Bearbeiten

Entfernen von Azure-Rollenzuweisungen

  • Vorgehensweise

Azure RBAC (Role-Based Access Control, rollenbasierte Zugriffssteuerung) ist das Autorisierungssystem für die Verwaltung des Zugriffs auf Azure-Ressourcen. Um den Zugriff auf eine Azure-Ressource zu entfernen, entfernen Sie eine Rollenzuweisung. In diesem Artikel wird beschrieben, wie Rollenzuweisungen mithilfe des Azure-Portals, mit Azure PowerShell, der Azure CLI und der REST-API entfernt werden.

Voraussetzungen

Sie benötigen Folgendes, um Rollenzuweisungen entfernen zu können:

Für die REST-API müssen Sie die folgende Version verwenden:

  • 2015-07-01 oder höher

Weitere Informationen finden Sie unter API-Versionen von Azure RBAC REST-APIs.

Azure-Portal

Führen Sie folgende Schritte aus:

  1. Öffnen Sie das Blatt Zugriffssteuerung (IAM) für einen Bereich, z.B. für eine Verwaltungsgruppe, ein Abonnement, eine Ressourcengruppe oder eine Ressource, für das bzw. die Sie den Zugriff entfernen möchten.

  2. Klicken Sie auf die Registerkarte Rollenzuweisungen, um alle Rollenzuweisungen für diesen Bereich anzuzeigen.

  3. Aktivieren Sie in der Liste der Rollenzuweisungen den Sicherheitsprinzipal mit der zu entfernenden Rollenzuweisung.

    Screenshot einer für das Entfernen ausgewählten Rollenzuweisung

  4. Klicken Sie auf Entfernen.

    Screenshot der Meldung zum Entfernen einer Rollenzuweisung

  5. Klicken Sie in der angezeigten Meldung zum Entfernen der Rollenzuweisung auf Ja.

    Wenn eine Meldung angezeigt wird, dass geerbte Rollenzuweisungen nicht entfernt werden können, versuchen Sie, eine Rollenzuweisung in einem untergeordneten Bereich zu entfernen. Öffnen Sie die Zugriffssteuerung (IAM) in dem Bereich, in dem die Rolle zugewiesen wurde, und versuchen Sie es noch mal. Eine Möglichkeit zum schnellen Öffnen der Zugriffssteuerung (IAM) im richtigen Bereich besteht darin, in der Spalte Bereich auf den Link neben (Geerbt) zu klicken.

    Screenshot der Meldung zum Entfernen einer Rollenzuweisung für geerbte Rollenzuweisungen

Azure PowerShell

In Azure PowerShell entfernen Sie mit Remove-AzRoleAssignment eine Rollenzuweisung.

Im folgenden Beispiel wird die Zuweisung der Rolle Virtual Machine Contributor (Mitwirkender für virtuelle Computer) von patlong@contoso.com Benutzer für die Ressourcengruppe pharma-sales entfernt:

PS C:\> Remove-AzRoleAssignment -SignInName patlong@contoso.com `
-RoleDefinitionName "Virtual Machine Contributor" `
-ResourceGroupName pharma-sales

Removes the Reader role from the Ann Mack Team group with ID 22222222-2222-2222-2222-222222222222 at a subscription scope.

PS C:\> Remove-AzRoleAssignment -ObjectId 22222222-2222-2222-2222-222222222222 `
-RoleDefinitionName "Reader" `
-Scope "/subscriptions/00000000-0000-0000-0000-000000000000"

Removes the Billing Reader role from the alain@example.com user at the management group scope.

PS C:\> Remove-AzRoleAssignment -SignInName alain@example.com `
-RoleDefinitionName "Billing Reader" `
-Scope "/providers/Microsoft.Management/managementGroups/marketing-group"

Removes the User Access Administrator role with ID 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 from the principal with ID 33333333-3333-3333-3333-333333333333 at subscription scope with ID 00000000-0000-0000-0000-000000000000.

PS C:\> Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 `
-RoleDefinitionId 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 `
-Scope /subscriptions/00000000-0000-0000-0000-000000000000

If you get the error message: "The provided information does not map to a role assignment", make sure that you also specify the -Scope or -ResourceGroupName parameters. For more information, see Troubleshoot Azure RBAC.

Azure CLI

In der Azure CLI entfernen Sie mit az role assignment delete eine Rollenzuweisung.

Im folgenden Beispiel wird die Zuweisung der Rolle Virtual Machine Contributor (Mitwirkender für virtuelle Computer) von patlong@contoso.com Benutzer für die Ressourcengruppe pharma-sales entfernt:

az role assignment delete --assignee "patlong@contoso.com" \
--role "Virtual Machine Contributor" \
--resource-group "pharma-sales"

Removes the Reader role from the Ann Mack Team group with ID 22222222-2222-2222-2222-222222222222 at a subscription scope.

az role assignment delete --assignee "22222222-2222-2222-2222-222222222222" \
--role "Reader" \
--scope "/subscriptions/00000000-0000-0000-0000-000000000000"

Removes the Billing Reader role from the alain@example.com user at the management group scope.

az role assignment delete --assignee "alain@example.com" \
--role "Billing Reader" \
--scope "/providers/Microsoft.Management/managementGroups/marketing-group"

REST-API

In der REST-API entfernen Sie eine Rollenzuweisung mithilfe von Role Assignments - Delete.

  1. Rufen Sie den Bezeichner der Rollenzuweisung (GUID) ab. Dieser Bezeichner wird beim ersten Erstellen der Rollenzuweisung zurückgegeben oder kann durch Auflisten der Rollenzuweisungen ermittelt werden.

  2. Beginnen Sie mit der folgenden Anforderung:

    DELETE https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId}?api-version=2022-04-01

  3. Ersetzen Sie innerhalb des URIs {scope} durch den Bereich, um die Rollenzuweisung zu entfernen.

    Bereich type
    providers/Microsoft.Management/managementGroups/{groupId1} Verwaltungsgruppe
    subscriptions/{subscriptionId1} Subscription
    subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1 Resource group
    subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1/providers/microsoft.web/sites/mysite1 Resource

  4. Ersetzen Sie {roleAssignmentId} durch den GUID-Bezeichner der Rollenzuweisung.

    Mit der folgenden Anforderung wird die angegebene Rollenzuweisung im Abonnementbereich entfernt:

    DELETE https://management.azure.com/subscriptions/{subscriptionId1}/providers/microsoft.authorization/roleassignments/{roleAssignmentId1}?api-version=2022-04-01

    Nachfolgend sehen Sie ein Beispiel für die Ausgabe:

    {
    "properties": {
        "roleDefinitionId": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleDefinitions/a795c7a0-d4a2-40c1-ae25-d81f01202912",
        "principalId": "{objectId1}",
        "principalType": "User",
        "scope": "/subscriptions/{subscriptionId1}",
        "condition": null,
        "conditionVersion": null,
        "createdOn": "2022-05-06T23:55:24.5379478Z",
        "updatedOn": "2022-05-06T23:55:24.5379478Z",
        "createdBy": "{createdByObjectId1}",
        "updatedBy": "{updatedByObjectId1}",
        "delegatedManagedIdentityResourceId": null,
        "description": null
    },
    "id": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId1}",
    "type": "Microsoft.Authorization/roleAssignments",
    "name": "{roleAssignmentId1}"
}

    ARM-Vorlage

    Es gibt keine Möglichkeit, eine Rollenzuweisung mithilfe einer Azure Resource Manager-Vorlage (ARM-Vorlage) zu entfernen. Zum Entfernen einer Rollenzuweisung müssen Sie andere Tools verwenden, z. B. das Azure-Portal, Azure PowerShell, die Azure CLI oder die REST-API.

Zugehöriger Inhalt