Удаление доступа к делегированию

  • Статья

После делегирования подписки или группы ресурсов клиента поставщику услуг для Azure Lighthouse при необходимости делегирование можно удалить. После удаления делегирования доступ к функции Управление ресурсами делегирования Azure, который ранее был предоставлен пользователям клиента поставщика услуг, больше не будет предоставляться.

Удаление делегирования может осуществляться пользователем на клиенте поставщика услуг или клиента при условии, что у пользователя есть соответствующие разрешения.

Совет

Хотя в этом разделе мы будем упоминать поставщиков услуг и их заказчиков, предприятия, управляющие несколькими клиентами, могут использовать такие же процессы.

Важно!

Если подписка клиента имеет несколько делегирований от одного поставщика услуг, удаление одного делегирования может привести к тому, что пользователи потеряют доступ, предоставленный через другие делегирования. Это происходит только в том случае, если одно и то же principalId сочетание включается roleDefinitionId в несколько делегирований, а затем удаляется одна из них. Чтобы устранить эту проблему, повторите процесс подключения для делегирований, которые вы не удаляете.

Клиенты

Пользователи клиента, имеющие роль с разрешением Microsoft.Authorization/roleAssignments/write, например Владелец, могут удалить доступ поставщика услуг к этой подписке (или группам ресурсов в этой подписке). Для этого пользователь может открыть страницу Поставщики услуг на портале Azure, найти предложение на экране Предложения поставщика услуг и выбрать значок корзины в строке для этого предложения.

После подтверждения удаления пользователи клиента поставщика услуг не смогут получить доступ к ресурсам, которые были ранее делегированы.

Поставщики услуг

Пользователи управляющего клиента могут удалить доступ к делегированным ресурсам, если им была предоставлена роль Удаление назначенных регистраций управляемых служб для ресурсов клиента. Если эта роль не назначена ни одному из пользователей поставщика услуг, делегирование может быть удалено только пользователем в клиенте клиента.

В этом примере показано назначение, предоставляющее роль удаления назначения регистрации управляемых служб , которая может быть включена в файл параметров во время процесса подключения:

    "authorizations": [ 
        { 
            "principalId": "cfa7496e-a619-4a14-a740-85c5ad2063bb", 
            "principalIdDisplayName": "MSP Operators", 
            "roleDefinitionId": "91c1777a-f3dc-4fae-b103-61d183457e46" 
        } 
    ]

Эту роль можно также выбрать в разделе Авторизация при создании предложения управляемой службы для публикации в Azure Marketplace.

Пользователь с этим разрешением может удалить делегирование одним из следующих способов.

Портал Azure

  1. Перейдите на страницу Мои клиенты.
  2. Выберите Делегирования.
  3. Найдите делегирование, которое требуется удалить, а затем щелкните значок корзины, который отображается в соответствующей строке.

PowerShell

# Log in first with Connect-AzAccount if you're not using Cloud Shell

# Sign in as a user from the managing tenant directory 

Login-AzAccount

# Select the subscription that is delegated - or contains the delegated resource group(s)

Select-AzSubscription -SubscriptionName "<subscriptionName>"

# Get the registration assignment

Get-AzManagedServicesAssignment -Scope "/subscriptions/{delegatedSubscriptionId}"

# Delete the registration assignment

Remove-AzManagedServicesAssignment -Name "<Assignmentname>" -Scope "/subscriptions/{delegatedSubscriptionId}"

Azure CLI

# Log in first with az login if you're not using Cloud Shell

# Sign in as a user from the managing tenant directory

az login

# Select the subscription that is delegated – or contains the delegated resource group(s)

az account set -s <subscriptionId/name>

# List registration assignments

az managedservices assignment list

# Delete the registration assignment

az managedservices assignment delete --assignment <id or full resourceId>

Дальнейшие действия