Remover atribuições de função do Azure

O controle de acesso baseado em função do Azure (Azure RBAC) é o sistema de autorização que você usa para gerenciar o acesso aos recursos do Azure. Para remover o acesso de um recurso do Azure, remova uma atribuição de função. Este artigo descreve como remover atribuições de funções usando o portal do Azure, o Azure PowerShell, a CLI do Azure e a API REST.

Pré-requisitos

Para remover atribuições de função, você deve ter:

• Microsoft.Authorization/roleAssignments/delete permissões, como Administrador de Controle de Acesso Baseado em Funções

Para a API REST, você deve usar a seguinte versão:

• 2015-07-01 ou mais tarde

Para mais informações, consulte Versões das APIs REST do Azure RBAC.

portal do Azure

1. Abra o controlo de acesso (IAM) num âmbito, como grupo de gestão, subscrição, grupo de recursos ou recurso, onde pretende remover o acesso.

2. Clique na guia Atribuições de função para exibir todas as atribuições de função neste escopo.

3. Na lista de atribuições de função, adicione uma marca de seleção ao lado da entidade de segurança com a atribuição de função que você deseja remover.

   

   Se quiser remover uma atribuição de função de Proprietário e essa atribuição tiver a seguinte descrição, deve também verificar se o utilizador tem uma atribuição clássica de função de administrador no separador Administradores Clássicos . Se o utilizador tiver uma atribuição clássica de função de administrador, deve também remover essa atribuição. Para mais informações, consulte Atribuição automática à função de Proprietário.

   • Descrição: The Classic Admin role was converted to an Azure Owner role on behalf of the user due to Classic Admin retirement

4. Clique em Remover.

   

5. Na mensagem de remoção de atribuição de função exibida, clique em Sim.

   Se vir uma mensagem a informar que as atribuições de função herdadas não podem ser removidas, está a tentar remover uma atribuição de função num nível inferior. Você deve abrir o controle de acesso (IAM) no escopo em que a função foi atribuída e tentar novamente. Uma maneira rápida de abrir o controle de acesso (IAM) no escopo correto é examinar a coluna Escopo e clicar no link ao lado de (Herdado).

   

Azure PowerShell

No Azure PowerShell, você remove uma atribuição de função usando Remove-AzRoleAssignment.

O exemplo a seguir remove a atribuição da função de Colaborador de Máquina Virtual do patlong@contoso.com usuário no grupo de recursos pharma-sales :

PS C:\> Remove-AzRoleAssignment -SignInName patlong@contoso.com `
-RoleDefinitionName "Virtual Machine Contributor" `
-ResourceGroupName pharma-sales

Remove a função Leitor do grupo Ann Mack Team com ID 22222222-2222-2222-2222-222222222222 num escopo de assinatura.

PS C:\> Remove-AzRoleAssignment -ObjectId 22222222-2222-2222-2222-222222222222 `
-RoleDefinitionName "Reader" `
-Scope "/subscriptions/00000000-0000-0000-0000-000000000000"

Remove a função Leitor de Faturamento do alain@example.com usuário no escopo do grupo de gerenciamento.

PS C:\> Remove-AzRoleAssignment -SignInName alain@example.com `
-RoleDefinitionName "Billing Reader" `
-Scope "/providers/Microsoft.Management/managementGroups/marketing-group"

Remove a função de Administrador de Acesso de Usuário com ID 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 da entidade de segurança com ID 33333333-3333-3333-3333-333333333333 no escopo da assinatura com ID 00000000-0000-0000-00000000000000.

PS C:\> Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 `
-RoleDefinitionId 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 `
-Scope /subscriptions/00000000-0000-0000-0000-000000000000

Se receber a mensagem de erro: "As informações fornecidas não são mapeadas para uma atribuição de função", certifique-se de especificar também os parâmetros -Scope ou -ResourceGroupName. Para obter mais informações, consulte Solucionar problemas do Azure RBAC.

Azure CLI (Interface de Linha de Comando da Azure)

Na CLI do Azure, você remove uma atribuição de função usando az role assignment delete.

O exemplo a seguir remove a atribuição da função de Colaborador de Máquina Virtual do patlong@contoso.com usuário no grupo de recursos pharma-sales :

az role assignment delete --assignee "patlong@contoso.com" \
--role "Virtual Machine Contributor" \
--resource-group "pharma-sales"

Remove a função Leitor do grupo Ann Mack Team com ID 22222222-2222-2222-2222-222222222222 num escopo de assinatura.

az role assignment delete --assignee "22222222-2222-2222-2222-222222222222" \
--role "Reader" \
--scope "/subscriptions/00000000-0000-0000-0000-000000000000"

Remove a função Leitor de Faturamento do alain@example.com usuário no escopo do grupo de gerenciamento.

az role assignment delete --assignee "alain@example.com" \
--role "Billing Reader" \
--scope "/providers/Microsoft.Management/managementGroups/marketing-group"

API REST

Na API REST, você remove uma atribuição de função usando Atribuições de função - Excluir.

1. Obtenha o identificador de atribuição de função (GUID). Esse identificador é retornado quando você cria a atribuição de função pela primeira vez ou pode obtê-lo listando as atribuições de função.

2. Comece com a seguinte solicitação:

   DELETE https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId}?api-version=2022-04-01
   

3. No URI, substitua {scope} pelo escopo para remover a atribuição de função.

   Scope	Tipo
   providers/Microsoft.Management/managementGroups/{groupId1}	Grupo de gestão
   subscriptions/{subscriptionId1}	Subscription
   subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1	Grupo de recursos
   subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1/providers/microsoft.web/sites/mysite1	Resource

4. Substitua {roleAssignmentId} pelo identificador GUID da atribuição de função.

   O seguinte pedido remove a atribuição de função especificada no âmbito da subscrição:

   DELETE https://management.azure.com/subscriptions/{subscriptionId1}/providers/microsoft.authorization/roleassignments/{roleAssignmentId1}?api-version=2022-04-01
   

   A seguir mostra um exemplo da saída:

   {
       "properties": {
           "roleDefinitionId": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleDefinitions/a795c7a0-d4a2-40c1-ae25-d81f01202912",
           "principalId": "{objectId1}",
           "principalType": "User",
           "scope": "/subscriptions/{subscriptionId1}",
           "condition": null,
           "conditionVersion": null,
           "createdOn": "2022-05-06T23:55:24.5379478Z",
           "updatedOn": "2022-05-06T23:55:24.5379478Z",
           "createdBy": "{createdByObjectId1}",
           "updatedBy": "{updatedByObjectId1}",
           "delegatedManagedIdentityResourceId": null,
           "description": null
       },
       "id": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId1}",
       "type": "Microsoft.Authorization/roleAssignments",
       "name": "{roleAssignmentId1}"
   }
   

modelo do ARM

Não há uma maneira de remover uma atribuição de função usando um modelo do Azure Resource Manager (modelo ARM). Para remover uma atribuição de função, você deve usar outras ferramentas, como o portal do Azure, o Azure PowerShell, a CLI do Azure ou a API REST.

Conteúdo relacionado

• Listar atribuições de função do Azure usando o portal do Azure
• Listar atribuições de função do Azure usando o Azure PowerShell
• Resolver problemas de RBAC do Azure