Az Azure-beli szerepköralapú hozzáférés-vezérlés (Azure RBAC) az Azure-erőforrásokhoz való hozzáférés kezeléséhez használt engedélyezési rendszer. Ha el szeretné távolítani a hozzáférést egy Azure-erőforrásból, eltávolít egy szerepkör-hozzárendelést. Ez a cikk azt ismerteti, hogyan távolíthatja el a szerepkör-hozzárendeléseket az Azure Portal, az Azure PowerShell, az Azure CLI és a REST API használatával.
Azure-szerepkör-hozzárendelések eltávolítása
Előfeltételek
A szerepkör-hozzárendelések eltávolításához a következőkkel kell rendelkeznie:
Microsoft.Authorization/roleAssignments/delete
engedélyek, például szerepköralapú hozzáférés-vezérlési Rendszergazda istrator
A REST API-hoz a következő verziót kell használnia:
2015-07-01
vagy újabb
További információkért tekintse meg az Azure RBAC REST API-k API-verzióit.
Azure Portal
Tegye a következők egyikét:
Nyissa meg a hozzáférés-vezérlést (IAM) egy hatókörön, például felügyeleti csoporton, előfizetésen, erőforráscsoporton vagy erőforráson, ahol el szeretné távolítani a hozzáférést.
Kattintson a Szerepkör-hozzárendelések fülre az összes szerepkör-hozzárendelés megtekintéséhez ebben a hatókörben.
A szerepkör-hozzárendelések listájában jelölje be az eltávolítani kívánt szerepkör-hozzárendeléssel rendelkező rendszerbiztonsági tag melletti jelölőnégyzetet.
Kattintson az Eltávolítás elemre.
A megjelenő szerepkör-hozzárendelés eltávolítása üzenetben kattintson az Igen gombra.
Ha olyan üzenet jelenik meg, amely szerint az örökölt szerepkör-hozzárendelések nem távolíthatók el, egy gyermekhatókörben próbál eltávolítani egy szerepkör-hozzárendelést. Nyissa meg a hozzáférés-vezérlést (IAM) azon a hatókörön, ahol a szerepkört hozzárendelték, majd próbálkozzon újra. A hozzáférés-vezérlés (IAM) megfelelő hatókörben való megnyitásának gyors módja, ha megtekinti a Hatókör oszlopot, és rákattint az (Örökölt) melletti hivatkozásra.
Azure PowerShell
Az Azure PowerShellben eltávolíthat egy szerepkör-hozzárendelést a Remove-AzRoleAssignment használatával.
Az alábbi példa eltávolítja a virtuálisgép-közreműködői szerepkör-hozzárendelést a patlong@contoso.com felhasználótól a gyógyszer-értékesítési erőforráscsoportban:
PS C:\> Remove-AzRoleAssignment -SignInName patlong@contoso.com `
-RoleDefinitionName "Virtual Machine Contributor" `
-ResourceGroupName pharma-sales
Removes the Reader role from the Ann Mack Team group with ID 22222222-2222-2222-2222-222222222222 at a subscription scope.
PS C:\> Remove-AzRoleAssignment -ObjectId 22222222-2222-2222-2222-222222222222 `
-RoleDefinitionName "Reader" `
-Scope "/subscriptions/00000000-0000-0000-0000-000000000000"
Removes the Billing Reader role from the alain@example.com user at the management group scope.
PS C:\> Remove-AzRoleAssignment -SignInName alain@example.com `
-RoleDefinitionName "Billing Reader" `
-Scope "/providers/Microsoft.Management/managementGroups/marketing-group"
Removes the User Access Administrator role with ID 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 from the principal with ID 33333333-3333-3333-3333-333333333333 at subscription scope with ID 00000000-0000-0000-0000-000000000000.
PS C:\> Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 `
-RoleDefinitionId 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 `
-Scope /subscriptions/00000000-0000-0000-0000-000000000000
If you get the error message: "The provided information does not map to a role assignment", make sure that you also specify the -Scope
or -ResourceGroupName
parameters. For more information, see Troubleshoot Azure RBAC.
Azure CLI
Az Azure CLI-ben eltávolít egy szerepkör-hozzárendelést az az role assignment delete használatával.
Az alábbi példa eltávolítja a virtuálisgép-közreműködői szerepkör-hozzárendelést a patlong@contoso.com felhasználótól a gyógyszer-értékesítési erőforráscsoportban:
az role assignment delete --assignee "patlong@contoso.com" \
--role "Virtual Machine Contributor" \
--resource-group "pharma-sales"
Removes the Reader role from the Ann Mack Team group with ID 22222222-2222-2222-2222-222222222222 at a subscription scope.
az role assignment delete --assignee "22222222-2222-2222-2222-222222222222" \
--role "Reader" \
--scope "/subscriptions/00000000-0000-0000-0000-000000000000"
Removes the Billing Reader role from the alain@example.com user at the management group scope.
az role assignment delete --assignee "alain@example.com" \
--role "Billing Reader" \
--scope "/providers/Microsoft.Management/managementGroups/marketing-group"
REST API
A REST API-ban eltávolít egy szerepkör-hozzárendelést a Szerepkör-hozzárendelések – Törlés használatával.
Kérje le a szerepkör-hozzárendelés azonosítóját (GUID). Ez az azonosító a szerepkör-hozzárendelés első létrehozásakor lesz visszaadva, vagy a szerepkör-hozzárendelések listázásával szerezheti be.
Kezdje a következő kéréssel:
DELETE https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId}?api-version=2022-04-01
Az URI-on belül cserélje le a(z) {scope} kifejezést a szerepkör-hozzárendelés eltávolítására szolgáló hatókörre.
Hatókör Típus providers/Microsoft.Management/managementGroups/{groupId1}
Felügyeleti csoport subscriptions/{subscriptionId1}
Előfizetés subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1
Erőforráscsoport subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1/providers/microsoft.web/sites/mysite1
Erőforrás Cserélje le a(z) {roleAssignmentId} elemet a szerepkör-hozzárendelés GUID-azonosítójára.
A következő kérés eltávolítja a megadott szerepkör-hozzárendelést az előfizetés hatókörében:
DELETE https://management.azure.com/subscriptions/{subscriptionId1}/providers/microsoft.authorization/roleassignments/{roleAssignmentId1}?api-version=2022-04-01
Az alábbiakban egy példa látható a kimenetre:
{ "properties": { "roleDefinitionId": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleDefinitions/a795c7a0-d4a2-40c1-ae25-d81f01202912", "principalId": "{objectId1}", "principalType": "User", "scope": "/subscriptions/{subscriptionId1}", "condition": null, "conditionVersion": null, "createdOn": "2022-05-06T23:55:24.5379478Z", "updatedOn": "2022-05-06T23:55:24.5379478Z", "createdBy": "{createdByObjectId1}", "updatedBy": "{updatedByObjectId1}", "delegatedManagedIdentityResourceId": null, "description": null }, "id": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId1}", "type": "Microsoft.Authorization/roleAssignments", "name": "{roleAssignmentId1}" }
ARM-sablon
A szerepkör-hozzárendelések azure Resource Manager-sablonnal (ARM-sablonnal) nem távolíthatók el. A szerepkör-hozzárendelés eltávolításához más eszközöket kell használnia, például az Azure Portalt, az Azure PowerShellt, az Azure CLI-t vagy a REST API-t.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: