REVOKE CALLER¶
Widerruft Berechtigungen, die einem Eigentümer einer ausführbaren Datei zuvor mit einer Aufruferberechtigung gewährt wurden.
Variationen des Befehls REVOKE CALLER sind wie folgt:
REVOKE CALLER — Widerrufen bestimmter Berechtigungen für ein bestimmtes Objekt.
REVOKE ALL CALLER PRIVILEGES — Widerrufen aller Berechtigungen für ein bestimmtes Objekt. Die ausführbare Datei kann nicht mit den Berechtigungen des Aufrufers ausgeführt werden, wenn sie versucht, auf das Objekt zuzugreifen.
REVOKE INHERITED CALLER — Entzieht allen aktuellen und zukünftigen Objekten desselben Typs die Aufruferberechtigung, wenn sie ein gemeinsames Schema, eine gemeinsame Datenbank oder ein gemeinsames Konto haben. Nur Berechtigungen in einer bestimmten Liste werden widerrufen.
REVOKE ALL INHERITED CALLER PRIVILEGES — Entzieht allen aktuellen und zukünftigen Objekten desselben Typs die Aufruferberechtigung, wenn sie ein gemeinsames Schema, eine gemeinsame Datenbank oder ein gemeinsames Konto haben. Alle Berechtigungen werden widerrufen; die ausführbare Datei kann nicht mit den Berechtigungen des Aufrufers ausgeführt werden.
Syntax¶
REVOKE CALLER <object_privilege> [ , <object_privilege> ... ]
ON <object_type> <object_name>
FROM { ROLE | DATABASE ROLE } <grantee_name>
REVOKE ALL CALLER PRIVILEGES
ON <object_type> <object_name>
FROM { ROLE | DATABASE ROLE } <grantee_name>
REVOKE INHERITED CALLER <object_privilege> [ , <object_privilege> ... ]
ON ALL <object_type_plural>
IN { ACCOUNT | DATABASE <db_name> | SCHEMA <schema_name> | APPLICATION <app_name> | APPLICATION PACKAGE <app_pkg_name> }
FROM { ROLE | DATABASE ROLE } <grantee_name>
REVOKE ALL INHERITED CALLER PRIVILEGES
ON ALL <object_type_plural>
IN { ACCOUNT | DATABASE <db_name> | SCHEMA <schema_name> | APPLICATION <app_name> | APPLICATION PACKAGE <app_pkg_name> }
FROM { ROLE | DATABASE ROLE } <grantee_name>
Parameter¶
object_privilege [ , object_privilege ... ]Die Objektberechtigungen, die Sie widerrufen möchten. Ausführbare Dateien, die der angegebenen Rolle gehören, können nicht mehr mit diesen Berechtigungen ausgeführt werden. Eine Liste der Berechtigungen für einen bestimmten Objekttyp finden Sie unter Zugriffssteuerungsrechte.
Verwenden Sie eine durch Kommas getrennte Liste, um mehr als eine Objektberechtigung anzugeben.
ON object_type object_nameDas Objekt, einschließlich seines Typs, für das Sie Berechtigungen widerrufen möchten. Verwenden Sie die Singularform von
object_type, zum BeispielTABLEoderWAREHOUSE.ON ALL object_type_plural IN ACCOUNToder .ON ALL object_type_plural IN DATABASE db_nameoder .ON ALL object_type_plural IN SCHEMA schema_nameoder .ON ALL object_type_plural IN APPLICATION app_nameoder .ON ALL object_type_plural IN APPLICATION PACKAGE app_pkg_nameWiderruft Berechtigungen für alle Objekte eines bestimmten Typs. Verwenden Sie die Pluralform des Objekttyps, zum Beispiel
TABLESoderWAREHOUSES.Mit der REVOKE-Anweisung können Sie den Zugriff auf alle Objekte im aktuellen Konto oder nur auf Objekte in der/dem angegebenen Datenbank, Schema, Anwendung oder Anwendungspaket widerrufen.
FROM ROLE grantee_nameoder .FROM DATABASE ROLE grantee_nameEigentümer der ausführbaren Datei, dem zuvor eine Aufruferberechtigung erteilt wurde.
Anforderungen an die Zugriffssteuerung¶
Eine Rolle, die zur Ausführung dieser Operation verwendet wird, muss mindestens die folgenden Berechtigungen haben:
Berechtigung |
Objekt |
Anmerkungen |
|---|---|---|
MANAGE CALLER GRANTS |
Konto |
Die Berechtigung MANAGE CALLER GRANTS auf Kontoebene bezieht sich nur auf Auruferberechtigungen. Es erlaubt Ihnen nicht, Berechtigungen von Rollen zu widerrufen. |
Jede Berechtigung |
Alle angegebenen Objekte |
Sie benötigen mindestens eine Berechtigung für die im Befehl REVOKE angegebenen Objekte. Wenn Sie beispielsweise eine Berechtigung für eine Tabelle widerrufen wollen, müssen Sie mindestens eine Berechtigung für diese Tabelle haben. |
Eine Anleitung zum Erstellen einer kundenspezifischen Rolle mit einer bestimmten Gruppe von Berechtigungen finden Sie unter Erstellen von kundenspezifischen Rollen.
Allgemeine Informationen zu Rollen und Berechtigungen zur Durchführung von SQL-Aktionen auf sicherungsfähigen Objekten finden Sie unter Übersicht zur Zugriffssteuerung.
Beispiele¶
Ausführbare Dateien, die owner_role gehören, können nicht mehr mit den Aufruferberechtigungen ausgeführt werden, wenn sie auf Ansichten im aktuellen Konto zugreifen.
REVOKE ALL INHERITED CALLER PRIVILEGES ON ALL VIEWS IN ACCOUNT FROM ROLE owner_role;
Ausführbare Dateien, die owner_role gehören, können nicht mehr mit der Berechtigung USAGE ausgeführt werden, wenn sie auf das Schema db.sch1 zugreifen.
REVOKE CALLER USAGE ON SCHEMA db.sch1 FROM ROLE owner_role;