Azure rol tabanlı erişim denetimi (Azure RBAC), Azure kaynaklarına erişimi yönetmek için kullandığınız yetkilendirme sistemidir. Azure kaynağından erişimi kaldırmak için rol atamasını kaldırırsınız. Bu makalede Azure portal, Azure PowerShell, Azure CLI ve REST API kullanarak rol atamalarının nasıl kaldırılacağı açıklanır.
Azure rol atamalarını kaldırma
Önkoşullar
Rol atamalarını kaldırmak için aşağıdakilere sahip olmanız gerekir:
Microsoft.Authorization/roleAssignments/deleterol tabanlı erişim denetimi Yönetici istrator gibi izinler
REST API için aşağıdaki sürümü kullanmanız gerekir:
2015-07-01veya üzeri
Daha fazla bilgi için bkz . Azure RBAC REST API'lerinin API sürümleri.
Azure portalı
Şu adımları izleyin:
Erişimi kaldırmak istediğiniz yönetim grubu, abonelik, kaynak grubu veya kaynak gibi bir kapsamda Erişim denetimini (IAM) açın.
Bu kapsamdaki tüm rol atamalarını görüntülemek için Rol atamaları sekmesine tıklayın.
Rol ataması listesinde kaldırmak istediğiniz rol atamasına sahip güvenlik sorumlusunun yanına onay işareti ekleyin.
Kaldır'a tıklayın.
Görüntülenen rol atamasını kaldır iletisinde Evet'e tıklayın.
Devralınan rol atamalarının kaldırılamadığını belirten bir ileti görürseniz, alt kapsamdaki bir rol atamasını kaldırmaya çalışıyorsunuz. Rolün atandığı kapsamda Erişim denetimini (IAM) açmanız ve yeniden denemeniz gerekir. Erişim denetimini (IAM) doğru kapsamda açmanın hızlı bir yolu Kapsam sütununa bakmak ve (Devralındı) öğesinin yanındaki bağlantıya tıklamaktır.
Azure PowerShell
Azure PowerShell'de Remove-AzRoleAssignment komutunu kullanarak rol atamasını kaldırırsınız.
Aşağıdaki örnek, pharma-sales kaynak grubundaki kullanıcıdan patlong@contoso.com Sanal Makine Katkıda Bulunanı rol atamasını kaldırır:
PS C:\> Remove-AzRoleAssignment -SignInName patlong@contoso.com `
-RoleDefinitionName "Virtual Machine Contributor" `
-ResourceGroupName pharma-sales
Removes the Reader role from the Ann Mack Team group with ID 22222222-2222-2222-2222-222222222222 at a subscription scope.
PS C:\> Remove-AzRoleAssignment -ObjectId 22222222-2222-2222-2222-222222222222 `
-RoleDefinitionName "Reader" `
-Scope "/subscriptions/00000000-0000-0000-0000-000000000000"
Removes the Billing Reader role from the alain@example.com user at the management group scope.
PS C:\> Remove-AzRoleAssignment -SignInName alain@example.com `
-RoleDefinitionName "Billing Reader" `
-Scope "/providers/Microsoft.Management/managementGroups/marketing-group"
Removes the User Access Administrator role with ID 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 from the principal with ID 33333333-3333-3333-3333-333333333333 at subscription scope with ID 00000000-0000-0000-0000-000000000000.
PS C:\> Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 `
-RoleDefinitionId 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 `
-Scope /subscriptions/00000000-0000-0000-0000-000000000000
If you get the error message: "The provided information does not map to a role assignment", make sure that you also specify the -Scope or -ResourceGroupName parameters. For more information, see Troubleshoot Azure RBAC.
Azure CLI
Azure CLI'da az role assignment delete komutunu kullanarak rol atamasını kaldırırsınız.
Aşağıdaki örnek, pharma-sales kaynak grubundaki kullanıcıdan patlong@contoso.com Sanal Makine Katkıda Bulunanı rol atamasını kaldırır:
az role assignment delete --assignee "patlong@contoso.com" \
--role "Virtual Machine Contributor" \
--resource-group "pharma-sales"
Removes the Reader role from the Ann Mack Team group with ID 22222222-2222-2222-2222-222222222222 at a subscription scope.
az role assignment delete --assignee "22222222-2222-2222-2222-222222222222" \
--role "Reader" \
--scope "/subscriptions/00000000-0000-0000-0000-000000000000"
Removes the Billing Reader role from the alain@example.com user at the management group scope.
az role assignment delete --assignee "alain@example.com" \
--role "Billing Reader" \
--scope "/providers/Microsoft.Management/managementGroups/marketing-group"
REST API
REST API'de Rol Atamaları - Sil'i kullanarak rol atamasını kaldırırsınız.
Rol atama tanımlayıcısını (GUID) alın. Bu tanımlayıcı, rol atamasını ilk oluşturduğunuzda döndürülür veya rol atamalarını listeleyerek alabilirsiniz.
Aşağıdaki istekle başlayın:
DELETE https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId}?api-version=2022-04-01URI'nin içinde {scope} öğesini rol atamasını kaldırma kapsamıyla değiştirin.
Kapsam Tür providers/Microsoft.Management/managementGroups/{groupId1}Yönetim grubu subscriptions/{subscriptionId1}Abonelik subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1Kaynak grubu subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1/providers/microsoft.web/sites/mysite1Kaynak {roleAssignmentId} öğesini rol atamasının GUID tanımlayıcısıyla değiştirin.
Aşağıdaki istek, abonelik kapsamında belirtilen rol atamasını kaldırır:
DELETE https://management.azure.com/subscriptions/{subscriptionId1}/providers/microsoft.authorization/roleassignments/{roleAssignmentId1}?api-version=2022-04-01Aşağıda çıktının bir örneği gösterilmektedir:
{ "properties": { "roleDefinitionId": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleDefinitions/a795c7a0-d4a2-40c1-ae25-d81f01202912", "principalId": "{objectId1}", "principalType": "User", "scope": "/subscriptions/{subscriptionId1}", "condition": null, "conditionVersion": null, "createdOn": "2022-05-06T23:55:24.5379478Z", "updatedOn": "2022-05-06T23:55:24.5379478Z", "createdBy": "{createdByObjectId1}", "updatedBy": "{updatedByObjectId1}", "delegatedManagedIdentityResourceId": null, "description": null }, "id": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId1}", "type": "Microsoft.Authorization/roleAssignments", "name": "{roleAssignmentId1}" }ARM şablonu
Azure Resource Manager şablonu (ARM şablonu) kullanarak rol atamasını kaldırmanın bir yolu yoktur. Rol atamasını kaldırmak için Azure portalı, Azure PowerShell, Azure CLI veya REST API gibi diğer araçları kullanmanız gerekir.