Dela via

Ta bort Azure-rolltilldelningar

Rollbaserad åtkomstkontroll i Azure (Azure RBAC) är det auktoriseringssystem som du använder för att hantera åtkomst till Azure-resurser. Om du vill ta bort åtkomst från en Azure-resurs tar du bort en rolltilldelning. Den här artikeln beskriver hur du tar bort rolltilldelningar med hjälp av Azure-portalen, Azure PowerShell, Azure CLI och REST API.

Förutsättningar

Om du vill ta bort rolltilldelningar måste du ha:

För REST-API:et måste du använda följande version:

  • 2015-07-01 eller senare

Mer information finns i API-versioner av Azure RBAC REST API:er.

Azure-portalen

  1. Öppna Åtkomstkontroll (IAM) i ett omfång, till exempel hanteringsgrupp, prenumeration, resursgrupp eller resurs, där du vill ta bort åtkomsten.

  2. Klicka på fliken Rolltilldelningar för att visa alla rolltilldelningar i det här omfånget.

  3. I listan över rolltilldelningar lägger du till en bockmarkering bredvid säkerhetsobjektet med den rolltilldelning som du vill ta bort.

    Skärmbild av rolltilldelning som valts för att tas bort.

  4. Klicka på Ta bort.

    Skärmbild av meddelandet ta bort rolltilldelning.

  5. I meddelandet ta bort rolltilldelning som visas klickar du på Ja.

    Om du ser ett meddelande om att ärvda rolltilldelningar inte kan tas bort försöker du ta bort en rolltilldelning på en underordnad nivå. Du bör öppna Åtkomstkontroll (IAM) i omfånget där rollen tilldelades och försöka igen. Ett snabbt sätt att öppna Åtkomstkontroll (IAM) med rätt omfång är att titta på kolumnen Omfång och klicka på länken bredvid (Ärvd).

    Skärmbild av meddelandet om att ta bort rolltilldelning för ärvda rolltilldelningar.

Azure PowerShell

I Azure PowerShell tar du bort en rolltilldelning med hjälp av Remove-AzRoleAssignment.

Följande exempel tar bort Virtual Machine Contributor rolltilldelningen från användaren patlong@contoso.com i resursgruppen pharma-sales:

PS C:\> Remove-AzRoleAssignment -SignInName patlong@contoso.com `
-RoleDefinitionName "Virtual Machine Contributor" `
-ResourceGroupName pharma-sales

Tar bort rollen Läsare från gruppen Ann Mack Team med ID 22222222-2222-2222-2222-2222-22222222 i ett prenumerationsomfång.

PS C:\> Remove-AzRoleAssignment -ObjectId 22222222-2222-2222-2222-222222222222 `
-RoleDefinitionName "Reader" `
-Scope "/subscriptions/00000000-0000-0000-0000-000000000000"

Tar bort rollen Faktureringsläsare från alain@example.com användaren på hanteringsgruppens nivå.

PS C:\> Remove-AzRoleAssignment -SignInName alain@example.com `
-RoleDefinitionName "Billing Reader" `
-Scope "/providers/Microsoft.Management/managementGroups/marketing-group"

Tar bort rollen Administratör för användaråtkomst med ID 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 från huvudman med ID 33333333-3333-3333-3333-333333333333 i prenumerationsomfånget med ID 00000000-0000-0000-0000-000000000000.

PS C:\> Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 `
-RoleDefinitionId 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 `
-Scope /subscriptions/00000000-0000-0000-0000-000000000000

Om du får felmeddelandet "Den angivna informationen mappas inte till en rolltilldelning" kontrollerar du att du även anger parametrarna -Scope eller -ResourceGroupName . Mer information finns i Felsöka Azure RBAC.

Azure CLI (kommandoradsgränssnittet för Azure)

I Azure CLI tar du bort en rolltilldelning med hjälp av az role assignment delete.

I följande exempel tar vi bort rolltilldelningen för Bidragsgivare till virtuell dator från användaren i resursgruppen pharma-sales:

az role assignment delete --assignee "patlong@contoso.com" \
--role "Virtual Machine Contributor" \
--resource-group "pharma-sales"

Tar bort rollen Läsare från gruppen Ann Mack Team med ID 22222222-2222-2222-2222-2222-22222222 på prenumerationsnivå.

az role assignment delete --assignee "22222222-2222-2222-2222-222222222222" \
--role "Reader" \
--scope "/subscriptions/00000000-0000-0000-0000-000000000000"

Tar bort rollen Faktureringsläsare från alain@example.com användaren i hanteringsgruppens omfång.

az role assignment delete --assignee "alain@example.com" \
--role "Billing Reader" \
--scope "/providers/Microsoft.Management/managementGroups/marketing-group"

REST API

I REST-API:et tar du bort en rolltilldelning med hjälp av Rolltilldelningar – Ta bort.

  1. Hämta rolltilldelningsidentifieraren (GUID). Den här identifieraren returneras när du först skapar rolltilldelningen, eller så kan du hämta den genom att visa en lista över rolltilldelningarna.

  2. Börja med följande begäran:

    DELETE https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId}?api-version=2022-04-01

  3. I URI:n ersätter du {scope} med omfånget för att ta bort rolltilldelningen.

    Omfång Typ
    providers/Microsoft.Management/managementGroups/{groupId1} Hanteringsgrupp
    subscriptions/{subscriptionId1} Subscription
    subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1 Resursgrupp
    subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1/providers/microsoft.web/sites/mysite1 Resource

  4. Ersätt {roleAssignmentId} med GUID-identifieraren för rolltilldelningen.

    Följande begäran tar bort den angivna rolltilldelningen i prenumerationsomfånget:

    DELETE https://management.azure.com/subscriptions/{subscriptionId1}/providers/microsoft.authorization/roleassignments/{roleAssignmentId1}?api-version=2022-04-01

    Följande visar ett exempel på utdata:

    {
    "properties": {
        "roleDefinitionId": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleDefinitions/a795c7a0-d4a2-40c1-ae25-d81f01202912",
        "principalId": "{objectId1}",
        "principalType": "User",
        "scope": "/subscriptions/{subscriptionId1}",
        "condition": null,
        "conditionVersion": null,
        "createdOn": "2022-05-06T23:55:24.5379478Z",
        "updatedOn": "2022-05-06T23:55:24.5379478Z",
        "createdBy": "{createdByObjectId1}",
        "updatedBy": "{updatedByObjectId1}",
        "delegatedManagedIdentityResourceId": null,
        "description": null
    },
    "id": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId1}",
    "type": "Microsoft.Authorization/roleAssignments",
    "name": "{roleAssignmentId1}"
}

ARM-mall

Det finns inget sätt att ta bort en rolltilldelning med hjälp av en Azure Resource Manager-mall (ARM-mall). Om du vill ta bort en rolltilldelning måste du använda andra verktyg som Azure-portalen, Azure PowerShell, Azure CLI eller REST API.

Relaterat innehåll