Rimuovere le assegnazioni di ruolo di Azure

Il controllo degli accessi in base al ruolo di Azure è il sistema di autorizzazione che si usa per gestire l'accesso alle risorse di Azure. Per rimuovere l'accesso da una risorsa di Azure, rimuovere un'assegnazione di ruolo. Questo articolo descrive come rimuovere le assegnazioni di ruoli usando le portale di Azure, Azure PowerShell, l'interfaccia della riga di comando di Azure e l'API REST.

Prerequisiti

Per rimuovere le assegnazioni di ruolo, è necessario disporre di:

• Microsoft.Authorization/roleAssignments/deleteautorizzazioni, ad esempio Controllo di accesso Amministrazione istrator basato su ruoli

Per l'API REST, è necessario usare la versione seguente:

• 2015-07-01 o versioni successive

Per altre informazioni, vedere Versioni API delle API REST di Controllo degli accessi in base al ruolo di Azure.

Azure portal

1. Aprire Controllo di accesso (IAM) sull'ambito, come gruppo di gestione, sottoscrizione, gruppo di risorse o risorsa, in cui si intende rimuovere l'accesso.

2. Fare clic sulla scheda Assegnazioni di ruolo per visualizzare tutte le assegnazioni di ruolo in questo ambito.

3. Nell'elenco delle assegnazioni di ruolo aggiungere un segno di spunta accanto all'entità di sicurezza con l'assegnazione di ruolo che si vuole rimuovere.

   

4. Fare clic su Rimuovi.

   

5. Nella finestra con il messaggio di rimozione dell'assegnazione di ruolo fare clic su Sì.

   Se viene visualizzato un messaggio che indica che le assegnazioni di ruolo ereditate non possono essere rimosse, si sta tentando di rimuovere un'assegnazione di ruolo in un ambito figlio. È consigliabile aprire Controllo di accesso (IAM) nell'ambito in cui è stato assegnato il ruolo e riprovare. Un modo rapido per aprire Controllo di accesso (IAM) nell'ambito corretto consiste nell'esaminare la colonna Ambito e fare clic sul collegamento accanto a (Ereditato).

   

Azure PowerShell

In Azure PowerShell si rimuove un'assegnazione di ruolo usando Remove-AzRoleAssignment.

Nell'esempio seguente viene rimossa l'assegnazione di ruolo Collaboratore macchina virtuale dall'utente patlong@contoso.com nel gruppo di risorse pharma-sales :

PS C:\> Remove-AzRoleAssignment -SignInName patlong@contoso.com `
-RoleDefinitionName "Virtual Machine Contributor" `
-ResourceGroupName pharma-sales

Rimuove il ruolo Lettore dal gruppo Ann Mack Team con ID 222222222-2222-2222-2222-222222222222 in un ambito di sottoscrizione.

PS C:\> Remove-AzRoleAssignment -ObjectId 22222222-2222-2222-2222-222222222222 `
-RoleDefinitionName "Reader" `
-Scope "/subscriptions/00000000-0000-0000-0000-000000000000"

Rimuove il ruolo Lettore fatturazione dall'utente nell'ambito alain@example.com del gruppo di gestione.

PS C:\> Remove-AzRoleAssignment -SignInName alain@example.com `
-RoleDefinitionName "Billing Reader" `
-Scope "/providers/Microsoft.Management/managementGroups/marketing-group"

Se viene visualizzato il messaggio di errore : "Le informazioni fornite non eseguono il mapping a un'assegnazione di ruolo", assicurarsi di specificare anche i -Scope parametri o -ResourceGroupName . Per altre informazioni, vedere Risolvere i problemi relativi al controllo degli accessi in base al ruolo di Azure.

Interfaccia della riga di comando di Azure

Nell'interfaccia della riga di comando di Azure si rimuove un'assegnazione di ruolo usando az role assignment delete.

Nell'esempio seguente viene rimossa l'assegnazione di ruolo Collaboratore macchina virtuale dall'utente patlong@contoso.com nel gruppo di risorse pharma-sales :

az role assignment delete --assignee "patlong@contoso.com" \
--role "Virtual Machine Contributor" \
--resource-group "pharma-sales"

Rimuove il ruolo Lettore dal gruppo Ann Mack Team con ID 222222222-2222-2222-2222-222222222222 in un ambito di sottoscrizione.

az role assignment delete --assignee "22222222-2222-2222-2222-222222222222" \
--role "Reader" \
--scope "/subscriptions/00000000-0000-0000-0000-000000000000"

Rimuove il ruolo Lettore fatturazione dall'utente nell'ambito alain@example.com del gruppo di gestione.

az role assignment delete --assignee "alain@example.com" \
--role "Billing Reader" \
--scope "/providers/Microsoft.Management/managementGroups/marketing-group"

REST API

Nell'API REST si rimuove un'assegnazione di ruolo usando Assegnazioni di ruolo - Elimina.

1. Ottenere l'identificatore di assegnazione di ruolo (GUID). Questo identificatore viene restituito quando si crea l'assegnazione di ruolo per la prima volta oppure è possibile ottenerlo elencando le assegnazioni di ruolo.

2. Iniziare con la richiesta seguente:

   DELETE https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId}?api-version=2022-04-01
   

3. All'interno dell'URI sostituire {scope} con l'ambito per la rimozione dell'assegnazione di ruolo.

   Scope	Tipo
   providers/Microsoft.Management/managementGroups/{groupId1}	Gruppo di gestione
   subscriptions/{subscriptionId1}	Subscription
   subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1	Resource group
   subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1/providers/microsoft.web/sites/mysite1	Risorsa

4. Sostituire {roleAssignmentId} con l'identificatore GUID dell'assegnazione di ruolo.

La richiesta seguente rimuove l'assegnazione di ruolo specificata nell'ambito della sottoscrizione:

DELETE https://management.azure.com/subscriptions/{subscriptionId1}/providers/microsoft.authorization/roleassignments/{roleAssignmentId1}?api-version=2022-04-01

Il testo seguente è un esempio di output:

{
    "properties": {
        "roleDefinitionId": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleDefinitions/a795c7a0-d4a2-40c1-ae25-d81f01202912",
        "principalId": "{objectId1}",
        "principalType": "User",
        "scope": "/subscriptions/{subscriptionId1}",
        "condition": null,
        "conditionVersion": null,
        "createdOn": "2022-05-06T23:55:24.5379478Z",
        "updatedOn": "2022-05-06T23:55:24.5379478Z",
        "createdBy": "{createdByObjectId1}",
        "updatedBy": "{updatedByObjectId1}",
        "delegatedManagedIdentityResourceId": null,
        "description": null
    },
    "id": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId1}",
    "type": "Microsoft.Authorization/roleAssignments",
    "name": "{roleAssignmentId1}"
}

Modello ARM

Non esiste un modo per rimuovere un'assegnazione di ruolo usando un modello di Azure Resource Manager (modello di Resource Manager). Per rimuovere un'assegnazione di ruolo, è necessario usare altri strumenti, ad esempio la portale di Azure, Azure PowerShell, l'interfaccia della riga di comando di Azure o l'API REST.

Passaggi successivi

• Elencare le assegnazioni di ruolo di Azure usando il portale di Azure
• Elencare le assegnazioni di ruolo di Azure con Azure PowerShell
• Risolvere i problemi relativi al controllo degli accessi in base al ruolo di Azure