Düzenle

Azure rol atamalarını kaldırma

  • Nasıl yapılır

Azure rol tabanlı erişim denetimi (Azure RBAC), Azure kaynaklarına erişimi yönetmek için kullandığınız yetkilendirme sistemidir. Azure kaynağından erişimi kaldırmak için rol atamasını kaldırırsınız. Bu makalede Azure portal, Azure PowerShell, Azure CLI ve REST API kullanarak rol atamalarının nasıl kaldırılacağı açıklanır.

Önkoşullar

Rol atamalarını kaldırmak için aşağıdakilere sahip olmanız gerekir:

  • Microsoft.Authorization/roleAssignments/deleterol tabanlı erişim denetimi Yönetici istrator gibi izinler

REST API için aşağıdaki sürümü kullanmanız gerekir:

  • 2015-07-01 veya üzeri

Daha fazla bilgi için bkz . Azure RBAC REST API'lerinin API sürümleri.

Azure portalı

Şu adımları izleyin:

  1. Erişimi kaldırmak istediğiniz yönetim grubu, abonelik, kaynak grubu veya kaynak gibi bir kapsamda Erişim denetimini (IAM) açın.

  2. Bu kapsamdaki tüm rol atamalarını görüntülemek için Rol atamaları sekmesine tıklayın.

  3. Rol ataması listesinde kaldırmak istediğiniz rol atamasına sahip güvenlik sorumlusunun yanına onay işareti ekleyin.

    Kaldırılacak rol atamasının ekran görüntüsü.

  4. Kaldır'a tıklayın.

    Rol atamasını kaldır iletisinin ekran görüntüsü.

  5. Görüntülenen rol atamasını kaldır iletisinde Evet'e tıklayın.

    Devralınan rol atamalarının kaldırılamadığını belirten bir ileti görürseniz, alt kapsamdaki bir rol atamasını kaldırmaya çalışıyorsunuz. Rolün atandığı kapsamda Erişim denetimini (IAM) açmanız ve yeniden denemeniz gerekir. Erişim denetimini (IAM) doğru kapsamda açmanın hızlı bir yolu Kapsam sütununa bakmak ve (Devralındı) öğesinin yanındaki bağlantıya tıklamaktır.

    Devralınan rol atamaları için rol atamasını kaldırma iletisinin ekran görüntüsü.

Azure PowerShell

Azure PowerShell'de Remove-AzRoleAssignment komutunu kullanarak rol atamasını kaldırırsınız.

Aşağıdaki örnek, pharma-sales kaynak grubundaki kullanıcıdan patlong@contoso.com Sanal Makine Katkıda Bulunanı rol atamasını kaldırır:

PS C:\> Remove-AzRoleAssignment -SignInName patlong@contoso.com `
-RoleDefinitionName "Virtual Machine Contributor" `
-ResourceGroupName pharma-sales

Removes the Reader role from the Ann Mack Team group with ID 22222222-2222-2222-2222-222222222222 at a subscription scope.

PS C:\> Remove-AzRoleAssignment -ObjectId 22222222-2222-2222-2222-222222222222 `
-RoleDefinitionName "Reader" `
-Scope "/subscriptions/00000000-0000-0000-0000-000000000000"

Removes the Billing Reader role from the alain@example.com user at the management group scope.

PS C:\> Remove-AzRoleAssignment -SignInName alain@example.com `
-RoleDefinitionName "Billing Reader" `
-Scope "/providers/Microsoft.Management/managementGroups/marketing-group"

Removes the User Access Administrator role with ID 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 from the principal with ID 33333333-3333-3333-3333-333333333333 at subscription scope with ID 00000000-0000-0000-0000-000000000000.

PS C:\> Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 `
-RoleDefinitionId 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 `
-Scope /subscriptions/00000000-0000-0000-0000-000000000000

If you get the error message: "The provided information does not map to a role assignment", make sure that you also specify the -Scope or -ResourceGroupName parameters. For more information, see Troubleshoot Azure RBAC.

Azure CLI

Azure CLI'da az role assignment delete komutunu kullanarak rol atamasını kaldırırsınız.

Aşağıdaki örnek, pharma-sales kaynak grubundaki kullanıcıdan patlong@contoso.com Sanal Makine Katkıda Bulunanı rol atamasını kaldırır:

az role assignment delete --assignee "patlong@contoso.com" \
--role "Virtual Machine Contributor" \
--resource-group "pharma-sales"

Removes the Reader role from the Ann Mack Team group with ID 22222222-2222-2222-2222-222222222222 at a subscription scope.

az role assignment delete --assignee "22222222-2222-2222-2222-222222222222" \
--role "Reader" \
--scope "/subscriptions/00000000-0000-0000-0000-000000000000"

Removes the Billing Reader role from the alain@example.com user at the management group scope.

az role assignment delete --assignee "alain@example.com" \
--role "Billing Reader" \
--scope "/providers/Microsoft.Management/managementGroups/marketing-group"

REST API

REST API'de Rol Atamaları - Sil'i kullanarak rol atamasını kaldırırsınız.

  1. Rol atama tanımlayıcısını (GUID) alın. Bu tanımlayıcı, rol atamasını ilk oluşturduğunuzda döndürülür veya rol atamalarını listeleyerek alabilirsiniz.

  2. Aşağıdaki istekle başlayın:

    DELETE https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId}?api-version=2022-04-01

  3. URI'nin içinde {scope} öğesini rol atamasını kaldırma kapsamıyla değiştirin.

    Kapsam Tür
    providers/Microsoft.Management/managementGroups/{groupId1} Yönetim grubu
    subscriptions/{subscriptionId1} Abonelik
    subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1 Kaynak grubu
    subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1/providers/microsoft.web/sites/mysite1 Kaynak

  4. {roleAssignmentId} öğesini rol atamasının GUID tanımlayıcısıyla değiştirin.

    Aşağıdaki istek, abonelik kapsamında belirtilen rol atamasını kaldırır:

    DELETE https://management.azure.com/subscriptions/{subscriptionId1}/providers/microsoft.authorization/roleassignments/{roleAssignmentId1}?api-version=2022-04-01

    Aşağıda çıktının bir örneği gösterilmektedir:

    {
    "properties": {
        "roleDefinitionId": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleDefinitions/a795c7a0-d4a2-40c1-ae25-d81f01202912",
        "principalId": "{objectId1}",
        "principalType": "User",
        "scope": "/subscriptions/{subscriptionId1}",
        "condition": null,
        "conditionVersion": null,
        "createdOn": "2022-05-06T23:55:24.5379478Z",
        "updatedOn": "2022-05-06T23:55:24.5379478Z",
        "createdBy": "{createdByObjectId1}",
        "updatedBy": "{updatedByObjectId1}",
        "delegatedManagedIdentityResourceId": null,
        "description": null
    },
    "id": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId1}",
    "type": "Microsoft.Authorization/roleAssignments",
    "name": "{roleAssignmentId1}"
}

    ARM şablonu

    Azure Resource Manager şablonu (ARM şablonu) kullanarak rol atamasını kaldırmanın bir yolu yoktur. Rol atamasını kaldırmak için Azure portalı, Azure PowerShell, Azure CLI veya REST API gibi diğer araçları kullanmanız gerekir.

İlgili içerik