Szerkesztés

Azure-szerepkör-hozzárendelések eltávolítása

  • Használati útmutató

Az Azure-beli szerepköralapú hozzáférés-vezérlés (Azure RBAC) az Azure-erőforrásokhoz való hozzáférés kezeléséhez használt engedélyezési rendszer. Ha el szeretné távolítani a hozzáférést egy Azure-erőforrásból, eltávolít egy szerepkör-hozzárendelést. Ez a cikk azt ismerteti, hogyan távolíthatja el a szerepkör-hozzárendeléseket az Azure Portal, az Azure PowerShell, az Azure CLI és a REST API használatával.

Előfeltételek

A szerepkör-hozzárendelések eltávolításához a következőkkel kell rendelkeznie:

A REST API-hoz a következő verziót kell használnia:

  • 2015-07-01 vagy újabb

További információkért tekintse meg az Azure RBAC REST API-k API-verzióit.

Azure Portal

Tegye a következők egyikét:

  1. Nyissa meg a hozzáférés-vezérlést (IAM) egy hatókörön, például felügyeleti csoporton, előfizetésen, erőforráscsoporton vagy erőforráson, ahol el szeretné távolítani a hozzáférést.

  2. Kattintson a Szerepkör-hozzárendelések fülre az összes szerepkör-hozzárendelés megtekintéséhez ebben a hatókörben.

  3. A szerepkör-hozzárendelések listájában jelölje be az eltávolítani kívánt szerepkör-hozzárendeléssel rendelkező rendszerbiztonsági tag melletti jelölőnégyzetet.

    Képernyőkép az eltávolítandó szerepkör-hozzárendelésről.

  4. Kattintson az Eltávolítás elemre.

    Képernyőkép a szerepkör-hozzárendelés eltávolításáról szóló üzenetről.

  5. A megjelenő szerepkör-hozzárendelés eltávolítása üzenetben kattintson az Igen gombra.

    Ha olyan üzenet jelenik meg, amely szerint az örökölt szerepkör-hozzárendelések nem távolíthatók el, egy gyermekhatókörben próbál eltávolítani egy szerepkör-hozzárendelést. Nyissa meg a hozzáférés-vezérlést (IAM) azon a hatókörön, ahol a szerepkört hozzárendelték, majd próbálkozzon újra. A hozzáférés-vezérlés (IAM) megfelelő hatókörben való megnyitásának gyors módja, ha megtekinti a Hatókör oszlopot, és rákattint az (Örökölt) melletti hivatkozásra.

    Képernyőkép az örökölt szerepkör-hozzárendelések szerepkör-hozzárendelési üzenetének eltávolításáról.

Azure PowerShell

Az Azure PowerShellben eltávolíthat egy szerepkör-hozzárendelést a Remove-AzRoleAssignment használatával.

Az alábbi példa eltávolítja a virtuálisgép-közreműködői szerepkör-hozzárendelést a patlong@contoso.com felhasználótól a gyógyszer-értékesítési erőforráscsoportban:

PS C:\> Remove-AzRoleAssignment -SignInName patlong@contoso.com `
-RoleDefinitionName "Virtual Machine Contributor" `
-ResourceGroupName pharma-sales

Removes the Reader role from the Ann Mack Team group with ID 22222222-2222-2222-2222-222222222222 at a subscription scope.

PS C:\> Remove-AzRoleAssignment -ObjectId 22222222-2222-2222-2222-222222222222 `
-RoleDefinitionName "Reader" `
-Scope "/subscriptions/00000000-0000-0000-0000-000000000000"

Removes the Billing Reader role from the alain@example.com user at the management group scope.

PS C:\> Remove-AzRoleAssignment -SignInName alain@example.com `
-RoleDefinitionName "Billing Reader" `
-Scope "/providers/Microsoft.Management/managementGroups/marketing-group"

Removes the User Access Administrator role with ID 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 from the principal with ID 33333333-3333-3333-3333-333333333333 at subscription scope with ID 00000000-0000-0000-0000-000000000000.

PS C:\> Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 `
-RoleDefinitionId 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 `
-Scope /subscriptions/00000000-0000-0000-0000-000000000000

If you get the error message: "The provided information does not map to a role assignment", make sure that you also specify the -Scope or -ResourceGroupName parameters. For more information, see Troubleshoot Azure RBAC.

Azure CLI

Az Azure CLI-ben eltávolít egy szerepkör-hozzárendelést az az role assignment delete használatával.

Az alábbi példa eltávolítja a virtuálisgép-közreműködői szerepkör-hozzárendelést a patlong@contoso.com felhasználótól a gyógyszer-értékesítési erőforráscsoportban:

az role assignment delete --assignee "patlong@contoso.com" \
--role "Virtual Machine Contributor" \
--resource-group "pharma-sales"

Removes the Reader role from the Ann Mack Team group with ID 22222222-2222-2222-2222-222222222222 at a subscription scope.

az role assignment delete --assignee "22222222-2222-2222-2222-222222222222" \
--role "Reader" \
--scope "/subscriptions/00000000-0000-0000-0000-000000000000"

Removes the Billing Reader role from the alain@example.com user at the management group scope.

az role assignment delete --assignee "alain@example.com" \
--role "Billing Reader" \
--scope "/providers/Microsoft.Management/managementGroups/marketing-group"

REST API

A REST API-ban eltávolít egy szerepkör-hozzárendelést a Szerepkör-hozzárendelések – Törlés használatával.

  1. Kérje le a szerepkör-hozzárendelés azonosítóját (GUID). Ez az azonosító a szerepkör-hozzárendelés első létrehozásakor lesz visszaadva, vagy a szerepkör-hozzárendelések listázásával szerezheti be.

  2. Kezdje a következő kéréssel:

    DELETE https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId}?api-version=2022-04-01

  3. Az URI-on belül cserélje le a(z) {scope} kifejezést a szerepkör-hozzárendelés eltávolítására szolgáló hatókörre.

    Hatókör Típus
    providers/Microsoft.Management/managementGroups/{groupId1} Felügyeleti csoport
    subscriptions/{subscriptionId1} Előfizetés
    subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1 Erőforráscsoport
    subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1/providers/microsoft.web/sites/mysite1 Erőforrás

  4. Cserélje le a(z) {roleAssignmentId} elemet a szerepkör-hozzárendelés GUID-azonosítójára.

    A következő kérés eltávolítja a megadott szerepkör-hozzárendelést az előfizetés hatókörében:

    DELETE https://management.azure.com/subscriptions/{subscriptionId1}/providers/microsoft.authorization/roleassignments/{roleAssignmentId1}?api-version=2022-04-01

    Az alábbiakban egy példa látható a kimenetre:

    {
    "properties": {
        "roleDefinitionId": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleDefinitions/a795c7a0-d4a2-40c1-ae25-d81f01202912",
        "principalId": "{objectId1}",
        "principalType": "User",
        "scope": "/subscriptions/{subscriptionId1}",
        "condition": null,
        "conditionVersion": null,
        "createdOn": "2022-05-06T23:55:24.5379478Z",
        "updatedOn": "2022-05-06T23:55:24.5379478Z",
        "createdBy": "{createdByObjectId1}",
        "updatedBy": "{updatedByObjectId1}",
        "delegatedManagedIdentityResourceId": null,
        "description": null
    },
    "id": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId1}",
    "type": "Microsoft.Authorization/roleAssignments",
    "name": "{roleAssignmentId1}"
}

    ARM-sablon

    A szerepkör-hozzárendelések azure Resource Manager-sablonnal (ARM-sablonnal) nem távolíthatók el. A szerepkör-hozzárendelés eltávolításához más eszközöket kell használnia, például az Azure Portalt, az Azure PowerShellt, az Azure CLI-t vagy a REST API-t.

Kapcsolódó tartalom