Bewerken

Azure-roltoewijzingen verwijderen

  • Uitleg

Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) is het autorisatiesysteem om de toegang tot Azure-resources te beheren. Als u de toegang uit een Azure-resource wilt verwijderen, verwijdert u een roltoewijzing. In dit artikel wordt beschreven hoe u rollentoewijzingen verwijdert met behulp van Azure Portal, Azure PowerShell, Azure CLI en REST API.

Vereisten

Als u roltoewijzingen wilt verwijderen, moet u het volgende hebben:

Voor de REST API moet u de volgende versie gebruiken:

  • 2015-07-01 of hoger

Zie API-versies van Azure RBAC REST API's voor meer informatie.

Azure Portal

Volg vervolgens deze stappen:

  1. Open Toegangsbeheer (IAM) in een bereik, zoals beheergroep, abonnement, resourcegroep of resource, waar u de toegang wilt verwijderen.

  2. Klik op het tabblad Roltoewijzingen om alle roltoewijzingen in dit bereik weer te geven.

  3. Schakel in de lijst met roltoewijzingen het selectievakje in naast de beveiligings-principal met de roltoewijzing die u wilt verwijderen.

    Schermopname van roltoewijzing geselecteerd om te worden verwijderd.

  4. Klik op Verwijderen.

    Schermopname van het bericht roltoewijzing verwijderen.

  5. Klik op Ja om te bevestigen dat u de roltoewijzing inderdaad wilt verwijderen.

    Als u een bericht ziet dat overgenomen roltoewijzingen niet kunnen worden verwijderd, probeert u een roltoewijzing in een onderliggend bereik te verwijderen. Open Toegangsbeheer (IAM) in het bereik waaraan de rol is toegewezen en probeer het opnieuw. Een snelle manier om Toegangsbeheer (IAM) bij het juiste bereik te openen, is door naar de kolom Bereik te kijken en op de koppeling naast (Overgenomen) te klikken.

    Schermopname van het bericht roltoewijzing verwijderen voor overgenomen roltoewijzingen.

Azure PowerShell

In Azure PowerShell verwijdert u een roltoewijzing met behulp van Remove-AzRoleAssignment.

In het volgende voorbeeld wordt de roltoewijzing Inzender voor virtuele machines verwijderd van de patlong@contoso.com gebruiker in de resourcegroep pharma-sales :

PS C:\> Remove-AzRoleAssignment -SignInName patlong@contoso.com `
-RoleDefinitionName "Virtual Machine Contributor" `
-ResourceGroupName pharma-sales

Removes the Reader role from the Ann Mack Team group with ID 22222222-2222-2222-2222-222222222222 at a subscription scope.

PS C:\> Remove-AzRoleAssignment -ObjectId 22222222-2222-2222-2222-222222222222 `
-RoleDefinitionName "Reader" `
-Scope "/subscriptions/00000000-0000-0000-0000-000000000000"

Removes the Billing Reader role from the alain@example.com user at the management group scope.

PS C:\> Remove-AzRoleAssignment -SignInName alain@example.com `
-RoleDefinitionName "Billing Reader" `
-Scope "/providers/Microsoft.Management/managementGroups/marketing-group"

Removes the User Access Administrator role with ID 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 from the principal with ID 33333333-3333-3333-3333-333333333333 at subscription scope with ID 00000000-0000-0000-0000-000000000000.

PS C:\> Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 `
-RoleDefinitionId 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 `
-Scope /subscriptions/00000000-0000-0000-0000-000000000000

If you get the error message: "The provided information does not map to a role assignment", make sure that you also specify the -Scope or -ResourceGroupName parameters. For more information, see Troubleshoot Azure RBAC.

Azure CLI

In Azure CLI verwijdert u een roltoewijzing met behulp van az role assignment delete.

In het volgende voorbeeld wordt de roltoewijzing Inzender voor virtuele machines verwijderd van de patlong@contoso.com gebruiker in de resourcegroep pharma-sales :

az role assignment delete --assignee "patlong@contoso.com" \
--role "Virtual Machine Contributor" \
--resource-group "pharma-sales"

Removes the Reader role from the Ann Mack Team group with ID 22222222-2222-2222-2222-222222222222 at a subscription scope.

az role assignment delete --assignee "22222222-2222-2222-2222-222222222222" \
--role "Reader" \
--scope "/subscriptions/00000000-0000-0000-0000-000000000000"

Removes the Billing Reader role from the alain@example.com user at the management group scope.

az role assignment delete --assignee "alain@example.com" \
--role "Billing Reader" \
--scope "/providers/Microsoft.Management/managementGroups/marketing-group"

REST API

In de REST API verwijdert u een roltoewijzing met behulp van roltoewijzingen - Verwijderen.

  1. Haal de roltoewijzings-id (GUID) op. Deze id wordt geretourneerd wanneer u de roltoewijzing voor het eerst maakt of u kunt deze ophalen door de roltoewijzingen weer te geven.

  2. Begin met de volgende aanvraag:

    DELETE https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId}?api-version=2022-04-01

  3. Vervang {scope} in de URI door het bereik voor het verwijderen van de roltoewijzing.

    Bereik Type
    providers/Microsoft.Management/managementGroups/{groupId1} Beheergroep
    subscriptions/{subscriptionId1} Abonnement
    subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1 Resourcegroep
    subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1/providers/microsoft.web/sites/mysite1 Bron

  4. Vervang {roleAssignmentId} door de GUID-id van de roltoewijzing.

    Met de volgende aanvraag wordt de opgegeven roltoewijzing voor het abonnementsbereik verwijderd:

    DELETE https://management.azure.com/subscriptions/{subscriptionId1}/providers/microsoft.authorization/roleassignments/{roleAssignmentId1}?api-version=2022-04-01

    Hieronder ziet u een voorbeeld van de uitvoer:

    {
    "properties": {
        "roleDefinitionId": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleDefinitions/a795c7a0-d4a2-40c1-ae25-d81f01202912",
        "principalId": "{objectId1}",
        "principalType": "User",
        "scope": "/subscriptions/{subscriptionId1}",
        "condition": null,
        "conditionVersion": null,
        "createdOn": "2022-05-06T23:55:24.5379478Z",
        "updatedOn": "2022-05-06T23:55:24.5379478Z",
        "createdBy": "{createdByObjectId1}",
        "updatedBy": "{updatedByObjectId1}",
        "delegatedManagedIdentityResourceId": null,
        "description": null
    },
    "id": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId1}",
    "type": "Microsoft.Authorization/roleAssignments",
    "name": "{roleAssignmentId1}"
}

    ARM-sjabloon

    Er is geen manier om een roltoewijzing te verwijderen met behulp van een Azure Resource Manager-sjabloon (ARM-sjabloon). Als u een roltoewijzing wilt verwijderen, moet u andere hulpprogramma's gebruiken, zoals Azure Portal, Azure PowerShell, Azure CLI of REST API.

Gerelateerde inhoud