Odebrání přiřazení rolí Azure

Řízení přístupu na základě role v Azure (Azure RBAC) je autorizační systém, který používáte ke správě přístupu k prostředkům Azure. Pokud chcete odebrat přístup z prostředku Azure, odeberete přiřazení role. Tento článek popisuje, jak odebrat přiřazení rolí pomocí webu Azure Portal, Azure PowerShellu, Azure CLI a rozhraní REST API.

Požadavky

Pokud chcete odebrat přiřazení rolí, musíte mít:

Pro rozhraní REST API musíte použít následující verzi:

  • 2015-07-01 nebo novější

Další informace najdete v tématu Verze rozhraní API Azure RBAC REST API.

Azure Portal

  1. Otevřete řízení přístupu (IAM) v oboru, jako je skupina pro správu, předplatné, skupina prostředků nebo prostředek, kde chcete odebrat přístup.

  2. Kliknutím na kartu Přiřazení rolí zobrazíte všechna přiřazení rolí v tomto oboru.

  3. V seznamu přiřazení rolí přidejte značku zaškrtnutí vedle objektu zabezpečení s přiřazením role, které chcete odebrat.

    Snímek obrazovky s vybraným přiřazením role, které se má odebrat

    Pokud chcete odebrat přiřazení role Vlastník , které se automaticky přiřadilo jako součást vyřazení klasického správce, má přiřazení role následující popis. Další informace naleznete v tématu Automatické přiřazení k roli Vlastník.

    • popis: The Classic Admin role was converted to an Azure Owner role on behalf of the user due to Classic Admin retirement

  4. Klikněte na Odebrat.

    Snímek obrazovky se zprávou o odebrání přiřazení role

  5. Ve zprávě o odebrání přiřazení role, která se zobrazí, klikněte na tlačítko Ano.

    Pokud se zobrazí zpráva, že zděděná přiřazení rolí nelze odebrat, pokoušíte se odebrat přiřazení role v podřízené oblasti. Měli byste otevřít řízení přístupu (IAM) v oboru, ve kterém byla role přiřazena, a zkusit to znovu. Rychlým způsobem, jak otevřít řízení přístupu (IAM) ve správném oboru, je podívat se na sloupec Obor a kliknout na odkaz vedle položky (Zděděno).

    Snímek obrazovky se zprávou o odebrání přiřazení role pro zděděná přiřazení rolí

Azure PowerShell

V Azure PowerShellu odeberete přiřazení role pomocí remove-AzRoleAssignment.

Následující příklad odebere uživateli přiřazení role Virtual Machine Contributor ve skupině prostředků patlong@contoso.com :

PS C:\> Remove-AzRoleAssignment -SignInName patlong@contoso.com `
-RoleDefinitionName "Virtual Machine Contributor" `
-ResourceGroupName pharma-sales

Odebere roli Čtenář ze skupiny Tým Ann Mack s ID 22222222-2222-2222-2222-222222222222 v rozsahu předplatného.

PS C:\> Remove-AzRoleAssignment -ObjectId 22222222-2222-2222-2222-222222222222 `
-RoleDefinitionName "Reader" `
-Scope "/subscriptions/00000000-0000-0000-0000-000000000000"

Odebere roli Čtenář fakturace z uživatelského účtu na úrovni skupiny pro správu.

PS C:\> Remove-AzRoleAssignment -SignInName alain@example.com `
-RoleDefinitionName "Billing Reader" `
-Scope "/providers/Microsoft.Management/managementGroups/marketing-group"

Odebere roli Správce uživatelských přístupů s ID 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 z objektu zabezpečení s ID 33333333-3333-3333-3333-333333333333 v rozsahu předplatného s ID 00000000-0000-0000-0000-000000000000.

PS C:\> Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 `
-RoleDefinitionId 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 `
-Scope /subscriptions/00000000-0000-0000-0000-000000000000

Pokud se zobrazí chybová zpráva: Zadané informace neodpovídají přiřazení role, ujistěte se, že jste také zadali parametry -Scope nebo -ResourceGroupName. Další informace najdete v tématu Řešení potíží s Azure RBAC.

Azure CLI (příkazový řádek nástroje Azure)

V Azure CLI odeberete přiřazení role pomocí příkazu az role assignment delete.

Následující příklad odebere uživateli přiřazení role Virtual Machine Contributor ve skupině prostředků patlong@contoso.com :

az role assignment delete --assignee "patlong@contoso.com" \
--role "Virtual Machine Contributor" \
--resource-group "pharma-sales"

Odebere roli Čtenář ze skupiny Tým Ann Mack s ID 22222222-2222-2222-2222-222222222222 v rozsahu předplatného.

az role assignment delete --assignee "22222222-2222-2222-2222-222222222222" \
--role "Reader" \
--scope "/subscriptions/00000000-0000-0000-0000-000000000000"

Odebere roli Čtenář fakturace z uživatelského účtu na úrovni skupiny pro správu.

az role assignment delete --assignee "alain@example.com" \
--role "Billing Reader" \
--scope "/providers/Microsoft.Management/managementGroups/marketing-group"

REST API

V rozhraní REST API odeberete přiřazení role pomocí přiřazení rolí – Odstranit.

  1. Získejte identifikátor přiřazení role (GUID). Tento identifikátor se vrátí při prvním vytvoření přiřazení role nebo ho můžete získat výpisem přiřazení rolí.

  2. Začněte následujícím požadavkem:

    DELETE https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId}?api-version=2022-04-01

  3. V rámci identifikátoru URI nahraďte {scope} oborem pro odebrání přiřazení role.

    Scope Typ
    providers/Microsoft.Management/managementGroups/{groupId1} Manažerská skupina
    subscriptions/{subscriptionId1} Subscription
    subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1 Skupina zdrojů
    subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1/providers/microsoft.web/sites/mysite1 Resource

  4. Nahraďte {roleAssignmentId} identifikátorem GUID přiřazení role.

    Následující požadavek odebere zadané přiřazení role v oboru předplatného:

    DELETE https://management.azure.com/subscriptions/{subscriptionId1}/providers/microsoft.authorization/roleassignments/{roleAssignmentId1}?api-version=2022-04-01

    Následuje příklad výstupu:

    {
    "properties": {
        "roleDefinitionId": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleDefinitions/a795c7a0-d4a2-40c1-ae25-d81f01202912",
        "principalId": "{objectId1}",
        "principalType": "User",
        "scope": "/subscriptions/{subscriptionId1}",
        "condition": null,
        "conditionVersion": null,
        "createdOn": "2022-05-06T23:55:24.5379478Z",
        "updatedOn": "2022-05-06T23:55:24.5379478Z",
        "createdBy": "{createdByObjectId1}",
        "updatedBy": "{updatedByObjectId1}",
        "delegatedManagedIdentityResourceId": null,
        "description": null
    },
    "id": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId1}",
    "type": "Microsoft.Authorization/roleAssignments",
    "name": "{roleAssignmentId1}"
}

šablona ARM

Neexistuje způsob, jak odebrat přiřazení role pomocí šablony Azure Resource Manageru (šablona ARM). Pokud chcete odebrat přiřazení role, musíte použít jiné nástroje, jako je Azure Portal, Azure PowerShell, Azure CLI nebo REST API.

Související obsah

  • Last updated on