إزالة تعيينات دور Azure

  • مقالة
  • قراءة خلال 2 دقائق

Azure role based access control (Azure RBAC) هو نظام التخويل الذي تستخدمه لإدارة الوصول إلى موارد Azure. لإزالة الوصول من مورد Azure، يمكنك إزالة تعيين دور. توضح هذه المقالة كيفية إزالة تعيينات الأدوار باستخدام مدخل Azure وAzure PowerShell وAzure CLI وREST API.

المتطلبات الأساسية

لإزالة تعيينات الأدوار، يجب أن يكون لديك:

مدخل Azure

  1. افتح التحكم في الوصول (IAM) في نطاق، مثل مجموعة الإدارة أو الاشتراك أو مجموعة الموارد أو المورد، حيث تريد إزالة الوصول.

  2. انقر فوق علامة التبويب تعيينات الدور لعرض كافة تعيينات الأدوار في هذا النطاق.

  3. في قائمة تعيينات الأدوار، أضف علامة اختيار بجوار مدير الأمان مع تعيين الدور الذي تريد إزالته.

    Role assignment selected to be removed

  4. انقر فوق ⁧Remove⁩⁧⁩.

    Remove role assignment message

  5. في رسالة إزالة تعيين الدور التي تظهر، انقر فوق ⁧⁩نعم⁧⁩.

    إذا ظهرت لك رسالة تفيد بأنه لا يمكن إزالة تعيينات الأدوار الموروثة، فهذا يعني أنك تحاول إزالة تعيين دور في نطاق تابع. يجب عليك فتح التحكم في الوصول (IAM) في النطاق الذي تم فيه تعيين الدور والمحاولة مرة أخرى. هناك طريقة سريعة لفتح التحكم في الوصول (IAM) في النطاق الصحيح وهي إلقاء نظرة على عمود النطاق والنقر فوق الارتباط الموجود بجوار (موروث)".

    Remove role assignment message for inherited role assignments

Azure PowerShell

في Azure PowerShell، يمكنك إزالة تعيين دور باستخدام Remove-AzRoleAssignment.

يزيل المثال التالي تعيين دور "مساهم الجهاز الظاهري " من المستخدم في patlong@contoso.com مجموعة موارد مبيعات الأدوية :

PS C:\> Remove-AzRoleAssignment -SignInName patlong@contoso.com `
-RoleDefinitionName "Virtual Machine Contributor" `
-ResourceGroupName pharma-sales

إزالة دور القارئ من مجموعة فريق آن ماك باستخدام المعرف 2222222-2222-2222-2222-22222-2222222222-22222222-222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222

PS C:\> Remove-AzRoleAssignment -ObjectId 22222222-2222-2222-2222-222222222222 `
-RoleDefinitionName "Reader" `
-Scope "/subscriptions/00000000-0000-0000-0000-000000000000"

يزيل دور قارئ الفوترة من alain@example.com المستخدم في نطاق مجموعة الإدارة.

PS C:\> Remove-AzRoleAssignment -SignInName alain@example.com `
-RoleDefinitionName "Billing Reader" `
-Scope "/providers/Microsoft.Management/managementGroups/marketing-group"

إذا تلقيت رسالة الخطأ: "المعلومات المقدمة لا يتم تعيينها إلى تعيين دور"، فتأكد أيضا من تحديد المعلمات أو -ResourceGroupName المعلمات-Scope. للحصول على مزيدٍ من المعلومات، راجع استكشاف أخطاء Azure RBAC وإصلاحها.

Azure CLI

في Azure CLI، يمكنك إزالة تعيين دور باستخدام az role assignment delete.

يزيل المثال التالي تعيين دور "مساهم الجهاز الظاهري " من المستخدم في patlong@contoso.com مجموعة موارد مبيعات الأدوية :

az role assignment delete --assignee "patlong@contoso.com" \
--role "Virtual Machine Contributor" \
--resource-group "pharma-sales"

إزالة دور القارئ من مجموعة فريق آن ماك باستخدام المعرف 2222222-2222-2222-2222-22222-2222222222-22222222-222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222

az role assignment delete --assignee "22222222-2222-2222-2222-222222222222" \
--role "Reader" \
--subscription "00000000-0000-0000-0000-000000000000"

يزيل دور قارئ الفوترة من alain@example.com المستخدم في نطاق مجموعة الإدارة.

az role assignment delete --assignee "alain@example.com" \
--role "Billing Reader" \
--scope "/providers/Microsoft.Management/managementGroups/marketing-group"

REST API

في واجهة برمجة تطبيقات REST، يمكنك إزالة تعيين دور باستخدام تعيينات الدور - حذف.

  1. احصل على معرف تعيين الدور (GUID). يتم إرجاع هذا المعرف عند إنشاء تعيين الدور لأول مرة أو يمكنك الحصول عليه عن طريق سرد تعيينات الدور.

  2. ابدأ بالطلب التالي:

    DELETE https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId}?api-version=2015-07-01

  3. داخل عنوان URI، استبدل {scope} بنطاق إزالة تعيين الدور.

    النطاق النوع
    providers/Microsoft.Management/managementGroups/{groupId1} مجموعة الإدارة
    subscriptions/{subscriptionId1} الاشتراك
    subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1 مجموعة الموارد
    subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1/providers/microsoft.web/sites/mysite1 المورد

  4. استبدل {roleAssignmentId} بمعرف المعرف الفريد العمومي لتعيين الدور.

يزيل الطلب التالي تعيين الدور المحدد في نطاق الاشتراك:

DELETE https://management.azure.com/subscriptions/{subscriptionId1}/providers/microsoft.authorization/roleassignments/{roleAssignmentId1}?api-version=2015-07-01

يوضح ما يلي مثالا على الإخراج:

{
    "properties": {
        "roleDefinitionId": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleDefinitions/a795c7a0-d4a2-40c1-ae25-d81f01202912",
        "principalId": "{objectId1}",
        "scope": "/subscriptions/{subscriptionId1}",
        "createdOn": "2020-05-06T23:55:24.5379478Z",
        "updatedOn": "2020-05-06T23:55:24.5379478Z",
        "createdBy": "{createdByObjectId1}",
        "updatedBy": "{updatedByObjectId1}"
    },
    "id": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId1}",
    "type": "Microsoft.Authorization/roleAssignments",
    "name": "{roleAssignmentId1}"
}

قالب ARM

لا توجد طريقة لإزالة تعيين دور باستخدام قالب Azure Resource Manager (قالب ARM). لإزالة تعيين دور، يجب عليك استخدام أدوات أخرى مثل مدخل Azure أو Azure PowerShell أو Azure CLI أو REST API.

الخطوات التالية