편집

다음을 통해 공유


Azure 역할 할당 제거

Azure RBAC(Azure 역할 기반 액세스 제어)는 Azure 리소스에 대한 액세스를 관리하는 데 사용하는 권한 부여 시스템입니다. Azure 리소스에서 액세스 권한을 제거하려면 역할 할당을 제거합니다. 이 문서에서는 Azure Portal, Azure PowerShell, Azure CLI 및 REST API를 사용하여 역할 할당을 제거하는 방법을 설명합니다.

필수 조건

역할 할당을 제거하려면 다음이 필요합니다.

REST API의 경우 다음 버전을 사용해야 합니다.

  • 2015-07-01 이상

자세한 내용은 Azure RBAC REST API의 API 버전을 참조하세요.

Azure Portal

다음 단계를 수행합니다.

  1. 관리 그룹, 구독, 리소스 그룹 또는 리소스 등, 액세스 권한을 제거하려는 범위의 액세스 제어(IAM)를 엽니다.

  2. 역할 할당 탭을 클릭하여 이 범위의 모든 역할 할당을 봅니다.

  3. 역할 할당 목록에서, 제거할 역할 할당이 있는 보안 주체 옆에 확인란을 추가합니다.

    제거하도록 선택된 역할 할당을 보여 주는 스크린샷.

  4. 제거를 클릭합니다.

    역할 할당 제거 메시지를 보여 주는 스크린샷.

  5. 표시되는 역할 할당 제거 메시지에서 를 클릭합니다.

    상속된 역할 할당을 제거할 수 없다는 메시지가 표시되면 자식 범위에서 역할 할당을 제거하려고 시도하는 것입니다. 역할이 할당된 범위에서 액세스 제어(IAM)를 열고 다시 시도해야 합니다. 올바른 범위에서 액세스 제어(IAM)를 여는 빠른 방법은 범위 열을 확인하고 (상속됨) 옆에 있는 링크를 클릭하는 것입니다.

    상속된 역할 할당에 대한 역할 할당 메시지 제거를 보여 주는 스크린샷.

Azure PowerShell

Azure PowerShell에서 Remove-AzRoleAssignment를 사용하여 역할 할당을 제거합니다.

다음 예제에서는 pharma-sales 리소스 그룹의 patlong@contoso.com 사용자로부터 Virtual Machine 기여자 역할 할당을 제거합니다.

PS C:\> Remove-AzRoleAssignment -SignInName patlong@contoso.com `
-RoleDefinitionName "Virtual Machine Contributor" `
-ResourceGroupName pharma-sales

Removes the Reader role from the Ann Mack Team group with ID 22222222-2222-2222-2222-222222222222 at a subscription scope.

PS C:\> Remove-AzRoleAssignment -ObjectId 22222222-2222-2222-2222-222222222222 `
-RoleDefinitionName "Reader" `
-Scope "/subscriptions/00000000-0000-0000-0000-000000000000"

Removes the Billing Reader role from the alain@example.com user at the management group scope.

PS C:\> Remove-AzRoleAssignment -SignInName alain@example.com `
-RoleDefinitionName "Billing Reader" `
-Scope "/providers/Microsoft.Management/managementGroups/marketing-group"

Removes the User Access Administrator role with ID 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 from the principal with ID 33333333-3333-3333-3333-333333333333 at subscription scope with ID 00000000-0000-0000-0000-000000000000.

PS C:\> Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 `
-RoleDefinitionId 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 `
-Scope /subscriptions/00000000-0000-0000-0000-000000000000

If you get the error message: "The provided information does not map to a role assignment", make sure that you also specify the -Scope or -ResourceGroupName parameters. For more information, see Troubleshoot Azure RBAC.

Azure CLI

Azure CLI에서 az role assignment delete를 사용하여 역할 할당을 제거합니다.

다음 예제에서는 pharma-sales 리소스 그룹의 patlong@contoso.com 사용자로부터 Virtual Machine 기여자 역할 할당을 제거합니다.

az role assignment delete --assignee "patlong@contoso.com" \
--role "Virtual Machine Contributor" \
--resource-group "pharma-sales"

Removes the Reader role from the Ann Mack Team group with ID 22222222-2222-2222-2222-222222222222 at a subscription scope.

az role assignment delete --assignee "22222222-2222-2222-2222-222222222222" \
--role "Reader" \
--scope "/subscriptions/00000000-0000-0000-0000-000000000000"

Removes the Billing Reader role from the alain@example.com user at the management group scope.

az role assignment delete --assignee "alain@example.com" \
--role "Billing Reader" \
--scope "/providers/Microsoft.Management/managementGroups/marketing-group"

REST API

REST API에서 역할 할당 - 삭제를 사용하여 역할 할당을 제거합니다.

  1. 역할 할당 식별자(GUID)를 가져옵니다. 이 식별자는 역할 할당을 처음 만들 때 반환되거나 역할 할당을 나열하여 가져올 수 있습니다.

  2. 다음 요청으로 시작합니다.

    DELETE https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId}?api-version=2022-04-01
    
  3. URI 내에서 {scope}를 제거할 역할 할당에 대한 범위로 바꿉니다.

    범위 Type
    providers/Microsoft.Management/managementGroups/{groupId1} 관리 그룹
    subscriptions/{subscriptionId1} Subscription
    subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1 Resource group
    subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1/providers/microsoft.web/sites/mysite1 리소스
  4. {roleAssignmentId}를 역할 할당의 GUID 식별자로 바꿉니다.

    다음 요청은 구독 범위에서 지정된 역할 할당을 제거합니다.

    DELETE https://management.azure.com/subscriptions/{subscriptionId1}/providers/microsoft.authorization/roleassignments/{roleAssignmentId1}?api-version=2022-04-01
    

    다음은 출력 예제입니다.

    {
        "properties": {
            "roleDefinitionId": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleDefinitions/a795c7a0-d4a2-40c1-ae25-d81f01202912",
            "principalId": "{objectId1}",
            "principalType": "User",
            "scope": "/subscriptions/{subscriptionId1}",
            "condition": null,
            "conditionVersion": null,
            "createdOn": "2022-05-06T23:55:24.5379478Z",
            "updatedOn": "2022-05-06T23:55:24.5379478Z",
            "createdBy": "{createdByObjectId1}",
            "updatedBy": "{updatedByObjectId1}",
            "delegatedManagedIdentityResourceId": null,
            "description": null
        },
        "id": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId1}",
        "type": "Microsoft.Authorization/roleAssignments",
        "name": "{roleAssignmentId1}"
    }
    

    ARM 템플릿

    ARM 템플릿(Azure Resource Manager 템플릿)을 사용하여 역할 할당을 제거하는 방법은 없습니다. 역할 할당을 제거하려면 Azure Portal, Azure PowerShell, Azure CLI 또는 REST API와 같은 다른 도구를 사용해야 합니다.