Rollbaserad åtkomstkontroll i Azure (Azure RBAC) är det auktoriseringssystem som du använder för att hantera åtkomst till Azure-resurser. Om du vill ta bort åtkomst från en Azure-resurs tar du bort en rolltilldelning. Den här artikeln beskriver hur du tar bort rolltilldelningar med hjälp av Azure-portalen, Azure PowerShell, Azure CLI och REST API.
Ta bort Azure-rolltilldelningar
Förutsättningar
Om du vill ta bort rolltilldelningar måste du ha:
Microsoft.Authorization/roleAssignments/deletebehörigheter, till exempel rollbaserad administratör för åtkomstkontroll
För REST-API:et måste du använda följande version:
2015-07-01eller senare
Mer information finns i API-versioner av Azure RBAC REST API:er.
Azure Portal
Följ de här stegen:
Öppna Åtkomstkontroll (IAM) i ett omfång, till exempel hanteringsgrupp, prenumeration, resursgrupp eller resurs, där du vill ta bort åtkomsten.
Klicka på fliken Rolltilldelningar för att visa alla rolltilldelningar i det här omfånget.
Lägg till en bock intill säkerhetsobjektet med rolltilldelningen som du vil ta bort i listan med rolltilldelningar.
Klicka Ta bort.
I meddelandet om att ta bort rolltilldelningen klickar du på Ja.
Om du ser ett meddelande om att ärvda rolltilldelningar inte kan tas bort försöker du ta bort en rolltilldelning i ett underordnat omfång. Du bör öppna Åtkomstkontroll (IAM) i omfånget där rollen tilldelades och försöka igen. Ett snabbt sätt att öppna Åtkomstkontroll (IAM) med rätt omfång är att titta på kolumnen Omfång och klicka på länken bredvid (Ärvd).
Azure PowerShell
I Azure PowerShell tar du bort en rolltilldelning med hjälp av Remove-AzRoleAssignment.
I följande exempel tar vi bort rolltilldelningen patlong@contoso.com Virtuell datordeltagare från användaren i resursgruppen pharma-sales:
PS C:\> Remove-AzRoleAssignment -SignInName patlong@contoso.com `
-RoleDefinitionName "Virtual Machine Contributor" `
-ResourceGroupName pharma-sales
Removes the Reader role from the Ann Mack Team group with ID 22222222-2222-2222-2222-222222222222 at a subscription scope.
PS C:\> Remove-AzRoleAssignment -ObjectId 22222222-2222-2222-2222-222222222222 `
-RoleDefinitionName "Reader" `
-Scope "/subscriptions/00000000-0000-0000-0000-000000000000"
Removes the Billing Reader role from the alain@example.com user at the management group scope.
PS C:\> Remove-AzRoleAssignment -SignInName alain@example.com `
-RoleDefinitionName "Billing Reader" `
-Scope "/providers/Microsoft.Management/managementGroups/marketing-group"
Removes the User Access Administrator role with ID 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 from the principal with ID 33333333-3333-3333-3333-333333333333 at subscription scope with ID 00000000-0000-0000-0000-000000000000.
PS C:\> Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 `
-RoleDefinitionId 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 `
-Scope /subscriptions/00000000-0000-0000-0000-000000000000
If you get the error message: "The provided information does not map to a role assignment", make sure that you also specify the -Scope or -ResourceGroupName parameters. For more information, see Troubleshoot Azure RBAC.
Azure CLI
I Azure CLI tar du bort en rolltilldelning med hjälp av az role assignment delete.
I följande exempel tar vi bort rolltilldelningen patlong@contoso.com Virtuell datordeltagare från användaren i resursgruppen pharma-sales:
az role assignment delete --assignee "patlong@contoso.com" \
--role "Virtual Machine Contributor" \
--resource-group "pharma-sales"
Removes the Reader role from the Ann Mack Team group with ID 22222222-2222-2222-2222-222222222222 at a subscription scope.
az role assignment delete --assignee "22222222-2222-2222-2222-222222222222" \
--role "Reader" \
--scope "/subscriptions/00000000-0000-0000-0000-000000000000"
Removes the Billing Reader role from the alain@example.com user at the management group scope.
az role assignment delete --assignee "alain@example.com" \
--role "Billing Reader" \
--scope "/providers/Microsoft.Management/managementGroups/marketing-group"
REST-API
I REST-API:et tar du bort en rolltilldelning med hjälp av Rolltilldelningar – Ta bort.
Hämta rolltilldelningsidentifieraren (GUID). Den här identifieraren returneras när du först skapar rolltilldelningen, eller så kan du hämta den genom att visa en lista över rolltilldelningarna.
Börja med följande begäran:
DELETE https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId}?api-version=2022-04-01I URI:n ersätter du {scope} med omfånget för att ta bort rolltilldelningen.
Omfattning Typ providers/Microsoft.Management/managementGroups/{groupId1}Hanteringsgrupp subscriptions/{subscriptionId1}Prenumeration subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1Resursgrupp subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1/providers/microsoft.web/sites/mysite1Resurs Ersätt {roleAssignmentId} med GUID-identifieraren för rolltilldelningen.
Följande begäran tar bort den angivna rolltilldelningen i prenumerationsomfånget:
DELETE https://management.azure.com/subscriptions/{subscriptionId1}/providers/microsoft.authorization/roleassignments/{roleAssignmentId1}?api-version=2022-04-01Följande visar ett exempel på utdata:
{ "properties": { "roleDefinitionId": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleDefinitions/a795c7a0-d4a2-40c1-ae25-d81f01202912", "principalId": "{objectId1}", "principalType": "User", "scope": "/subscriptions/{subscriptionId1}", "condition": null, "conditionVersion": null, "createdOn": "2022-05-06T23:55:24.5379478Z", "updatedOn": "2022-05-06T23:55:24.5379478Z", "createdBy": "{createdByObjectId1}", "updatedBy": "{updatedByObjectId1}", "delegatedManagedIdentityResourceId": null, "description": null }, "id": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId1}", "type": "Microsoft.Authorization/roleAssignments", "name": "{roleAssignmentId1}" }ARM-mall
Det finns inget sätt att ta bort en rolltilldelning med hjälp av en Azure Resource Manager-mall (ARM-mall). Om du vill ta bort en rolltilldelning måste du använda andra verktyg som Azure-portalen, Azure PowerShell, Azure CLI eller REST API.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för