アカウントの権限を変更する

このトピックでは、各アカウントタイプの権限スコープについて説明します。このトピックでは、ApsaraDB RDS for SQL Serverインスタンスの標準アカウントまたは特権アカウントの権限を変更する方法についても説明します。システム管理者アカウントには、すべてのデータベースに対するすべての権限があります。システム管理者アカウントの権限を変更する必要はありません。

アカウント権限

セキュリティ上の理由から、ApsaraDB RDSは特定の権限を制限します。制限された権限はストアドプロシージャにカプセル化されます。ストアドプロシージャを実行して、権限が制限されている操作を実行できます。詳細については、「ストアドプロシージャ」をご参照ください。

説明

ApsaraDB RDSコンソールで、RDSインスタンスのデータベースに対する権限をアカウントに付与できます。テーブルなどの特定のデータベースオブジェクトに対する権限をアカウントに付与する場合は、必要なSQL文を実行できます。詳細については、「GRANTオブジェクト権限 (Transact-SQL) 」をご参照ください。

システム管理者アカウント

権限付与オブジェクト: すべてのデータベース。
権限: RDSインスタンスのすべての権限。詳細については、「アクセス許可 (データベースエンジン) 」をご参照ください。

標準アカウントと特権アカウント

権限付与オブジェクト: アカウントのデータベース。

権限タイプ	ロール	権限
Owner	サーバーレベルの役割パブリック processadmin setupadmin データベースレベルの役割パブリック db_owner	サーバーレベルの権限 CONNECT SQL ALTER ANY LOGIN リンクされたサーバーを変更すべての接続 ALTER TRACE データベースを表示するサーバー状態を表示 ALTERサーバー状態データベースレベルの権限 CREATE TABLE CREATE VIEW CREATE PROCEDURE 関数の作成ルールの作成デフォルトの作成 CREATE TYPE アセンブリの作成 XMLスキーマコレクションの作成スキーマの作成 CREATE SYNONYM AGGREGATEの作成 CREATE ROLE メッセージタイプの作成サービスの作成契約の作成リモートサービスのバインドの作成ルートの作成 CREATE QUEUE SYMMETRICキーの作成 ASYMMETRICキーの作成 FULLTEXTカタログの作成証明書の作成データベースDDLイベント通知の作成 CONNECT CONNECT REPLICATION チェックポイント加入照会通知認証ショープランすべてのユーザー ALTER ANY ROLE すべてのアプリケーションの役割列の暗号化キーを変更するすべての列マスターキー任意のスキーマを変更すべてのアセンブリ変更されたデータベースの設定すべてのデータセットすべての外部データソースすべての外部ファイル形式すべてのメッセージタイプすべての契約すべてのサービスリモートサービスの結合を変更する ALTER ANY ROUTE ALTER FULLTEXTカタログ SYMMETRICキーを変更する任意の非対称キーを調整すべての証明書セキュリティポリシーを変更する SELECT INSERT UPDATE DELETE REFERENCES EXECUTE 任意のデータベースDDLトリガーすべてのデータベースイベントの通知データベースの監査を変更するすべてのデータベースイベントセッション KILLデータベース接続コラムの暗号化のキー定義を表示するコラムのマスターキーの定義を表示するデータベースの状態を表示定義を見る所有権を取得する ALTER すべてのマスク UNMASK 外部スクリプトを実行するコントロール
読み取り権限	サーバーレベルの役割パブリック processadmin setupadmin データベースレベルの役割パブリック db_datareader	サーバーレベルの権限 CONNECT SQL ALTER ANY LOGIN リンクされたサーバーを変更すべての接続 ALTER TRACE データベースを表示するサーバー状態を表示 ALTERサーバー状態データベースレベルの権限 CONNECT ショープラン SELECT KILLデータベース接続コラムの暗号化のキー定義を表示するコラムのマスターキーの定義を表示するデータベースの状態を表示
読み取りおよび書き込み権限 (DML)	サーバーレベルの役割パブリック processadmin setupadmin データベースレベルの役割パブリック db_datareader db_datawriter	サーバーレベルの権限 CONNECT SQL ALTER ANY LOGIN リンクされたサーバーを変更すべての接続 ALTER TRACE データベースを表示するサーバー状態を表示 ALTERサーバー状態データベースレベルの権限 CONNECT ショープラン SELECT INSERT UPDATE DELETE KILLデータベース接続コラムの暗号化のキー定義を表示するコラムのマスターキーの定義を表示するデータベースの状態を表示

[インスタンス] ページに移動します。上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。次に、RDSインスタンスを見つけ、インスタンスのIDをクリックします。
表示されるページの左側のナビゲーションウィンドウで、アカウント管理 をクリックします。
権限を変更するアカウントを見つけて、権限の変更 をクリックします。
アカウント権限の編集 パネルで、アカウントの権限を変更します。
- 承認済みデータベースの変更: アカウントに権限を付与するデータベースを選択し、[] または [] アイコンをクリックして、承認済みデータベースを変更します。
- アカウントの権限を変更する: 権限が付与されたデータベース セクションで、ビジネス要件に基づいて権限を設定します。
  - 読み取り専用: db_datareaderデータベースロールをアカウントに割り当てます。
  - 読み書き (DML): db_datawriterおよびdb_datareaderデータベースロールをアカウントに割り当てます。
  - 所有者: db_ownerデータベースロールをアカウントに割り当てます。
  データベースレベルの役割の詳細については、「データベースレベルの役割」をご参照ください。
表示されるメッセージで OK をクリックします。

よくある質問

読み取り /書き込み (DML) 権限を持つアカウントを使用して、データベースにテーブルを作成することはできません。これはなぜですか。
読み取り /書き込み (DML) 権限を持つアカウントに割り当てられているdb_datareaderおよびdb_datawriterデータベースロールには、CREATE TABLE権限がありません。詳細は、「アカウント権限」をご参照ください。テーブルを作成するには、次のいずれかの方法を使用できます。
- 方法1: 必要なSQL文を実行します。詳細については、「GRANTデータベース権限 (Transact-SQL) 」および「データベースレベルのロール」をご参照ください。
- 方法2: ApsaraDB RDSコンソールにログインします。 RDSインスタンスの [アカウント] ページで、アカウントの権限タイプを [所有者] に変更します。所有者権限タイプには、テーブルの作成を含むほとんどの権限があります。作業は慎重に行ってください。詳細については、「アカウントの権限の変更」をご参照ください。
CREATE TABLE権限のみが必要な場合は、方法2よりも安全な方法1を使用することをお勧めします。