Il controllo degli accessi in base al ruolo di Azure è il sistema di autorizzazione che si usa per gestire l'accesso alle risorse di Azure. Per rimuovere l'accesso da una risorsa di Azure, rimuovere un'assegnazione di ruolo. Questo articolo descrive come rimuovere le assegnazioni di ruoli usando le portale di Azure, Azure PowerShell, l'interfaccia della riga di comando di Azure e l'API REST.
Rimuovere le assegnazioni di ruolo di Azure
Prerequisiti
Per rimuovere le assegnazioni di ruolo, è necessario disporre di:
Microsoft.Authorization/roleAssignments/deleteautorizzazioni, ad esempio Controllo di accesso Amministrazione istrator basato su ruoli
Per l'API REST, è necessario usare la versione seguente:
2015-07-01o versioni successive
Per altre informazioni, vedere Versioni API delle API REST di Controllo degli accessi in base al ruolo di Azure.
Portale di Azure
Seguire questa procedura:
Aprire Controllo di accesso (IAM) sull'ambito, come gruppo di gestione, sottoscrizione, gruppo di risorse o risorsa, in cui si intende rimuovere l'accesso.
Fare clic sulla scheda Assegnazioni di ruolo per visualizzare tutte le assegnazioni di ruolo in questo ambito.
Nell'elenco delle assegnazioni di ruolo aggiungere un segno di spunta accanto all'entità di sicurezza con l'assegnazione di ruolo che si vuole rimuovere.
Fare clic su Rimuovi.
Nella finestra con il messaggio di rimozione dell'assegnazione di ruolo fare clic su Sì.
Se viene visualizzato un messaggio che indica che le assegnazioni di ruolo ereditate non possono essere rimosse, si sta tentando di rimuovere un'assegnazione di ruolo in un ambito figlio. È consigliabile aprire Controllo di accesso (IAM) nell'ambito in cui è stato assegnato il ruolo e riprovare. Un modo rapido per aprire Controllo di accesso (IAM) nell'ambito corretto consiste nell'esaminare la colonna Ambito e fare clic sul collegamento accanto a (Ereditato).
Azure PowerShell
In Azure PowerShell si rimuove un'assegnazione di ruolo usando Remove-AzRoleAssignment.
Nell'esempio seguente viene rimossa l'assegnazione di ruolo Collaboratore macchina virtuale dall'utente patlong@contoso.com nel gruppo di risorse pharma-sales :
PS C:\> Remove-AzRoleAssignment -SignInName patlong@contoso.com `
-RoleDefinitionName "Virtual Machine Contributor" `
-ResourceGroupName pharma-sales
Removes the Reader role from the Ann Mack Team group with ID 22222222-2222-2222-2222-222222222222 at a subscription scope.
PS C:\> Remove-AzRoleAssignment -ObjectId 22222222-2222-2222-2222-222222222222 `
-RoleDefinitionName "Reader" `
-Scope "/subscriptions/00000000-0000-0000-0000-000000000000"
Removes the Billing Reader role from the alain@example.com user at the management group scope.
PS C:\> Remove-AzRoleAssignment -SignInName alain@example.com `
-RoleDefinitionName "Billing Reader" `
-Scope "/providers/Microsoft.Management/managementGroups/marketing-group"
Removes the User Access Administrator role with ID 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 from the principal with ID 33333333-3333-3333-3333-333333333333 at subscription scope with ID 00000000-0000-0000-0000-000000000000.
PS C:\> Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 `
-RoleDefinitionId 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 `
-Scope /subscriptions/00000000-0000-0000-0000-000000000000
If you get the error message: "The provided information does not map to a role assignment", make sure that you also specify the -Scope or -ResourceGroupName parameters. For more information, see Troubleshoot Azure RBAC.
Interfaccia della riga di comando di Azure
Nell'interfaccia della riga di comando di Azure si rimuove un'assegnazione di ruolo usando az role assignment delete.
Nell'esempio seguente viene rimossa l'assegnazione di ruolo Collaboratore macchina virtuale dall'utente patlong@contoso.com nel gruppo di risorse pharma-sales :
az role assignment delete --assignee "patlong@contoso.com" \
--role "Virtual Machine Contributor" \
--resource-group "pharma-sales"
Removes the Reader role from the Ann Mack Team group with ID 22222222-2222-2222-2222-222222222222 at a subscription scope.
az role assignment delete --assignee "22222222-2222-2222-2222-222222222222" \
--role "Reader" \
--scope "/subscriptions/00000000-0000-0000-0000-000000000000"
Removes the Billing Reader role from the alain@example.com user at the management group scope.
az role assignment delete --assignee "alain@example.com" \
--role "Billing Reader" \
--scope "/providers/Microsoft.Management/managementGroups/marketing-group"
API REST
Nell'API REST si rimuove un'assegnazione di ruolo usando Assegnazioni di ruolo - Elimina.
Ottenere l'identificatore di assegnazione di ruolo (GUID). Questo identificatore viene restituito quando si crea l'assegnazione di ruolo per la prima volta oppure è possibile ottenerlo elencando le assegnazioni di ruolo.
Iniziare con la richiesta seguente:
DELETE https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId}?api-version=2022-04-01All'interno dell'URI sostituire {scope} con l'ambito per la rimozione dell'assegnazione di ruolo.
Ambito Type providers/Microsoft.Management/managementGroups/{groupId1}Gruppo di gestione subscriptions/{subscriptionId1}Subscription subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1Gruppo di risorse subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1/providers/microsoft.web/sites/mysite1Conto risorse Sostituire {roleAssignmentId} con l'identificatore GUID dell'assegnazione di ruolo.
La richiesta seguente rimuove l'assegnazione di ruolo specificata nell'ambito della sottoscrizione:
DELETE https://management.azure.com/subscriptions/{subscriptionId1}/providers/microsoft.authorization/roleassignments/{roleAssignmentId1}?api-version=2022-04-01Il testo seguente è un esempio di output:
{ "properties": { "roleDefinitionId": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleDefinitions/a795c7a0-d4a2-40c1-ae25-d81f01202912", "principalId": "{objectId1}", "principalType": "User", "scope": "/subscriptions/{subscriptionId1}", "condition": null, "conditionVersion": null, "createdOn": "2022-05-06T23:55:24.5379478Z", "updatedOn": "2022-05-06T23:55:24.5379478Z", "createdBy": "{createdByObjectId1}", "updatedBy": "{updatedByObjectId1}", "delegatedManagedIdentityResourceId": null, "description": null }, "id": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId1}", "type": "Microsoft.Authorization/roleAssignments", "name": "{roleAssignmentId1}" }Modello ARM
Non esiste un modo per rimuovere un'assegnazione di ruolo usando un modello di Azure Resource Manager (modello di Resource Manager). Per rimuovere un'assegnazione di ruolo, è necessario usare altri strumenti, ad esempio la portale di Azure, Azure PowerShell, l'interfaccia della riga di comando di Azure o l'API REST.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per