Eliminación de asignaciones de roles de Azure

El control de acceso basado en rol de Azure (Azure RBAC) es el sistema de autorización que se usa para administrar el acceso a los recursos de Azure. Para quitar el acceso de un recurso de Azure, se elimina una asignación de rol. En este artículo se describe cómo quitar asignaciones de roles mediante Azure Portal, Azure PowerShell, la CLI de Azure y la API REST.

Prerrequisitos

Para quitar las asignaciones de roles, debe tener:

• Microsoft.Authorization/roleAssignments/delete permisos, como Administrador de control de acceso basado en roles

Para la API REST, debe usar la siguiente versión:

• 2015-07-01 o posterior

Para más información, consulte Versiones de API de REST de RBAC de Azure.

Portal de Azure

1. Abra el control de acceso (IAM) en un ámbito, como el grupo de administración, la suscripción, el grupo de recursos o el recurso, donde desea quitar el acceso.

2. Haga clic en la pestaña Asignaciones de roles para ver todas las asignaciones de roles en este ámbito.

3. En la lista de asignaciones de rol, agregue una marca de verificación junto al principal de seguridad con la asignación de rol que desea quitar.

   

   Si desea quitar una asignación de roles propietario y esa asignación de roles tiene la siguiente descripción, también debe comprobar si el usuario también tiene una asignación de roles de administrador clásico en la pestaña Administradores clásicos . Si el usuario tiene una asignación de roles de administrador clásica, también debe quitar esa asignación de roles. Para obtener más información, consulte Asignación automática del rol de Propietario.

   • descripción: The Classic Admin role was converted to an Azure Owner role on behalf of the user due to Classic Admin retirement

4. Haga clic en Quitar.

   

5. En el mensaje de eliminar la asignación de roles que aparece, haga clic en Sí.

   Si ve un mensaje que indica que las asignaciones de roles heredadas no se pueden quitar, significa que intenta quitar una asignación de roles en un ámbito secundario. Debe abrir el control de acceso (IAM) en el ámbito en el que se asignó el rol e intentarlo de nuevo. Una forma rápida de abrir el control de acceso (IAM) en el ámbito correcto es examinar la columna Ámbito y hacer clic en el vínculo situado junto a (Heredado).

   

Azure PowerShell

En Azure PowerShell, quitas una asignación de roles mediante Remove-AzRoleAssignment.

En el ejemplo siguiente, se quita la asignación del rol Colaborador de la máquina virtual del usuario patlong@contoso.com en el grupo de recursos pharma-sales:

PS C:\> Remove-AzRoleAssignment -SignInName patlong@contoso.com `
-RoleDefinitionName "Virtual Machine Contributor" `
-ResourceGroupName pharma-sales

Quita el rol Lector del grupo Ann Mack Team con el id. 22222222-2222-2222-2222-222222222222 en el ámbito de suscripción.

PS C:\> Remove-AzRoleAssignment -ObjectId 22222222-2222-2222-2222-222222222222 `
-RoleDefinitionName "Reader" `
-Scope "/subscriptions/00000000-0000-0000-0000-000000000000"

Quita el rol Lector de facturación del usuario alain@example.com en el ámbito del grupo de administración.

PS C:\> Remove-AzRoleAssignment -SignInName alain@example.com `
-RoleDefinitionName "Billing Reader" `
-Scope "/providers/Microsoft.Management/managementGroups/marketing-group"

Quita el rol Administrador de Acceso de Usuario con el identificador 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 del principal con el identificador 33333333-3333-3333-3333-333333333333 en el ámbito de la suscripción con el identificador 00000000-0000-0000-0000-000000000000.

PS C:\> Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 `
-RoleDefinitionId 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 `
-Scope /subscriptions/00000000-0000-0000-0000-000000000000

Si recibe el mensaje de error: "La información proporcionada no se asigna a una asignación de rol", asegúrese de especificar también los parámetros -Scope o -ResourceGroupName. Para más información, consulte Solución de problemas de RBAC de Azure.

CLI de Azure

En la CLI de Azure, para quitar una asignación de roles, use az role assignment delete.

En el ejemplo siguiente, se quita la asignación del rol Colaborador de la máquina virtual del usuario patlong@contoso.com en el grupo de recursos pharma-sales:

az role assignment delete --assignee "patlong@contoso.com" \
--role "Virtual Machine Contributor" \
--resource-group "pharma-sales"

Quita el rol Lector del grupo Ann Mack Team con el id. 22222222-2222-2222-2222-222222222222 en el ámbito de suscripción.

az role assignment delete --assignee "22222222-2222-2222-2222-222222222222" \
--role "Reader" \
--scope "/subscriptions/00000000-0000-0000-0000-000000000000"

Quita el rol Lector de facturación del usuario alain@example.com en el ámbito del grupo de administración.

az role assignment delete --assignee "alain@example.com" \
--role "Billing Reader" \
--scope "/providers/Microsoft.Management/managementGroups/marketing-group"

REST API

En la API REST, se quita una asignación de roles mediante Asignaciones de roles: eliminar.

1. Obtenga el identificador de asignación de roles (GUID). Este identificador se devuelve cuando crea por primera vez la asignación de roles o puede obtenerlo enumerando las asignaciones de roles.

2. Comience con la solicitud siguiente:

   DELETE https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId}?api-version=2022-04-01
   

3. En el identificador URI, reemplace {scope} por el ámbito para eliminar la asignación de roles.

   Ámbito	Tipo
   providers/Microsoft.Management/managementGroups/{groupId1}	Grupo de administración
   subscriptions/{subscriptionId1}	Subscription
   subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1	Grupo de recursos
   subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1/providers/microsoft.web/sites/mysite1	Resource

4. Reemplace {roleAssignmentId} por el identificador GUID de la asignación de roles.

   La siguiente solicitud quita la asignación de roles especificada en el ámbito de la suscripción:

   DELETE https://management.azure.com/subscriptions/{subscriptionId1}/providers/microsoft.authorization/roleassignments/{roleAssignmentId1}?api-version=2022-04-01
   

   A continuación se muestra un ejemplo de la salida:

   {
       "properties": {
           "roleDefinitionId": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleDefinitions/a795c7a0-d4a2-40c1-ae25-d81f01202912",
           "principalId": "{objectId1}",
           "principalType": "User",
           "scope": "/subscriptions/{subscriptionId1}",
           "condition": null,
           "conditionVersion": null,
           "createdOn": "2022-05-06T23:55:24.5379478Z",
           "updatedOn": "2022-05-06T23:55:24.5379478Z",
           "createdBy": "{createdByObjectId1}",
           "updatedBy": "{updatedByObjectId1}",
           "delegatedManagedIdentityResourceId": null,
           "description": null
       },
       "id": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId1}",
       "type": "Microsoft.Authorization/roleAssignments",
       "name": "{roleAssignmentId1}"
   }
   

ARM template

No hay ninguna manera de quitar una asignación de roles mediante una plantilla de Azure Resource Manager (plantilla de ARM). Para quitar una asignación de roles, debe usar otras herramientas como Azure Portal, Azure PowerShell, la CLI de Azure o la API REST.

Contenido relacionado

• Enumeración de asignaciones de roles de Azure mediante Azure Portal
• Enumeración de asignaciones de roles de Azure mediante Azure PowerShell
• Solución de problemas de RBAC de Azure