Azure rol atamalarını kaldırma

Azure rol tabanlı erişim denetimi (Azure RBAC), Azure kaynaklarına erişimi yönetmek için kullandığınız yetkilendirme sistemidir. Azure kaynağından erişimi kaldırmak için rol atamasını kaldırırsınız. Bu makalede Azure portal, Azure PowerShell, Azure CLI ve REST API kullanılarak rol atamalarının nasıl kaldırılacağı açıklanır.

Önkoşullar

Rol atamalarını kaldırmak için sahip olmanız gerekenler:

REST API için aşağıdaki sürümü kullanmanız gerekir:

  • 2015-07-01 veya üzeri

Daha fazla bilgi için bkz. Azure RBAC REST API'lerinin API sürümleri.

Azure portal

  1. Erişimi kaldırmak istediğiniz yönetim grubu, abonelik, kaynak grubu veya kaynak gibi bir kapsamda Erişim denetimini (IAM) açın.

  2. Bu kapsamdaki tüm rol atamalarını görüntülemek için Rol atamaları sekmesine tıklayın.

  3. Rol ataması listesinde kaldırmak istediğiniz rol atamasına sahip güvenlik sorumlusunun yanına onay işareti ekleyin.

    Kaldırılacak rol ataması seçildi

  4. Kaldır’a tıklayın.

    Rol atamasını kaldırma iletisi

  5. Görüntülenen rol atamasını kaldır iletisinde Evet'e tıklayın.

    Devralınan rol atamalarının kaldırılamadığını belirten bir ileti görürseniz, alt kapsamdaki rol atamasını kaldırmaya çalışıyorsunuz. Erişim denetimini (IAM) rolün atandığı kapsamda açmanız ve yeniden denemeniz gerekir. Erişim denetimini (IAM) doğru kapsamda açmanın hızlı bir yolu Kapsam sütununa bakmak ve (Devralındı) öğesinin yanındaki bağlantıya tıklamaktır.

    Devralınan rol atamaları için rol atamasını kaldırma iletisi

Azure PowerShell

Azure PowerShell'da Remove-AzRoleAssignment komutunu kullanarak rol atamasını kaldırırsınız.

Aşağıdaki örnek, pharma-sales kaynak grubundaki kullanıcıdan patlong@contoso.comSanal Makine Katılımcısı rol atamasını kaldırır:

PS C:\> Remove-AzRoleAssignment -SignInName patlong@contoso.com `
-RoleDefinitionName "Virtual Machine Contributor" `
-ResourceGroupName pharma-sales

Abonelik kapsamındaki 222222222-2222-2222-2222-222222222 kimlikli Ann Mack Team grubundan Okuyucu rolünü kaldırır.

PS C:\> Remove-AzRoleAssignment -ObjectId 22222222-2222-2222-2222-222222222222 `
-RoleDefinitionName "Reader" `
-Scope "/subscriptions/00000000-0000-0000-0000-000000000000"

Faturalama Okuyucusu rolünü yönetim grubu kapsamındaki kullanıcıdan alain@example.com kaldırır.

PS C:\> Remove-AzRoleAssignment -SignInName alain@example.com `
-RoleDefinitionName "Billing Reader" `
-Scope "/providers/Microsoft.Management/managementGroups/marketing-group"

"Sağlanan bilgiler bir rol atamasına eşlenmiyor" hata iletisini alırsanız, veya -ResourceGroupName parametrelerini de belirttiğinizden -Scope emin olun. Daha fazla bilgi için bkz. Azure RBAC sorunlarını giderme.

Azure CLI

Azure CLI'da az role assignment delete komutunu kullanarak rol atamasını kaldırırsınız.

Aşağıdaki örnek, pharma-sales kaynak grubundaki kullanıcıdan patlong@contoso.comSanal Makine Katılımcısı rol atamasını kaldırır:

az role assignment delete --assignee "patlong@contoso.com" \
--role "Virtual Machine Contributor" \
--resource-group "pharma-sales"

Abonelik kapsamındaki 222222222-2222-2222-2222-222222222 kimlikli Ann Mack Team grubundan Okuyucu rolünü kaldırır.

az role assignment delete --assignee "22222222-2222-2222-2222-222222222222" \
--role "Reader" \
--subscription "00000000-0000-0000-0000-000000000000"

Faturalama Okuyucusu rolünü yönetim grubu kapsamındaki kullanıcıdan alain@example.com kaldırır.

az role assignment delete --assignee "alain@example.com" \
--role "Billing Reader" \
--scope "/providers/Microsoft.Management/managementGroups/marketing-group"

REST API

REST API'de Rol Atamaları - Sil'i kullanarak rol atamasını kaldırırsınız.

  1. Rol atama tanımlayıcısını (GUID) alın. Bu tanımlayıcı, rol atamasını ilk oluşturduğunuzda döndürülür veya rol atamalarını listeleyerek alabilirsiniz.

  2. Aşağıdaki istekle başlayın:

    DELETE https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId}?api-version=2022-04-01
    
  3. URI'nin içinde {scope} öğesini rol atamasını kaldırma kapsamıyla değiştirin.

    Kapsam Tür
    providers/Microsoft.Management/managementGroups/{groupId1} Yönetim grubu
    subscriptions/{subscriptionId1} Abonelik
    subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1 Kaynak grubu
    subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1/providers/microsoft.web/sites/mysite1 Kaynak
  4. {roleAssignmentId} öğesini rol atamasının GUID tanımlayıcısıyla değiştirin.

Aşağıdaki istek, abonelik kapsamında belirtilen rol atamasını kaldırır:

DELETE https://management.azure.com/subscriptions/{subscriptionId1}/providers/microsoft.authorization/roleassignments/{roleAssignmentId1}?api-version=2022-04-01

Aşağıda çıktının bir örneği gösterilmektedir:

{
    "properties": {
        "roleDefinitionId": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleDefinitions/a795c7a0-d4a2-40c1-ae25-d81f01202912",
        "principalId": "{objectId1}",
        "principalType": "User",
        "scope": "/subscriptions/{subscriptionId1}",
        "condition": null,
        "conditionVersion": null,
        "createdOn": "2022-05-06T23:55:24.5379478Z",
        "updatedOn": "2022-05-06T23:55:24.5379478Z",
        "createdBy": "{createdByObjectId1}",
        "updatedBy": "{updatedByObjectId1}",
        "delegatedManagedIdentityResourceId": null,
        "description": null
    },
    "id": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId1}",
    "type": "Microsoft.Authorization/roleAssignments",
    "name": "{roleAssignmentId1}"
}

ARM şablonu

Azure Resource Manager şablonu (ARM şablonu) kullanarak rol atamasını kaldırmanın bir yolu yoktur. Rol atamasını kaldırmak için Azure portal, Azure PowerShell, Azure CLI veya REST API gibi diğer araçları kullanmanız gerekir.

Sonraki adımlar