Azure rol atamalarını kaldırma

Azure rol tabanlı erişim denetimi (Azure RBAC) , Azure kaynaklarına erişimi yönetmek için kullandığınız yetkilendirme sistemidir. Bir Azure kaynağından erişimi kaldırmak için, rol atamasını kaldırırsınız. Bu makalede, rol atamalarının Azure portal, Azure PowerShell, Azure CLı ve REST API kullanılarak nasıl kaldırılacağı açıklanır.

Önkoşullar

Rol atamalarını kaldırmak için şunları yapmanız gerekir:

Azure portalı

  1. Erişim denetimi 'ni (IAM) , erişimi kaldırmak istediğiniz yönetim grubu, abonelik, kaynak grubu veya kaynak gibi bir kapsamda açın.

  2. Bu kapsamdaki tüm rol atamalarını görüntülemek için rol atamaları sekmesine tıklayın.

  3. Rol ataması listesinde kaldırmak istediğiniz rol atamasına sahip güvenlik sorumlusunun yanına onay işareti ekleyin.

    Kaldırılacak rol ataması seçildi

  4. Kaldır’a tıklayın.

    Rol atamasını kaldırma iletisi

  5. Görüntülenen rol atamasını Kaldır iletisinde Evet' e tıklayın.

    Devralınan rol atamalarının kaldırılamadığını belirten bir ileti görürseniz, bir alt kapsamda rol atamasını kaldırmaya çalışıyorsunuz. Rolün atandığı kapsamdaki erişim denetimini (ıAM) açmanız ve yeniden denemeniz gerekir. Doğru kapsamda erişim denetimini (ıAM) açmak için hızlı bir yol, kapsam sütununa bakmanız ve (devralınmış) yanındaki bağlantıya tıklamanız.

    Devralınan rol atamaları için rol atama iletisini kaldır

Azure PowerShell

Azure PowerShell, Remove-Azroleatamakullanarak bir rol atamasını kaldırırsınız.

Aşağıdaki örnek, ilaç-Sales kaynak grubundaki patlong @ contoso.com kullanıcısının sanal makine katılımcısı rolü atamasını kaldırır:

PS C:\> Remove-AzRoleAssignment -SignInName patlong@contoso.com `
-RoleDefinitionName "Virtual Machine Contributor" `
-ResourceGroupName pharma-sales

Bir abonelik kapsamındaki KIMLIĞI 22222222-2222-2222-2222-222222222222 olan Ann Mack ekip grubundan okuyucu rolünü kaldırır.

PS C:\> Remove-AzRoleAssignment -ObjectId 22222222-2222-2222-2222-222222222222 `
-RoleDefinitionName "Reader" `
-Scope "/subscriptions/00000000-0000-0000-0000-000000000000"

Yönetim grubu kapsamındaki Alain @ example.com kullanıcısının faturalandırma okuyucusu rolünü kaldırır.

PS C:\> Remove-AzRoleAssignment -SignInName alain@example.com `
-RoleDefinitionName "Billing Reader" `
-Scope "/providers/Microsoft.Management/managementGroups/marketing-group"

"Belirtilen bilgiler bir rol atamasıyla eşlenmiyor" hata iletisini alırsanız, veya parametrelerini de belirttiğinizden emin olun -Scope -ResourceGroupName . Daha fazla bilgi için bkz. Azure RBAC sorunlarını giderme.

Azure CLI’si

Azure CLı 'da, rol atamasını az role atama Deletekullanarak kaldırırsınız.

Aşağıdaki örnek, ilaç-Sales kaynak grubundaki patlong @ contoso.com kullanıcısının sanal makine katılımcısı rolü atamasını kaldırır:

az role assignment delete --assignee "patlong@contoso.com" \
--role "Virtual Machine Contributor" \
--resource-group "pharma-sales"

Bir abonelik kapsamındaki KIMLIĞI 22222222-2222-2222-2222-222222222222 olan Ann Mack ekip grubundan okuyucu rolünü kaldırır.

az role assignment delete --assignee "22222222-2222-2222-2222-222222222222" \
--role "Reader" \
--subscription "00000000-0000-0000-0000-000000000000"

Yönetim grubu kapsamındaki Alain @ example.com kullanıcısının faturalandırma okuyucusu rolünü kaldırır.

az role assignment delete --assignee "alain@example.com" \
--role "Billing Reader" \
--scope "/providers/Microsoft.Management/managementGroups/marketing-group"

REST API

REST API rol atamalarını-Sil' i kullanarak bir rol atamasını kaldırırsınız.

  1. Rol atama tanımlayıcısını (GUID) alın. Bu tanımlayıcı, rol atamasını ilk oluşturduğunuzda döndürülür veya rol atamalarını listeleyerek alabilir.

  2. Aşağıdaki istekle başlayın:

    DELETE https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId}?api-version=2015-07-01
    
  3. URI içinde, {scope} değerini rol atamasını kaldırma kapsamı ile değiştirin.

    Kapsam Tür
    providers/Microsoft.Management/managementGroups/{groupId1} Yönetim grubu
    subscriptions/{subscriptionId1} Abonelik
    subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1 Kaynak grubu
    subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1/providers/microsoft.web/sites/mysite1 Kaynak
  4. {Roleatamamentıd} değerini rol atamasının GUID tanımlayıcısı ile değiştirin.

Aşağıdaki istek, abonelik kapsamında belirtilen rol atamasını kaldırır:

DELETE https://management.azure.com/subscriptions/{subscriptionId1}/providers/microsoft.authorization/roleassignments/{roleAssignmentId1}?api-version=2015-07-01

Aşağıda çıktının bir örneği gösterilmektedir:

{
    "properties": {
        "roleDefinitionId": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleDefinitions/a795c7a0-d4a2-40c1-ae25-d81f01202912",
        "principalId": "{objectId1}",
        "scope": "/subscriptions/{subscriptionId1}",
        "createdOn": "2020-05-06T23:55:24.5379478Z",
        "updatedOn": "2020-05-06T23:55:24.5379478Z",
        "createdBy": "{createdByObjectId1}",
        "updatedBy": "{updatedByObjectId1}"
    },
    "id": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId1}",
    "type": "Microsoft.Authorization/roleAssignments",
    "name": "{roleAssignmentId1}"
}

ARM şablonu

Azure Resource Manager şablonu (ARM şablonu) kullanarak rol atamasını kaldırmanın bir yolu yoktur. Rol atamasını kaldırmak için Azure portal, Azure PowerShell, Azure CLı veya REST API gibi diğer araçları kullanmanız gerekir.

Sonraki adımlar