Remove-AzRoleAssignment

Moduł:

Az.Resources

Usuwa przypisanie roli do określonego podmiotu zabezpieczeń, który jest przypisany do określonej roli w określonym zakresie.

Polecenie cmdlet może wywołać poniższy interfejs API programu Microsoft Graph zgodnie z parametrami wejściowymi:

• GET /users/{id}
• GET /servicePrincipals/{id}
• GET /groups/{id}
• GET /directoryObjects/{id}
• POST /directoryObjects/getByIds

Zwróć uwagę, że to polecenie cmdlet będzie oznaczać ObjectType jako Unknown dane wyjściowe, jeśli obiekt przypisania roli nie zostanie znaleziony lub bieżące konto ma niewystarczające uprawnienia do pobrania typu obiektu.

Składnia

Remove-AzRoleAssignment
      -ObjectId <String>
      [-Scope <String>]
      -RoleDefinitionName <String>
      [-PassThru]
      [-SkipClientSideScopeValidation]
      [-DefaultProfile <IAzureContextContainer>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]

Remove-AzRoleAssignment
      -ObjectId <String>
      -ResourceGroupName <String>
      -ResourceName <String>
      -ResourceType <String>
      [-ParentResource <String>]
      -RoleDefinitionName <String>
      [-PassThru]
      [-SkipClientSideScopeValidation]
      [-DefaultProfile <IAzureContextContainer>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]

Remove-AzRoleAssignment
      -ObjectId <String>
      -ResourceGroupName <String>
      -RoleDefinitionName <String>
      [-PassThru]
      [-SkipClientSideScopeValidation]
      [-DefaultProfile <IAzureContextContainer>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]

Remove-AzRoleAssignment
      -ObjectId <String>
      [-Scope <String>]
      -RoleDefinitionName <String>
      [-PassThru]
      [-SkipClientSideScopeValidation]
      [-DefaultProfile <IAzureContextContainer>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]

Remove-AzRoleAssignment
      -ObjectId <String>
      [-Scope <String>]
      -RoleDefinitionId <Guid>
      [-PassThru]
      [-SkipClientSideScopeValidation]
      [-DefaultProfile <IAzureContextContainer>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]

Remove-AzRoleAssignment
      -SignInName <String>
      -ResourceGroupName <String>
      -ResourceName <String>
      -ResourceType <String>
      [-ParentResource <String>]
      -RoleDefinitionName <String>
      [-PassThru]
      [-SkipClientSideScopeValidation]
      [-DefaultProfile <IAzureContextContainer>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]

Remove-AzRoleAssignment
      -SignInName <String>
      -ResourceGroupName <String>
      -RoleDefinitionName <String>
      [-PassThru]
      [-SkipClientSideScopeValidation]
      [-DefaultProfile <IAzureContextContainer>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]

Remove-AzRoleAssignment
      -SignInName <String>
      [-Scope <String>]
      -RoleDefinitionName <String>
      [-PassThru]
      [-SkipClientSideScopeValidation]
      [-DefaultProfile <IAzureContextContainer>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]

Remove-AzRoleAssignment
      -ServicePrincipalName <String>
      -ResourceGroupName <String>
      -ResourceName <String>
      -ResourceType <String>
      [-ParentResource <String>]
      -RoleDefinitionName <String>
      [-PassThru]
      [-SkipClientSideScopeValidation]
      [-DefaultProfile <IAzureContextContainer>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]

Remove-AzRoleAssignment
      -ServicePrincipalName <String>
      -ResourceGroupName <String>
      -RoleDefinitionName <String>
      [-PassThru]
      [-SkipClientSideScopeValidation]
      [-DefaultProfile <IAzureContextContainer>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]

Remove-AzRoleAssignment
      -ServicePrincipalName <String>
      [-Scope <String>]
      -RoleDefinitionName <String>
      [-PassThru]
      [-SkipClientSideScopeValidation]
      [-DefaultProfile <IAzureContextContainer>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]

Remove-AzRoleAssignment
      [-PassThru]
      [-InputObject] <PSRoleAssignment>
      [-SkipClientSideScopeValidation]
      [-DefaultProfile <IAzureContextContainer>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]

Opis

Użyj polecenia cmdlet Remove-AzRoleAssignment, aby odwołać dostęp do dowolnego podmiotu zabezpieczeń w danym zakresie i danej roli. Obiekt przypisania, tj. podmiot zabezpieczeń MUSI być określony. Jednostka może być użytkownikiem (użyj parametrów SignInName lub ObjectId, aby zidentyfikować użytkownika), grupy zabezpieczeń (użyj parametru ObjectId do zidentyfikowania grupy) lub jednostki usługi (użyj parametrów ServicePrincipalName lub ObjectId, aby zidentyfikować element ServicePrincipal. Rola przypisana do podmiotu zabezpieczeń musi być określona przy użyciu parametru RoleDefinitionName. Zakres przypisania MOŻE zostać określony i jeśli nie zostanie określony, wartości domyślne zakresu subskrypcji, tj. spróbuje usunąć przypisanie do określonego podmiotu zabezpieczeń i roli w zakresie subskrypcji. Zakres przypisania można określić przy użyciu jednego z następujących parametrów. a. Zakres — jest to w pełni kwalifikowany zakres rozpoczynający się od /subscriptions/<subscriptionId> b. ResourceGroupName — nazwa dowolnej grupy zasobów w ramach subskrypcji. c. ResourceName, ResourceType, ResourceGroupName i (opcjonalnie) ParentResource — identyfikuje określony zasób w ramach subskrypcji.

Przykłady

Przykład 1

Remove-AzRoleAssignment -ResourceGroupName rg1 -SignInName john.doe@contoso.com -RoleDefinitionName Reader

Usuwa przypisanie roli dla john.doe@contoso.com osób przypisanych do roli Czytelnik w zakresie grupy zasobów rg1.

Przykład 2

Remove-AzRoleAssignment -ObjectId 00001111-aaaa-2222-bbbb-3333cccc4444 -RoleDefinitionName Reader

Usuwa przypisanie roli do podmiotu zabezpieczeń grupy zidentyfikowane przez identyfikator ObjectId i przypisane do roli Czytelnik. Domyślnie używa bieżącej subskrypcji jako zakresu, aby znaleźć przypisanie do usunięcia.

Przykład 3

$roleassignment = Get-AzRoleAssignment |Select-Object -First 1 -Wait
Remove-AzRoleAssignment -InputObject $roleassignment

Usuwa pierwszy obiekt przypisania roli, który jest pobierany z polecenia cmdlet Get-AzRoleAssignment.

Parametry

-Confirm

Monituje o potwierdzenie przed uruchomieniem polecenia cmdlet.

Typ:	SwitchParameter
Aliasy:	cf
Position:	Named
Domyślna wartość:	None
Wymagane:	False
Akceptowanie danych wejściowych potoku:	False
Akceptowanie symboli wieloznacznych:	False

-DefaultProfile

Poświadczenia, konto, dzierżawa i subskrypcja używane do komunikacji z platformą Azure

Typ:	IAzureContextContainer
Aliasy:	AzContext, AzureRmContext, AzureCredential
Position:	Named
Domyślna wartość:	None
Wymagane:	False
Akceptowanie danych wejściowych potoku:	False
Akceptowanie symboli wieloznacznych:	False

-InputObject

Obiekt przypisania roli.

Typ:	PSRoleAssignment
Position:	0
Domyślna wartość:	None
Wymagane:	True
Akceptowanie danych wejściowych potoku:	True
Akceptowanie symboli wieloznacznych:	False

-ObjectId

Microsoft Entra ObjectId użytkownika, grupy lub jednostki usługi.

Typ:	String
Aliasy:	Id, PrincipalId
Position:	Named
Domyślna wartość:	None
Wymagane:	True
Akceptowanie danych wejściowych potoku:	True
Akceptowanie symboli wieloznacznych:	False

-ParentResource

Zasób nadrzędny w hierarchii (zasobu określonego przy użyciu parametru ResourceName), jeśli istnieje. Należy używać w połączeniu z parametrami ResourceGroupName, ResourceType i ResourceName, aby utworzyć zakres hierarchiczny w postaci względnego identyfikatora URI identyfikującego zasób.

Typ:	String
Position:	Named
Domyślna wartość:	None
Wymagane:	False
Akceptowanie danych wejściowych potoku:	True
Akceptowanie symboli wieloznacznych:	False

-PassThru

Jeśli zostanie określony, wyświetla usunięte przypisanie roli

Typ:	SwitchParameter
Position:	Named
Domyślna wartość:	None
Wymagane:	False
Akceptowanie danych wejściowych potoku:	False
Akceptowanie symboli wieloznacznych:	False

-ResourceGroupName

Nazwa grupy zasobów, do której przypisano rolę. Próbuje usunąć przypisanie w określonym zakresie grupy zasobów. W połączeniu z parametrami ResourceName, ResourceType i (opcjonalnie)ParentResource polecenie tworzy hierarchiczny zakres w postaci względnego identyfikatora URI identyfikującego zasób.

Typ:	String
Position:	Named
Domyślna wartość:	None
Wymagane:	True
Akceptowanie danych wejściowych potoku:	True
Akceptowanie symboli wieloznacznych:	False

-ResourceName

Nazwa zasobu. Na przykład storageaccountprod. Należy używać w połączeniu z parametrami ResourceGroupName, ResourceType i (opcjonalnie)ParentResource, aby utworzyć hierarchiczny zakres w postaci względnego identyfikatora URI identyfikującego zasób i usuwającego przypisanie w tym zakresie.

Typ:	String
Position:	Named
Domyślna wartość:	None
Wymagane:	True
Akceptowanie danych wejściowych potoku:	True
Akceptowanie symboli wieloznacznych:	False

-ResourceType

Typ zasobu. Na przykład Microsoft.Network/virtualNetworks. Należy używać w połączeniu z ResourceGroupName, ResourceName i (opcjonalnie)Parametry ParentResource do konstruowania zakresu hierarchicznego w postaci względnego identyfikatora URI identyfikującego zasób i usuwającego przypisanie w tym zakresie zasobów.

Typ:	String
Position:	Named
Domyślna wartość:	None
Wymagane:	True
Akceptowanie danych wejściowych potoku:	True
Akceptowanie symboli wieloznacznych:	False

-RoleDefinitionId

Identyfikator roli RBAC, dla której należy usunąć przypisanie.

Typ:	Guid
Position:	Named
Domyślna wartość:	None
Wymagane:	True
Akceptowanie danych wejściowych potoku:	True
Akceptowanie symboli wieloznacznych:	False

-RoleDefinitionName

Nazwa roli RBAC, dla której należy usunąć przypisanie, tj. Czytelnik, Współautor, Administrator sieci wirtualnej itp.

Typ:	String
Position:	Named
Domyślna wartość:	None
Wymagane:	True
Akceptowanie danych wejściowych potoku:	True
Akceptowanie symboli wieloznacznych:	False

-Scope

Zakres przypisania roli do usunięcia. W formacie względnego identyfikatora URI. Na przykład "/subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG". Jeśli nie zostanie określony, spróbuje usunąć rolę na poziomie subskrypcji. Jeśli zostanie określony, powinien on rozpoczynać się od ciągu "/subscriptions/{id}".

Typ:	String
Position:	Named
Domyślna wartość:	None
Wymagane:	False
Akceptowanie danych wejściowych potoku:	True
Akceptowanie symboli wieloznacznych:	False

-ServicePrincipalName

ServicePrincipalName aplikacji Microsoft Entra

Typ:	String
Aliasy:	SPN
Position:	Named
Domyślna wartość:	None
Wymagane:	True
Akceptowanie danych wejściowych potoku:	True
Akceptowanie symboli wieloznacznych:	False

-SignInName

Adres e-mail lub główna nazwa użytkownika użytkownika.

Typ:	String
Aliasy:	Email, UserPrincipalName
Position:	Named
Domyślna wartość:	None
Wymagane:	True
Akceptowanie danych wejściowych potoku:	True
Akceptowanie symboli wieloznacznych:	False

-SkipClientSideScopeValidation

Jeśli zostanie określony, pomiń walidację zakresu po stronie klienta.

Typ:	SwitchParameter
Position:	Named
Domyślna wartość:	None
Wymagane:	False
Akceptowanie danych wejściowych potoku:	False
Akceptowanie symboli wieloznacznych:	False

-WhatIf

Typ:	SwitchParameter
Aliasy:	wi
Position:	Named
Domyślna wartość:	None
Wymagane:	False
Akceptowanie danych wejściowych potoku:	False
Akceptowanie symboli wieloznacznych:	False

Dane wejściowe

String

Guid

PSRoleAssignment

Dane wyjściowe

PSRoleAssignment

Uwagi

Słowa kluczowe: azure, azurerm, arm, resource, management, manager, resource, group, template, deployment

Linki powiązane

• New-AzRoleAssignment
• Get-AzRoleAssignment
• Get-AzRoleDefinition