Edytuj

Udostępnij za pośrednictwem

Usuwanie przypisań ról platformy Azure

  • Porady

Kontrola dostępu oparta na rolach (RBAC) platformy Azure to system autoryzacji używany do zarządzania dostępem do zasobów platformy Azure. Aby usunąć dostęp z zasobu platformy Azure, należy usunąć przypisanie roli. W tym artykule opisano sposób usuwania przypisań ról przy użyciu witryny Azure Portal, programu Azure PowerShell, interfejsu wiersza polecenia platformy Azure i interfejsu API REST.

Wymagania wstępne

Aby usunąć przypisania ról, musisz mieć następujące elementy:

W przypadku interfejsu API REST należy użyć następującej wersji:

  • 2015-07-01 lub nowsze

Aby uzyskać więcej informacji, zobacz Wersje interfejsów API rest kontroli dostępu opartej na rolach platformy Azure.

Witryna Azure Portal

Wykonaj te kroki:

  1. Otwórz obszar Kontrola dostępu (IAM) w zakresie, takim jak grupa zarządzania, subskrypcja, grupa zasobów lub zasób, w którym chcesz usunąć dostęp.

  2. Kliknij kartę Przypisania ról, aby wyświetlić wszystkie przypisania ról w tym zakresie.

  3. Na liście przypisań ról dodaj znacznik wyboru obok podmiotu zabezpieczeń z przypisaniem roli, które chcesz usunąć.

    Zrzut ekranu przedstawiający wybrane przypisanie roli do usunięcia.

  4. Kliknij Usuń.

    Zrzut ekranu przedstawiający komunikat o usunięciu przypisania roli.

  5. W wyświetlonym komunikacie dotyczącym usuwania przypisania roli wybierz pozycję Tak.

    Jeśli zostanie wyświetlony komunikat, który nie może zostać usunięty dziedziczone przypisania ról, próbujesz usunąć przypisanie roli w zakresie podrzędnym. Należy otworzyć pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami) w zakresie, w którym przypisano rolę, i spróbuj ponownie. Szybkim sposobem otwarcia kontroli dostępu (IAM) w prawidłowym zakresie jest przyjrzenie się kolumnie Zakres i kliknięcie linku obok pozycji (Dziedziczone).

    Zrzut ekranu przedstawiający komunikat usuwania przypisania roli dla dziedziczych przypisań ról.

Azure PowerShell

W programie Azure PowerShell usuniesz przypisanie roli przy użyciu polecenia Remove-AzRoleAssignment.

Poniższy przykład usuwa przypisanie roli Współautor maszyny wirtualnej z patlong@contoso.com użytkownika w grupie zasobów pharma-sales :

PS C:\> Remove-AzRoleAssignment -SignInName patlong@contoso.com `
-RoleDefinitionName "Virtual Machine Contributor" `
-ResourceGroupName pharma-sales

Removes the Reader role from the Ann Mack Team group with ID 22222222-2222-2222-2222-222222222222 at a subscription scope.

PS C:\> Remove-AzRoleAssignment -ObjectId 22222222-2222-2222-2222-222222222222 `
-RoleDefinitionName "Reader" `
-Scope "/subscriptions/00000000-0000-0000-0000-000000000000"

Removes the Billing Reader role from the alain@example.com user at the management group scope.

PS C:\> Remove-AzRoleAssignment -SignInName alain@example.com `
-RoleDefinitionName "Billing Reader" `
-Scope "/providers/Microsoft.Management/managementGroups/marketing-group"

Removes the User Access Administrator role with ID 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 from the principal with ID 33333333-3333-3333-3333-333333333333 at subscription scope with ID 00000000-0000-0000-0000-000000000000.

PS C:\> Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 `
-RoleDefinitionId 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 `
-Scope /subscriptions/00000000-0000-0000-0000-000000000000

If you get the error message: "The provided information does not map to a role assignment", make sure that you also specify the -Scope or -ResourceGroupName parameters. For more information, see Troubleshoot Azure RBAC.

Interfejs wiersza polecenia platformy Azure

W interfejsie wiersza polecenia platformy Azure usuwasz przypisanie roli przy użyciu polecenia az role assignment delete.

Poniższy przykład usuwa przypisanie roli Współautor maszyny wirtualnej z patlong@contoso.com użytkownika w grupie zasobów pharma-sales :

az role assignment delete --assignee "patlong@contoso.com" \
--role "Virtual Machine Contributor" \
--resource-group "pharma-sales"

Removes the Reader role from the Ann Mack Team group with ID 22222222-2222-2222-2222-222222222222 at a subscription scope.

az role assignment delete --assignee "22222222-2222-2222-2222-222222222222" \
--role "Reader" \
--scope "/subscriptions/00000000-0000-0000-0000-000000000000"

Removes the Billing Reader role from the alain@example.com user at the management group scope.

az role assignment delete --assignee "alain@example.com" \
--role "Billing Reader" \
--scope "/providers/Microsoft.Management/managementGroups/marketing-group"

INTERFEJS API REST

W interfejsie API REST usuniesz przypisanie roli przy użyciu przypisań ról — Usuń.

  1. Pobierz identyfikator przypisania roli (GUID). Ten identyfikator jest zwracany podczas pierwszego tworzenia przypisania roli lub można go uzyskać, wyświetlając listę przypisań ról.

  2. Zacznij od następującego żądania:

    DELETE https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId}?api-version=2022-04-01

  3. W identyfikatorze URI zastąp element {scope} zakresem usuwania przypisania roli.

    Scope Typ
    providers/Microsoft.Management/managementGroups/{groupId1} Grupa zarządzania
    subscriptions/{subscriptionId1} Subskrypcja
    subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1 Grupa zasobów
    subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1/providers/microsoft.web/sites/mysite1 Zasób

  4. Zastąp element {roleAssignmentId} identyfikatorem GUID przypisania roli.

    Następujące żądanie usuwa określone przypisanie roli w zakresie subskrypcji:

    DELETE https://management.azure.com/subscriptions/{subscriptionId1}/providers/microsoft.authorization/roleassignments/{roleAssignmentId1}?api-version=2022-04-01

    Poniżej przedstawiono przykład danych wyjściowych:

    {
    "properties": {
        "roleDefinitionId": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleDefinitions/a795c7a0-d4a2-40c1-ae25-d81f01202912",
        "principalId": "{objectId1}",
        "principalType": "User",
        "scope": "/subscriptions/{subscriptionId1}",
        "condition": null,
        "conditionVersion": null,
        "createdOn": "2022-05-06T23:55:24.5379478Z",
        "updatedOn": "2022-05-06T23:55:24.5379478Z",
        "createdBy": "{createdByObjectId1}",
        "updatedBy": "{updatedByObjectId1}",
        "delegatedManagedIdentityResourceId": null,
        "description": null
    },
    "id": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId1}",
    "type": "Microsoft.Authorization/roleAssignments",
    "name": "{roleAssignmentId1}"
}

    Szablon ARM

    Nie ma możliwości usunięcia przypisania roli przy użyciu szablonu usługi Azure Resource Manager (szablonu usługi ARM). Aby usunąć przypisanie roli, należy użyć innych narzędzi, takich jak witryna Azure Portal, program Azure PowerShell, interfejs wiersza polecenia platformy Azure lub interfejs API REST.

Powiązana zawartość