-SQL)	コマンド	データベースユーザー、データベースロール、Windows ログイン、または Windows グループを、現在のデータベースのデータベースロールに追加します。
sp_droprolemember (Transact-SQL)	コマンド	現在のデータベースの SQL Server ロールからセキュリティアカウントを削除します。