Compartir a través de


Remove-AzRoleAssignment

Quita una asignación de roles a la entidad de seguridad especificada que se asigna a un rol determinado en un ámbito determinado.

El cmdlet puede llamar a microsoft Graph API debajo según los parámetros de entrada:

  • GET /users/{id}
  • GET /servicePrincipals/{id}
  • GET /groups/{id}
  • GET /directoryObjects/{id}
  • POST /directoryObjects/getByIds

Tenga en cuenta que este cmdlet marcará ObjectType como Unknown en la salida si no se encuentra el objeto de asignación de roles o la cuenta actual no tiene privilegios suficientes para obtener el tipo de objeto.

Sintaxis

Remove-AzRoleAssignment
      -ObjectId <String>
      [-Scope <String>]
      -RoleDefinitionName <String>
      [-PassThru]
      [-SkipClientSideScopeValidation]
      [-DefaultProfile <IAzureContextContainer>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]
Remove-AzRoleAssignment
      -ObjectId <String>
      -ResourceGroupName <String>
      -ResourceName <String>
      -ResourceType <String>
      [-ParentResource <String>]
      -RoleDefinitionName <String>
      [-PassThru]
      [-SkipClientSideScopeValidation]
      [-DefaultProfile <IAzureContextContainer>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]
Remove-AzRoleAssignment
      -ObjectId <String>
      -ResourceGroupName <String>
      -RoleDefinitionName <String>
      [-PassThru]
      [-SkipClientSideScopeValidation]
      [-DefaultProfile <IAzureContextContainer>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]
Remove-AzRoleAssignment
      -ObjectId <String>
      [-Scope <String>]
      -RoleDefinitionName <String>
      [-PassThru]
      [-SkipClientSideScopeValidation]
      [-DefaultProfile <IAzureContextContainer>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]
Remove-AzRoleAssignment
      -ObjectId <String>
      [-Scope <String>]
      -RoleDefinitionId <Guid>
      [-PassThru]
      [-SkipClientSideScopeValidation]
      [-DefaultProfile <IAzureContextContainer>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]
Remove-AzRoleAssignment
      -SignInName <String>
      -ResourceGroupName <String>
      -ResourceName <String>
      -ResourceType <String>
      [-ParentResource <String>]
      -RoleDefinitionName <String>
      [-PassThru]
      [-SkipClientSideScopeValidation]
      [-DefaultProfile <IAzureContextContainer>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]
Remove-AzRoleAssignment
      -SignInName <String>
      -ResourceGroupName <String>
      -RoleDefinitionName <String>
      [-PassThru]
      [-SkipClientSideScopeValidation]
      [-DefaultProfile <IAzureContextContainer>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]
Remove-AzRoleAssignment
      -SignInName <String>
      [-Scope <String>]
      -RoleDefinitionName <String>
      [-PassThru]
      [-SkipClientSideScopeValidation]
      [-DefaultProfile <IAzureContextContainer>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]
Remove-AzRoleAssignment
      -ServicePrincipalName <String>
      -ResourceGroupName <String>
      -ResourceName <String>
      -ResourceType <String>
      [-ParentResource <String>]
      -RoleDefinitionName <String>
      [-PassThru]
      [-SkipClientSideScopeValidation]
      [-DefaultProfile <IAzureContextContainer>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]
Remove-AzRoleAssignment
      -ServicePrincipalName <String>
      -ResourceGroupName <String>
      -RoleDefinitionName <String>
      [-PassThru]
      [-SkipClientSideScopeValidation]
      [-DefaultProfile <IAzureContextContainer>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]
Remove-AzRoleAssignment
      -ServicePrincipalName <String>
      [-Scope <String>]
      -RoleDefinitionName <String>
      [-PassThru]
      [-SkipClientSideScopeValidation]
      [-DefaultProfile <IAzureContextContainer>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]
Remove-AzRoleAssignment
      [-PassThru]
      [-InputObject] <PSRoleAssignment>
      [-SkipClientSideScopeValidation]
      [-DefaultProfile <IAzureContextContainer>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]

Description

Use el commandlet Remove-AzRoleAssignment para revocar el acceso a cualquier entidad de seguridad en un ámbito determinado y un rol determinado. Objeto de la asignación, es decir, la entidad de seguridad DEBE especificarse. La entidad de seguridad puede ser un usuario (use parámetros SignInName o ObjectId para identificar un usuario), un grupo de seguridad (use el parámetro ObjectId para identificar un grupo) o una entidad de servicio (use los parámetros ServicePrincipalName o ObjectId para identificar un ServicePrincipal. El rol al que se asigna la entidad de seguridad debe especificarse mediante el parámetro RoleDefinitionName. El ámbito de la asignación PUEDE especificarse y, si no se especifica, el valor predeterminado es el ámbito de la suscripción, es decir, intentará eliminar una asignación a la entidad de seguridad y el rol especificados en el ámbito de la suscripción. El ámbito de la asignación se puede especificar mediante uno de los parámetros siguientes. a. Ámbito: este es el ámbito completo a partir de /subscriptions/<subscriptionId> b. ResourceGroupName: nombre de cualquier grupo de recursos de la suscripción. c. ResourceName, ResourceType, ResourceGroupName y (opcionalmente) ParentResource: identifica un recurso determinado en la suscripción.

Ejemplos

Ejemplo 1

Remove-AzRoleAssignment -ResourceGroupName rg1 -SignInName john.doe@contoso.com -RoleDefinitionName Reader

Quita una asignación de roles para john.doe@contoso.com quién se asigna al rol Lector en el ámbito del grupo de recursos rg1.

Ejemplo 2

Remove-AzRoleAssignment -ObjectId 00001111-aaaa-2222-bbbb-3333cccc4444 -RoleDefinitionName Reader

Quita la asignación de roles a la entidad de seguridad de grupo identificada por objectId y asignada al rol Lector. El valor predeterminado es usar la suscripción actual como ámbito para buscar la asignación que se va a eliminar.

Ejemplo 3

$roleassignment = Get-AzRoleAssignment |Select-Object -First 1 -Wait
Remove-AzRoleAssignment -InputObject $roleassignment

Quita el primer objeto de asignación de roles que se captura del commandlet Get-AzRoleAssignment.

Parámetros

-Confirm

Le solicita su confirmación antes de ejecutar el cmdlet.

Tipo:SwitchParameter
Alias:cf
Posición:Named
Valor predeterminado:None
Requerido:False
Aceptar entrada de canalización:False
Aceptar caracteres comodín:False

-DefaultProfile

Las credenciales, la cuenta, el inquilino y la suscripción que se usan para la comunicación con Azure

Tipo:IAzureContextContainer
Alias:AzContext, AzureRmContext, AzureCredential
Posición:Named
Valor predeterminado:None
Requerido:False
Aceptar entrada de canalización:False
Aceptar caracteres comodín:False

-InputObject

Objeto De asignación de roles.

Tipo:PSRoleAssignment
Posición:0
Valor predeterminado:None
Requerido:True
Aceptar entrada de canalización:True
Aceptar caracteres comodín:False

-ObjectId

Microsoft Entra ObjectId del usuario, grupo o entidad de servicio.

Tipo:String
Alias:Id, PrincipalId
Posición:Named
Valor predeterminado:None
Requerido:True
Aceptar entrada de canalización:True
Aceptar caracteres comodín:False

-ParentResource

El recurso primario de la jerarquía (del recurso especificado mediante el parámetro ResourceName), si existe. Debe usarse junto con los parámetros ResourceGroupName, ResourceType y ResourceName para construir un ámbito jerárquico en forma de un URI relativo que identifique el recurso.

Tipo:String
Posición:Named
Valor predeterminado:None
Requerido:False
Aceptar entrada de canalización:True
Aceptar caracteres comodín:False

-PassThru

Si se especifica, muestra la asignación de roles eliminada.

Tipo:SwitchParameter
Posición:Named
Valor predeterminado:None
Requerido:False
Aceptar entrada de canalización:False
Aceptar caracteres comodín:False

-ResourceGroupName

Nombre del grupo de recursos al que se asigna el rol. Intenta eliminar una asignación en el ámbito del grupo de recursos especificado. Cuando se usa junto con los parámetros ResourceName, ResourceType y (opcionalmente) ParentResource, el comando construye un ámbito jerárquico en forma de un URI relativo que identifica un recurso.

Tipo:String
Posición:Named
Valor predeterminado:None
Requerido:True
Aceptar entrada de canalización:True
Aceptar caracteres comodín:False

-ResourceName

Nombre del recurso. Por ejemplo, storageaccountprod. Debe usarse junto con los parámetros ResourceGroupName, ResourceType y (opcionalmente) ParentResource, para construir un ámbito jerárquico en forma de un URI relativo que identifique el recurso y elimine una asignación en ese ámbito.

Tipo:String
Posición:Named
Valor predeterminado:None
Requerido:True
Aceptar entrada de canalización:True
Aceptar caracteres comodín:False

-ResourceType

Tipo de recurso. Por ejemplo, Microsoft.Network/virtualNetworks. Debe usarse junto con los parámetros ResourceGroupName, ResourceName y (opcionalmente) ParentResource para construir un ámbito jerárquico en forma de un URI relativo que identifique el recurso y elimine una asignación en ese ámbito de recurso.

Tipo:String
Posición:Named
Valor predeterminado:None
Requerido:True
Aceptar entrada de canalización:True
Aceptar caracteres comodín:False

-RoleDefinitionId

Identificador del rol RBAC para el que se debe eliminar la asignación.

Tipo:Guid
Posición:Named
Valor predeterminado:None
Requerido:True
Aceptar entrada de canalización:True
Aceptar caracteres comodín:False

-RoleDefinitionName

Nombre del rol RBAC para el que se debe eliminar la asignación, es decir, Lector, Colaborador, Administrador de red virtual, etc.

Tipo:String
Posición:Named
Valor predeterminado:None
Requerido:True
Aceptar entrada de canalización:True
Aceptar caracteres comodín:False

-Scope

Ámbito de la asignación de roles que se va a eliminar. En el formato de URI relativo. Por ejemplo, "/subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG". Si no se especifica, intentará eliminar el rol en el nivel de suscripción. Si se especifica, debe comenzar con "/subscriptions/{id}".

Tipo:String
Posición:Named
Valor predeterminado:None
Requerido:False
Aceptar entrada de canalización:True
Aceptar caracteres comodín:False

-ServicePrincipalName

ServicePrincipalName de la aplicación Microsoft Entra

Tipo:String
Alias:SPN
Posición:Named
Valor predeterminado:None
Requerido:True
Aceptar entrada de canalización:True
Aceptar caracteres comodín:False

-SignInName

La dirección de correo electrónico o el nombre principal de usuario del usuario.

Tipo:String
Alias:Email, UserPrincipalName
Posición:Named
Valor predeterminado:None
Requerido:True
Aceptar entrada de canalización:True
Aceptar caracteres comodín:False

-SkipClientSideScopeValidation

Si se especifica, omita la validación del ámbito del lado cliente.

Tipo:SwitchParameter
Posición:Named
Valor predeterminado:None
Requerido:False
Aceptar entrada de canalización:False
Aceptar caracteres comodín:False

-WhatIf

Tipo:SwitchParameter
Alias:wi
Posición:Named
Valor predeterminado:None
Requerido:False
Aceptar entrada de canalización:False
Aceptar caracteres comodín:False

Entradas

String

Guid

PSRoleAssignment

Salidas

PSRoleAssignment

Notas

Palabras clave: azure, azurerm, arm, resource, management, manager, resource, group, template, deployment