Partager via

Supprimer les attributions de rôles Azure

Le contrôle d’accès en fonction du rôle Azure (Azure RBAC) est le système d’autorisation que vous utilisez pour gérer l’accès aux ressources Azure. Pour supprimer l’accès d’une ressource Azure, vous supprimez une attribution de rôle. Cet article explique comment supprimer des attributions de rôles à l’aide du portail Azure, d’Azure PowerShell, d’Azure CLI et de l’API REST.

Prerequisites

Pour supprimer des attributions de rôles, vous devez disposer des éléments suivants :

Pour l’API REST, vous devez utiliser la version suivante :

  • 2015-07-01 ou ultérieur

Pour plus d’informations, consultez Versions des API REST RBAC Azure.

Portail Azure

  1. Ouvrez le contrôle d’accès (IAM) dans une étendue, telle que le groupe d’administration, l’abonnement, le groupe de ressources ou la ressource, où vous souhaitez supprimer l’accès.

  2. Cliquez sur l’onglet Attributions de rôles pour afficher toutes les attributions de rôles dans cette étendue.

  3. Dans la liste des attributions de rôles, ajoutez une coche en regard du principal de sécurité avec l’attribution de rôle que vous souhaitez supprimer.

    Capture d’écran de l’attribution de rôle sélectionnée pour être supprimée.

    Si vous souhaitez supprimer une attribution de rôle Propriétaire et que cette attribution de rôle a la description suivante, vous devez également vérifier si l’utilisateur dispose également d’une attribution de rôle d’administrateur classique sous l’onglet Administrateurs classiques . Si l’utilisateur a une attribution de rôle d’administrateur classique, vous devez également supprimer cette attribution de rôle. Pour plus d’informations, consultez Attribution automatique au rôle Propriétaire.

    • description: The Classic Admin role was converted to an Azure Owner role on behalf of the user due to Classic Admin retirement

  4. Cliquez sur Supprimer.

    Capture d’écran de la suppression du message d’attribution de rôle.

  5. Dans le message supprimer l’attribution de rôle qui s’affiche, cliquez sur Oui.

    Si vous voyez un message indiquant que les attributions de rôles héritées ne peuvent pas être supprimées, vous essayez de supprimer une attribution de rôle dans une étendue enfant. Vous devez ouvrir le contrôle d’accès (IAM) à l'endroit où le rôle a été affecté et réessayer. Un moyen rapide d'ouvrir le contrôle d'accès (IAM) à l’étendue appropriée consiste à consulter la colonne Étendue et à cliquer sur le lien en regard (hérité).

    Capture d’écran de la suppression du message d’attribution de rôle pour les attributions de rôles héritées.

Azure PowerShell

Dans Azure PowerShell, vous supprimez une attribution de rôle à l’aide de Remove-AzRoleAssignment.

L’exemple suivant supprime l’attribution de rôle Contributeur de machine virtuelle de l’utilisateur patlong@contoso.com sur le groupe de ressources pharma-sales :

PS C:\> Remove-AzRoleAssignment -SignInName patlong@contoso.com `
-RoleDefinitionName "Virtual Machine Contributor" `
-ResourceGroupName pharma-sales

Retire le rôle Lecteur au groupe Ann Mack Team associé à l’ID 22222222-2222-2222-2222-222222222222 dans l’étendue d’un abonnement.

PS C:\> Remove-AzRoleAssignment -ObjectId 22222222-2222-2222-2222-222222222222 `
-RoleDefinitionName "Reader" `
-Scope "/subscriptions/00000000-0000-0000-0000-000000000000"

Supprime le rôle Lecteur de facturation de cet utilisateur à l’étendue alain@example.com du groupe de gestion.

PS C:\> Remove-AzRoleAssignment -SignInName alain@example.com `
-RoleDefinitionName "Billing Reader" `
-Scope "/providers/Microsoft.Management/managementGroups/marketing-group"

Supprime le rôle Administrateur de l’accès utilisateur avec l'ID 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 du principal avec l’ID 33333333-3333-3333-3333-333333333333 à l’étendue de l’abonnement avec l’ID 00000000-0000-0000-0000-000000000000.

PS C:\> Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 `
-RoleDefinitionId 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 `
-Scope /subscriptions/00000000-0000-0000-0000-000000000000

Si vous recevez le message d'erreur : « Les informations fournies ne correspondent pas à une attribution de rôle », assurez-vous de spécifier également les paramètres -Scope ou -ResourceGroupName. Pour plus d’informations, consultez Résoudre les problèmes liés à RBAC Azure.

Azure CLI

Dans Azure CLI, vous supprimez une attribution de rôle à l’aide d’az role assignment delete.

L’exemple suivant supprime l’attribution de rôle Contributeur de machine virtuelle de l’utilisateur patlong@contoso.com sur le groupe de ressources pharma-sales :

az role assignment delete --assignee "patlong@contoso.com" \
--role "Virtual Machine Contributor" \
--resource-group "pharma-sales"

Retire le rôle Lecteur au groupe Ann Mack Team associé à l’ID 22222222-2222-2222-2222-222222222222 dans l’étendue d’un abonnement.

az role assignment delete --assignee "22222222-2222-2222-2222-222222222222" \
--role "Reader" \
--scope "/subscriptions/00000000-0000-0000-0000-000000000000"

Supprime le rôle Lecteur de facturation de cet utilisateur à l’étendue alain@example.com du groupe de gestion.

az role assignment delete --assignee "alain@example.com" \
--role "Billing Reader" \
--scope "/providers/Microsoft.Management/managementGroups/marketing-group"

REST API

Dans l’API REST, vous supprimez une attribution de rôle à l’aide des attributions de rôles - Supprimer.

  1. Obtenez l’identificateur d’attribution de rôle (GUID). Cet identificateur est retourné lorsque vous créez d’abord l’attribution de rôle ou que vous pouvez l’obtenir en répertoriant les attributions de rôles.

  2. Commencez par la requête suivante :

    DELETE https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId}?api-version=2022-04-01

  3. Dans l’URI, remplacez {scope} par le périmètre pour supprimer l’attribution de rôle.

    Scope Type
    providers/Microsoft.Management/managementGroups/{groupId1} Groupe d’administration
    subscriptions/{subscriptionId1} Subscription
    subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1 groupe de ressources
    subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1/providers/microsoft.web/sites/mysite1 Resource

  4. Remplacez {roleAssignmentId} par l’identificateur GUID de l’attribution de rôle.

    La requête suivante supprime l’attribution de rôle spécifiée dans l’étendue de l’abonnement :

    DELETE https://management.azure.com/subscriptions/{subscriptionId1}/providers/microsoft.authorization/roleassignments/{roleAssignmentId1}?api-version=2022-04-01

    Voici un exemple de sortie :

    {
    "properties": {
        "roleDefinitionId": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleDefinitions/a795c7a0-d4a2-40c1-ae25-d81f01202912",
        "principalId": "{objectId1}",
        "principalType": "User",
        "scope": "/subscriptions/{subscriptionId1}",
        "condition": null,
        "conditionVersion": null,
        "createdOn": "2022-05-06T23:55:24.5379478Z",
        "updatedOn": "2022-05-06T23:55:24.5379478Z",
        "createdBy": "{createdByObjectId1}",
        "updatedBy": "{updatedByObjectId1}",
        "delegatedManagedIdentityResourceId": null,
        "description": null
    },
    "id": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId1}",
    "type": "Microsoft.Authorization/roleAssignments",
    "name": "{roleAssignmentId1}"
}

ARM template

Il n’existe aucun moyen de supprimer une attribution de rôle à l’aide d’un modèle Azure Resource Manager (modèle ARM). Pour supprimer une attribution de rôle, vous devez utiliser d’autres outils tels que le portail Azure, Azure PowerShell, Azure CLI ou l’API REST.

Contenu connexe

  • Last updated on