Поделиться через

Удаление назначений ролей Azure

Управление доступом на основе ролей Azure (Azure RBAC) — это система авторизации, используемая для управления доступом к ресурсам в Azure. Чтобы удалить доступ из ресурса Azure, удалите назначение ролей. В этой статье описывается удаление назначений ролей с помощью портала Azure, Azure PowerShell, Azure CLI и REST API.

Предпосылки

Чтобы удалить назначения ролей, необходимо:

Для REST API необходимо использовать следующую версию:

  • 2015-07-01 или более поздняя версия.

Дополнительные сведения см. в версиях API Azure RBAC REST APIs.

Портал Azure

  1. Откройте элемент управления доступом (IAM) в области, например группу управления, подписку, группу ресурсов или ресурс, где требуется удалить доступ.

  2. Перейдите на вкладку "Назначения ролей" , чтобы просмотреть все назначения ролей в этой области.

  3. В списке назначений ролей установите флажок рядом с субъектом безопасности, для которого вы хотите удалить назначение роли.

    Снимок экрана: назначение роли, выбранное для удаления.

    Если вы хотите удалить назначение ролей владельца и назначение роли имеет следующее описание, необходимо также проверить, имеет ли пользователь назначение классической роли администратора на вкладке "Классические администраторы". Если у пользователя есть классическое назначение роли администратора, необходимо также удалить это назначение роли. Дополнительные сведения см. в статье "Автоматическое назначение роли владельца".

    • описание: The Classic Admin role was converted to an Azure Owner role on behalf of the user due to Classic Admin retirement

  4. Щелкните Удалить.

    Снимок экрана: удаление сообщения о назначении ролей.

  5. В появившемся сообщении об удалении назначения ролей нажмите кнопку "Да".

    Если вы видите сообщение о том, что наследуемые назначения ролей не могут быть удалены, значит вы пытаетесь удалить назначение роли в дочерней области. Следует открыть управление доступом (IAM) в области, в которой была назначена роль, и повторить попытку. Быстрый способ открыть управление доступом (IAM) в правильной области — просмотреть столбец "Область " и щелкнуть ссылку рядом с (Унаследовано).

    Снимок экрана сообщения об удалении назначения роли для наследуемых назначений ролей.

Azure PowerShell

В Azure PowerShell удалите назначение ролей с помощью Remove-AzRoleAssignment.

В следующем примере удаляется назначение роли Участник виртуальной машины у patlong@contoso.com пользователя в группе ресурсов pharma-sales.

PS C:\> Remove-AzRoleAssignment -SignInName patlong@contoso.com `
-RoleDefinitionName "Virtual Machine Contributor" `
-ResourceGroupName pharma-sales

Удаляет роль Reader из группы Ann Mack с идентификатором 22222222-2222-2222-2222-222222222222 на уровне подписки.

PS C:\> Remove-AzRoleAssignment -ObjectId 22222222-2222-2222-2222-222222222222 `
-RoleDefinitionName "Reader" `
-Scope "/subscriptions/00000000-0000-0000-0000-000000000000"

Удаляет роль читатель счетов у пользователя на уровне группы управления alain@example.com.

PS C:\> Remove-AzRoleAssignment -SignInName alain@example.com `
-RoleDefinitionName "Billing Reader" `
-Scope "/providers/Microsoft.Management/managementGroups/marketing-group"

Удаляет роль администратора доступа пользователей с идентификатором 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 из субъекта с идентификатором 33333333-3333-3333-3333-333333333333 в области подписки с идентификатором 00000000-0000-0000-0000-000000000000.

PS C:\> Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 `
-RoleDefinitionId 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 `
-Scope /subscriptions/00000000-0000-0000-0000-000000000000

Если появится сообщение об ошибке: "Предоставленные сведения не сопоставляются с назначением роли", убедитесь, что указаны параметры -Scope или -ResourceGroupName. Дополнительные сведения см. в статье об устранении неполадок службы Azure RBAC.

Azure CLI (Интерфейс командной строки для Azure)

В Azure CLI удалите назначение ролей с помощью az role assignment delete.

В следующем примере удаляется назначение роли Участник виртуальной машины у patlong@contoso.com пользователя в группе ресурсов pharma-sales.

az role assignment delete --assignee "patlong@contoso.com" \
--role "Virtual Machine Contributor" \
--resource-group "pharma-sales"

Удаляет роль Reader из группы Ann Mack с идентификатором 22222222-2222-2222-2222-222222222222 на уровне подписки.

az role assignment delete --assignee "22222222-2222-2222-2222-222222222222" \
--role "Reader" \
--scope "/subscriptions/00000000-0000-0000-0000-000000000000"

Удаляет роль читатель счетов у пользователя на уровне группы управления alain@example.com.

az role assignment delete --assignee "alain@example.com" \
--role "Billing Reader" \
--scope "/providers/Microsoft.Management/managementGroups/marketing-group"

REST API

В REST API удалите назначение роли с помощью Role Assignments - Delete.

  1. Получите идентификатор назначения ролей (GUID). Этот идентификатор возвращается при первом создании назначения роли или его можно получить путем перечисления назначений ролей.

  2. Начните со следующего запроса:

    DELETE https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId}?api-version=2022-04-01

  3. В URI замените {scope} областью для удаления назначения роли.

    Scope Тип
    providers/Microsoft.Management/managementGroups/{groupId1} Группа управления
    subscriptions/{subscriptionId1} Subscription
    subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1 Группа ресурсов
    subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1/providers/microsoft.web/sites/mysite1 Resource

  4. Замените {roleAssignmentId} идентификатором GUID назначения роли.

    Следующий запрос удаляет указанное назначение роли в области подписки:

    DELETE https://management.azure.com/subscriptions/{subscriptionId1}/providers/microsoft.authorization/roleassignments/{roleAssignmentId1}?api-version=2022-04-01

    Ниже приведен пример выходных данных:

    {
    "properties": {
        "roleDefinitionId": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleDefinitions/a795c7a0-d4a2-40c1-ae25-d81f01202912",
        "principalId": "{objectId1}",
        "principalType": "User",
        "scope": "/subscriptions/{subscriptionId1}",
        "condition": null,
        "conditionVersion": null,
        "createdOn": "2022-05-06T23:55:24.5379478Z",
        "updatedOn": "2022-05-06T23:55:24.5379478Z",
        "createdBy": "{createdByObjectId1}",
        "updatedBy": "{updatedByObjectId1}",
        "delegatedManagedIdentityResourceId": null,
        "description": null
    },
    "id": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId1}",
    "type": "Microsoft.Authorization/roleAssignments",
    "name": "{roleAssignmentId1}"
}

Шаблон ARM

Невозможно удалить назначение ролей с помощью шаблона Azure Resource Manager (шаблона ARM). Чтобы удалить назначение ролей, необходимо использовать другие средства, такие как портал Azure, Azure PowerShell, Azure CLI или REST API.

Связанный контент

  • Last updated on