Udostępnij przez

Usuwanie przypisań ról platformy Azure

Kontrola dostępu oparta na rolach (RBAC) platformy Azure to system autoryzacji używany do zarządzania dostępem do zasobów platformy Azure. Aby usunąć dostęp z zasobu platformy Azure, należy usunąć przypisanie roli. W tym artykule opisano sposób usuwania przypisań ról przy użyciu witryny Azure Portal, programu Azure PowerShell, interfejsu wiersza polecenia platformy Azure i interfejsu API REST.

Wymagania wstępne

Aby usunąć przypisania ról, musisz mieć odpowiednie uprawnienia:

W przypadku interfejsu API REST należy użyć następującej wersji:

  • 2015-07-01 lub później

Więcej informacji można znaleźć w Wersjach interfejsów API REST RBAC platformy Azure.

Azure Portal

  1. Otwórz Kontrolę dostępu (IAM) w określonym zakresie, takim jak grupa zarządzania, subskrypcja, grupa zasobów lub zasób, w którym chcesz usunąć dostęp.

  2. Kliknij kartę Przypisania ról , aby wyświetlić wszystkie przypisania ról w tym zakresie.

  3. Na liście przypisań ról dodaj znacznik wyboru obok podmiotu zabezpieczeń z przypisaniem roli, które chcesz usunąć.

    Zrzut ekranu przedstawiający wybrane przypisanie roli do usunięcia.

    Jeśli chcesz usunąć przypisanie roli Właściciel i przypisanie roli ma następujący opis, sprawdź również, czy użytkownik ma również przypisanie roli klasycznego administratora na karcie Administratorzy klasyczni . Jeśli użytkownik ma przypisanie roli administratora klasycznego, należy również usunąć to przypisanie roli. Aby uzyskać więcej informacji, zobacz Automatyczne przypisywanie do roli właściciela.

    • opis: The Classic Admin role was converted to an Azure Owner role on behalf of the user due to Classic Admin retirement

  4. Kliknij przycisk Usuń.

    Zrzut ekranu przedstawiający komunikat o usunięciu przypisania roli.

  5. W wyświetlonym komunikacie usuwania przypisania roli kliknij przycisk Tak.

    Jeśli widzisz komunikat, że dziedziczone przypisania ról nie mogą zostać usunięte, próbujesz usunąć przypisanie roli w zakresie podrzędnym. Należy otworzyć pozycję Kontrola dostępu (IAM) w zakresie, w którym przypisano rolę, a następnie spróbować ponownie. Szybkim sposobem otwarcia kontroli dostępu (IAM) w prawidłowym zakresie jest przyjrzenie się kolumnie Zakres i kliknięcie linku obok pozycji (Dziedziczone).

    Zrzut ekranu przedstawiający komunikat usuwania przypisania roli dla dziedziczonych przypisań ról.

Azure PowerShell

W programie Azure PowerShell usuniesz przypisanie roli przy użyciu polecenia Remove-AzRoleAssignment.

Poniższy przykład usuwa przypisanie roli Współtwórca maszyn wirtualnych dla użytkownika w grupie zasobów patlong@contoso.com.

PS C:\> Remove-AzRoleAssignment -SignInName patlong@contoso.com `
-RoleDefinitionName "Virtual Machine Contributor" `
-ResourceGroupName pharma-sales

Usuwa rolę Czytelnik z grupy Ann Mack Team o identyfikatorze 22222222-2222-2222-2222-222222222222 w zakresie subskrypcji.

PS C:\> Remove-AzRoleAssignment -ObjectId 22222222-2222-2222-2222-222222222222 `
-RoleDefinitionName "Reader" `
-Scope "/subscriptions/00000000-0000-0000-0000-000000000000"

Usuwa rolę Czytelnik rozliczeń z alain@example.com użytkownika w zakresie grupy zarządzania.

PS C:\> Remove-AzRoleAssignment -SignInName alain@example.com `
-RoleDefinitionName "Billing Reader" `
-Scope "/providers/Microsoft.Management/managementGroups/marketing-group"

Usuwa rolę Administratora Dostępu Użytkownika o identyfikatorze 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 z podmiotu o identyfikatorze 33333333-3333-3333-3333-333333333333 w zakresie subskrypcji o identyfikatorze 00000000-0000-0000-0000-000000000000.

PS C:\> Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 `
-RoleDefinitionId 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 `
-Scope /subscriptions/00000000-0000-0000-0000-000000000000

Jeśli zostanie wyświetlony komunikat o błędzie: "Podane informacje nie odwzorowują przypisania roli", upewnij się, że określono parametry -Scope lub -ResourceGroupName. Aby uzyskać więcej informacji, zobacz sekcję Rozwiązywanie problemów z Azure RBAC.

Azure CLI

W interfejsie wiersza polecenia platformy Azure usuwasz przypisanie roli przy użyciu polecenia az role assignment delete.

Poniższy przykład usuwa przypisanie roli Współtwórca maszyn wirtualnych dla użytkownika w grupie zasobów patlong@contoso.com.

az role assignment delete --assignee "patlong@contoso.com" \
--role "Virtual Machine Contributor" \
--resource-group "pharma-sales"

Usuwa rolę Czytelnik z grupy Ann Mack Team o identyfikatorze 22222222-2222-2222-2222-222222222222 w zakresie subskrypcji.

az role assignment delete --assignee "22222222-2222-2222-2222-222222222222" \
--role "Reader" \
--scope "/subscriptions/00000000-0000-0000-0000-000000000000"

Usuwa rolę Czytelnik rozliczeń z alain@example.com użytkownika w zakresie grupy zarządzania.

az role assignment delete --assignee "alain@example.com" \
--role "Billing Reader" \
--scope "/providers/Microsoft.Management/managementGroups/marketing-group"

interfejs API REST

W interfejsie API REST usuniesz przypisanie roli przy użyciu przypisań ról — Usuń.

  1. Pobierz identyfikator przypisania roli (GUID). Ten identyfikator jest zwracany podczas pierwszego tworzenia przypisania roli lub można go uzyskać, wyświetlając listę przypisań ról.

  2. Zacznij od następującego żądania:

    DELETE https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId}?api-version=2022-04-01

  3. W identyfikatorze URI zastąp element {scope} zakresem usuwania przypisania roli.

    Scope Typ
    providers/Microsoft.Management/managementGroups/{groupId1} Grupa zarządzania
    subscriptions/{subscriptionId1} Subscription
    subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1 Grupa zasobów
    subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1/providers/microsoft.web/sites/mysite1 Resource

  4. Zastąp element {roleAssignmentId} identyfikatorem GUID przypisania roli.

    Następujące żądanie usuwa określone przypisanie roli w zakresie subskrypcji:

    DELETE https://management.azure.com/subscriptions/{subscriptionId1}/providers/microsoft.authorization/roleassignments/{roleAssignmentId1}?api-version=2022-04-01

    Poniżej przedstawiono przykład danych wyjściowych:

    {
    "properties": {
        "roleDefinitionId": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleDefinitions/a795c7a0-d4a2-40c1-ae25-d81f01202912",
        "principalId": "{objectId1}",
        "principalType": "User",
        "scope": "/subscriptions/{subscriptionId1}",
        "condition": null,
        "conditionVersion": null,
        "createdOn": "2022-05-06T23:55:24.5379478Z",
        "updatedOn": "2022-05-06T23:55:24.5379478Z",
        "createdBy": "{createdByObjectId1}",
        "updatedBy": "{updatedByObjectId1}",
        "delegatedManagedIdentityResourceId": null,
        "description": null
    },
    "id": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId1}",
    "type": "Microsoft.Authorization/roleAssignments",
    "name": "{roleAssignmentId1}"
}

szablon usługi ARM

Nie ma możliwości usunięcia przypisania roli przy użyciu szablonu usługi Azure Resource Manager (szablonu usługi ARM). Aby usunąć przypisanie roli, należy użyć innych narzędzi, takich jak witryna Azure Portal, program Azure PowerShell, interfejs wiersza polecenia platformy Azure lub interfejs API REST.

Treści powiązane

  • Last updated on