Partilhar via


Remove-AzRoleAssignment

Remove uma atribuição de função para a entidade de segurança especificada que é atribuída a uma função específica em um escopo específico.

O cmdlet pode chamar abaixo a API do Microsoft Graph de acordo com os parâmetros de entrada:

  • GET /users/{id}
  • GET /servicePrincipals/{id}
  • GET /groups/{id}
  • GET /directoryObjects/{id}
  • POST /directoryObjects/getByIds

Observe que esse cmdlet marcará ObjectType como Unknown na saída se o objeto de atribuição de função não for encontrado ou se a conta atual tiver privilégios insuficientes para obter o tipo de objeto.

Sintaxe

Remove-AzRoleAssignment
      -ObjectId <String>
      [-Scope <String>]
      -RoleDefinitionName <String>
      [-PassThru]
      [-SkipClientSideScopeValidation]
      [-DefaultProfile <IAzureContextContainer>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]
Remove-AzRoleAssignment
      -ObjectId <String>
      -ResourceGroupName <String>
      -ResourceName <String>
      -ResourceType <String>
      [-ParentResource <String>]
      -RoleDefinitionName <String>
      [-PassThru]
      [-SkipClientSideScopeValidation]
      [-DefaultProfile <IAzureContextContainer>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]
Remove-AzRoleAssignment
      -ObjectId <String>
      -ResourceGroupName <String>
      -RoleDefinitionName <String>
      [-PassThru]
      [-SkipClientSideScopeValidation]
      [-DefaultProfile <IAzureContextContainer>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]
Remove-AzRoleAssignment
      -ObjectId <String>
      [-Scope <String>]
      -RoleDefinitionName <String>
      [-PassThru]
      [-SkipClientSideScopeValidation]
      [-DefaultProfile <IAzureContextContainer>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]
Remove-AzRoleAssignment
      -ObjectId <String>
      [-Scope <String>]
      -RoleDefinitionId <Guid>
      [-PassThru]
      [-SkipClientSideScopeValidation]
      [-DefaultProfile <IAzureContextContainer>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]
Remove-AzRoleAssignment
      -SignInName <String>
      -ResourceGroupName <String>
      -ResourceName <String>
      -ResourceType <String>
      [-ParentResource <String>]
      -RoleDefinitionName <String>
      [-PassThru]
      [-SkipClientSideScopeValidation]
      [-DefaultProfile <IAzureContextContainer>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]
Remove-AzRoleAssignment
      -SignInName <String>
      -ResourceGroupName <String>
      -RoleDefinitionName <String>
      [-PassThru]
      [-SkipClientSideScopeValidation]
      [-DefaultProfile <IAzureContextContainer>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]
Remove-AzRoleAssignment
      -SignInName <String>
      [-Scope <String>]
      -RoleDefinitionName <String>
      [-PassThru]
      [-SkipClientSideScopeValidation]
      [-DefaultProfile <IAzureContextContainer>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]
Remove-AzRoleAssignment
      -ServicePrincipalName <String>
      -ResourceGroupName <String>
      -ResourceName <String>
      -ResourceType <String>
      [-ParentResource <String>]
      -RoleDefinitionName <String>
      [-PassThru]
      [-SkipClientSideScopeValidation]
      [-DefaultProfile <IAzureContextContainer>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]
Remove-AzRoleAssignment
      -ServicePrincipalName <String>
      -ResourceGroupName <String>
      -RoleDefinitionName <String>
      [-PassThru]
      [-SkipClientSideScopeValidation]
      [-DefaultProfile <IAzureContextContainer>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]
Remove-AzRoleAssignment
      -ServicePrincipalName <String>
      [-Scope <String>]
      -RoleDefinitionName <String>
      [-PassThru]
      [-SkipClientSideScopeValidation]
      [-DefaultProfile <IAzureContextContainer>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]
Remove-AzRoleAssignment
      [-PassThru]
      [-InputObject] <PSRoleAssignment>
      [-SkipClientSideScopeValidation]
      [-DefaultProfile <IAzureContextContainer>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]

Description

Use o commandlet Remove-AzRoleAssignment para revogar o acesso a qualquer entidade em determinado escopo e função. O objeto da cessão, ou seja, o comitente, DEVE ser especificado. A entidade de segurança pode ser um usuário (use os parâmetros SignInName ou ObjectId para identificar um usuário), grupo de segurança (use o parâmetro ObjectId para identificar um grupo) ou entidade de serviço (use os parâmetros ServicePrincipalName ou ObjectId para identificar um ServicePrincipal. A função à qual a entidade de segurança está atribuída DEVE ser especificada usando o parâmetro RoleDefinitionName. O escopo da atribuição PODE ser especificado e, se não for especificado, o padrão é o escopo da assinatura, ou seja, ele tentará excluir uma atribuição para o principal e a função especificados no escopo da assinatura. O escopo da atribuição pode ser especificado usando um dos seguintes parâmetros. a. Escopo - Este é o escopo totalmente qualificado começando com /subscriptions/<subscriptionId> b. ResourceGroupName - Nome de qualquer grupo de recursos sob a assinatura. c. ResourceName, ResourceType, ResourceGroupName e (opcionalmente) ParentResource - Identifica um recurso específico na assinatura.

Exemplos

Exemplo 1

Remove-AzRoleAssignment -ResourceGroupName rg1 -SignInName john.doe@contoso.com -RoleDefinitionName Reader

Remove uma atribuição de função para john.doe@contoso.com quem está atribuído à função Leitor no escopo do grupo de recursos rg1.

Exemplo 2

Remove-AzRoleAssignment -ObjectId 00001111-aaaa-2222-bbbb-3333cccc4444 -RoleDefinitionName Reader

Remove a atribuição de função à entidade de grupo identificada pelo ObjectId e atribuída à função Leitor. O padrão é usar a assinatura atual como o escopo para localizar a atribuição a ser excluída.

Exemplo 3

$roleassignment = Get-AzRoleAssignment |Select-Object -First 1 -Wait
Remove-AzRoleAssignment -InputObject $roleassignment

Remove o primeiro objeto de atribuição de função que é buscado do commandlet Get-AzRoleAssignment.

Parâmetros

-Confirm

Solicita a sua confirmação antes de executar o cmdlet.

Tipo:SwitchParameter
Aliases:cf
Position:Named
Default value:None
Necessário:False
Aceitar entrada de pipeline:False
Aceitar carateres universais:False

-DefaultProfile

As credenciais, a conta, o locatário e a assinatura usados para comunicação com o azure

Tipo:IAzureContextContainer
Aliases:AzContext, AzureRmContext, AzureCredential
Position:Named
Default value:None
Necessário:False
Aceitar entrada de pipeline:False
Aceitar carateres universais:False

-InputObject

Objeto Atribuição de Função.

Tipo:PSRoleAssignment
Position:0
Default value:None
Necessário:True
Aceitar entrada de pipeline:True
Aceitar carateres universais:False

-ObjectId

Microsoft Entra ObjectId do usuário, grupo ou entidade de serviço.

Tipo:String
Aliases:Id, PrincipalId
Position:Named
Default value:None
Necessário:True
Aceitar entrada de pipeline:True
Aceitar carateres universais:False

-ParentResource

O recurso pai na hierarquia (do recurso especificado usando o parâmetro ResourceName), se houver. Deve ser usado em conjunto com os parâmetros ResourceGroupName, ResourceType e ResourceName para construir um escopo hierárquico na forma de um URI relativo que identifique o recurso.

Tipo:String
Position:Named
Default value:None
Necessário:False
Aceitar entrada de pipeline:True
Aceitar carateres universais:False

-PassThru

Se especificado, exibe a atribuição de função excluída

Tipo:SwitchParameter
Position:Named
Default value:None
Necessário:False
Aceitar entrada de pipeline:False
Aceitar carateres universais:False

-ResourceGroupName

O nome do grupo de recursos ao qual a função está atribuída. Tenta excluir uma atribuição no escopo do grupo de recursos especificado. Quando usado em conjunto com os parâmetros ResourceName, ResourceType e (opcionalmente)ParentResource, o comando constrói um escopo hierárquico na forma de um URI relativo que identifica um recurso.

Tipo:String
Position:Named
Default value:None
Necessário:True
Aceitar entrada de pipeline:True
Aceitar carateres universais:False

-ResourceName

O nome do recurso. Por exemplo, storageaccountprod. Deve ser usado em conjunto com os parâmetros ResourceGroupName, ResourceType e (opcionalmente)ParentResource, para construir um escopo hierárquico na forma de um URI relativo que identifique o recurso e exclua uma atribuição nesse escopo.

Tipo:String
Position:Named
Default value:None
Necessário:True
Aceitar entrada de pipeline:True
Aceitar carateres universais:False

-ResourceType

O tipo do recurso. Por exemplo, Microsoft.Network/virtualNetworks. Deve ser usado em conjunto com os parâmetros ResourceGroupName, ResourceName e (opcionalmente)ParentResource para construir um escopo hierárquico na forma de um URI relativo que identifique o recurso e exclua uma atribuição nesse escopo de recurso.

Tipo:String
Position:Named
Default value:None
Necessário:True
Aceitar entrada de pipeline:True
Aceitar carateres universais:False

-RoleDefinitionId

Id da função RBAC para a qual a atribuição precisa ser excluída.

Tipo:Guid
Position:Named
Default value:None
Necessário:True
Aceitar entrada de pipeline:True
Aceitar carateres universais:False

-RoleDefinitionName

Nome da função RBAC para a qual a atribuição precisa ser excluída, ou seja, Leitor, Colaborador, Administrador de Rede Virtual, etc.

Tipo:String
Position:Named
Default value:None
Necessário:True
Aceitar entrada de pipeline:True
Aceitar carateres universais:False

-Scope

O Escopo da atribuição de função a ser excluída. No formato de URI relativo. Por exemplo, "/subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG". Se não for especificado, tentará excluir a função no nível da assinatura. Se especificado, deve começar com "/subscriptions/{id}".

Tipo:String
Position:Named
Default value:None
Necessário:False
Aceitar entrada de pipeline:True
Aceitar carateres universais:False

-ServicePrincipalName

O ServicePrincipalName do aplicativo Microsoft Entra

Tipo:String
Aliases:SPN
Position:Named
Default value:None
Necessário:True
Aceitar entrada de pipeline:True
Aceitar carateres universais:False

-SignInName

O endereço de e-mail ou o nome principal do usuário.

Tipo:String
Aliases:Email, UserPrincipalName
Position:Named
Default value:None
Necessário:True
Aceitar entrada de pipeline:True
Aceitar carateres universais:False

-SkipClientSideScopeValidation

Se especificado, ignore a validação do escopo do lado do cliente.

Tipo:SwitchParameter
Position:Named
Default value:None
Necessário:False
Aceitar entrada de pipeline:False
Aceitar carateres universais:False

-WhatIf

Tipo:SwitchParameter
Aliases:wi
Position:Named
Default value:None
Necessário:False
Aceitar entrada de pipeline:False
Aceitar carateres universais:False

Entradas

String

Guid

PSRoleAssignment

Saídas

PSRoleAssignment

Notas

Palavras-chave: azure, azurerm, arm, resource, management, manager, resource, group, template, deployment