Remove-AzRoleAssignment
Удаляет назначение роли указанному субъекту, которому назначена определенная роль в определенной области.
Командлет может вызвать ниже API Microsoft Graph в соответствии с входным параметрами:
GET /users/{id}
GET /servicePrincipals/{id}
GET /groups/{id}
GET /directoryObjects/{id}
POST /directoryObjects/getByIds
Обратите внимание, что этот командлет помечается ObjectType как Unknown в выходных данных, если объект назначения роли не найден или текущая учетная запись имеет недостаточные привилегии для получения типа объекта.
Синтаксис
EmptyParameterSet (по умолчанию)
Remove-AzRoleAssignment
-ObjectId <String>
-RoleDefinitionName <String>
[-Scope <String>]
[-PassThru]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[-WhatIf]
[-Confirm]
[<CommonParameters>]
ResourceWithObjectIdParameterSet
Remove-AzRoleAssignment
-ObjectId <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
-RoleDefinitionName <String>
[-ParentResource <String>]
[-PassThru]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[-WhatIf]
[-Confirm]
[<CommonParameters>]
ResourceGroupWithObjectIdParameterSet
Remove-AzRoleAssignment
-ObjectId <String>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-PassThru]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[-WhatIf]
[-Confirm]
[<CommonParameters>]
ScopeWithObjectIdParameterSet
Remove-AzRoleAssignment
-ObjectId <String>
-RoleDefinitionName <String>
[-Scope <String>]
[-PassThru]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[-WhatIf]
[-Confirm]
[<CommonParameters>]
RoleIdWithScopeAndObjectIdParameterSet
Remove-AzRoleAssignment
-ObjectId <String>
-RoleDefinitionId <Guid>
[-Scope <String>]
[-PassThru]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[-WhatIf]
[-Confirm]
[<CommonParameters>]
ResourceWithSignInNameParameterSet
Remove-AzRoleAssignment
-SignInName <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
-RoleDefinitionName <String>
[-ParentResource <String>]
[-PassThru]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[-WhatIf]
[-Confirm]
[<CommonParameters>]
ResourceGroupWithSignInNameParameterSet
Remove-AzRoleAssignment
-SignInName <String>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-PassThru]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[-WhatIf]
[-Confirm]
[<CommonParameters>]
ScopeWithSignInNameParameterSet
Remove-AzRoleAssignment
-SignInName <String>
-RoleDefinitionName <String>
[-Scope <String>]
[-PassThru]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[-WhatIf]
[-Confirm]
[<CommonParameters>]
ResourceWithSPNParameterSet
Remove-AzRoleAssignment
-ServicePrincipalName <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
-RoleDefinitionName <String>
[-ParentResource <String>]
[-PassThru]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[-WhatIf]
[-Confirm]
[<CommonParameters>]
ResourceGroupWithSPNParameterSet
Remove-AzRoleAssignment
-ServicePrincipalName <String>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-PassThru]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[-WhatIf]
[-Confirm]
[<CommonParameters>]
ScopeWithSPNParameterSet
Remove-AzRoleAssignment
-ServicePrincipalName <String>
-RoleDefinitionName <String>
[-Scope <String>]
[-PassThru]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[-WhatIf]
[-Confirm]
[<CommonParameters>]
RoleAssignmentParameterSet
Remove-AzRoleAssignment
[-InputObject] <PSRoleAssignment>
[-PassThru]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[-WhatIf]
[-Confirm]
[<CommonParameters>]
Описание
Используйте командлет Remove-AzRoleAssignment, чтобы отозвать доступ к любому субъекту в заданной области и заданной роли.
Объект назначения, т. е. субъект должен быть указан.
Субъект может быть пользователем (используйте параметры SignInName или ObjectId для идентификации пользователя), группы безопасности (используйте параметр ObjectId для идентификации группы) или субъекта-службы (используйте параметры ServicePrincipalName или ObjectId для идентификации ServicePrincipal.
Роль, назначенная субъекту, должна быть указана с помощью параметра RoleDefinitionName.
Область назначения МОЖЕТ быть указана и, если она не указана, по умолчанию используется область подписки, т. е. она попытается удалить назначение указанному субъекту и роли в области подписки.
Область назначения можно указать с помощью одного из следующих параметров.
a.
Область — это полная область, начиная с /subscriptions/<subscriptionId> b.
ResourceGroupName — имя любой группы ресурсов в подписке.
с.
ResourceName, ResourceType, ResourceGroupName и (необязательно) ParentResource — определяет определенный ресурс в подписке.
Примеры
Пример 1
Remove-AzRoleAssignment -ResourceGroupName rg1 -SignInName [email protected] -RoleDefinitionName Reader
Удаляет назначение ролей для [email protected] , которому назначена роль читателя в области группы ресурсов rg1.
Пример 2
Remove-AzRoleAssignment -ObjectId 00001111-aaaa-2222-bbbb-3333cccc4444 -RoleDefinitionName Reader
Удаляет назначение роли субъекту группы, определяемой objectId, и назначает роль читателя.
По умолчанию используется текущая подписка в качестве области для поиска назначения для удаления.
Пример 3
$roleassignment = Get-AzRoleAssignment |Select-Object -First 1 -Wait
Remove-AzRoleAssignment -InputObject $roleassignment
Удаляет первый объект назначения роли, который извлекается из Get-AzRoleAssignment командлета.
Параметры
-Confirm
Запрашивает подтверждение перед запуском cmdlet.
Свойства параметра
Тип: SwitchParameter
Default value: None Поддерживаются подстановочные знаки: False DontShow: False Aliases: cf
Наборы параметров
(All)
Position: Named Обязательно: False Значение из конвейера: False Значение из конвейера по имени свойства: False Значение из оставшихся аргументов: False
-DefaultProfile
Учетные данные, учетная запись, клиент и подписка, используемые для обмена данными с Azure
Свойства параметра
Тип: IAzureContextContainer
Default value: None Поддерживаются подстановочные знаки: False DontShow: False Aliases: AzContext, AzureRmContext, AzureCredential
Наборы параметров
(All)
Position: Named Обязательно: False Значение из конвейера: False Значение из конвейера по имени свойства: False Значение из оставшихся аргументов: False
Объект "Назначение ролей".
Тип: PSRoleAssignment
Default value: None Поддерживаются подстановочные знаки: False DontShow: False
RoleAssignmentParameterSet
Position: 0 Обязательно: True Значение из конвейера: True Значение из конвейера по имени свойства: False Значение из оставшихся аргументов: False
-ObjectId
Microsoft Entra ObjectId пользователя, группы или субъекта-службы.
Свойства параметра
Тип: String
Default value: None Поддерживаются подстановочные знаки: False DontShow: False Aliases: Идентификатор, PrincipalId
Наборы параметров
EmptyParameterSet
Position: Named Обязательно: True Значение из конвейера: False Значение из конвейера по имени свойства: True Значение из оставшихся аргументов: False
ResourceWithObjectIdParameterSet
Position: Named Обязательно: True Значение из конвейера: False Значение из конвейера по имени свойства: True Значение из оставшихся аргументов: False
ResourceGroupWithObjectIdParameterSet
Position: Named Обязательно: True Значение из конвейера: False Значение из конвейера по имени свойства: True Значение из оставшихся аргументов: False
ScopeWithObjectIdParameterSet
Position: Named Обязательно: True Значение из конвейера: False Значение из конвейера по имени свойства: True Значение из оставшихся аргументов: False
RoleIdWithScopeAndObjectIdParameterSet
Position: Named Обязательно: True Значение из конвейера: False Значение из конвейера по имени свойства: True Значение из оставшихся аргументов: False
-ParentResource
Родительский ресурс в иерархии (ресурса, указанного с помощью параметра ResourceName), при наличии.
Необходимо использовать в сочетании с параметрами ResourceGroupName, ResourceType и ResourceName для создания иерархической области в виде относительного URI, определяющего ресурс.
Свойства параметра
Тип: String
Default value: None Поддерживаются подстановочные знаки: False DontShow: False
Наборы параметров
ResourceWithObjectIdParameterSet
Position: Named Обязательно: False Значение из конвейера: False Значение из конвейера по имени свойства: True Значение из оставшихся аргументов: False
ResourceWithSignInNameParameterSet
Position: Named Обязательно: False Значение из конвейера: False Значение из конвейера по имени свойства: True Значение из оставшихся аргументов: False
ResourceWithSPNParameterSet
Position: Named Обязательно: False Значение из конвейера: False Значение из конвейера по имени свойства: True Значение из оставшихся аргументов: False
-PassThru
При указании отображается назначение удаленной роли
Свойства параметра
Тип: SwitchParameter
Default value: None Поддерживаются подстановочные знаки: False DontShow: False
Наборы параметров
(All)
Position: Named Обязательно: False Значение из конвейера: False Значение из конвейера по имени свойства: False Значение из оставшихся аргументов: False
-ResourceGroupName
Имя группы ресурсов, которому назначена роль.
Пытается удалить назначение в указанной области группы ресурсов.
При использовании в сочетании с ResourceName, ResourceType и (необязательно)ParentResource parameters команда создает иерархическую область в виде относительного URI, определяющего ресурс.
Свойства параметра
Тип: String
Default value: None Поддерживаются подстановочные знаки: False DontShow: False
Наборы параметров
ResourceWithObjectIdParameterSet
Position: Named Обязательно: True Значение из конвейера: False Значение из конвейера по имени свойства: True Значение из оставшихся аргументов: False
ResourceGroupWithObjectIdParameterSet
Position: Named Обязательно: True Значение из конвейера: False Значение из конвейера по имени свойства: True Значение из оставшихся аргументов: False
ResourceWithSignInNameParameterSet
Position: Named Обязательно: True Значение из конвейера: False Значение из конвейера по имени свойства: True Значение из оставшихся аргументов: False
ResourceGroupWithSignInNameParameterSet
Position: Named Обязательно: True Значение из конвейера: False Значение из конвейера по имени свойства: True Значение из оставшихся аргументов: False
ResourceWithSPNParameterSet
Position: Named Обязательно: True Значение из конвейера: False Значение из конвейера по имени свойства: True Значение из оставшихся аргументов: False
ResourceGroupWithSPNParameterSet
Position: Named Обязательно: True Значение из конвейера: False Значение из конвейера по имени свойства: True Значение из оставшихся аргументов: False
-ResourceName
Имя ресурса.
Например, storageaccountprod.
Необходимо использовать в сочетании с параметрами ResourceGroupName, ResourceType и (необязательно)ParentResource, чтобы создать иерархическую область в виде относительного URI, который определяет ресурс и удаляет назначение в этой области.
Свойства параметра
Тип: String
Default value: None Поддерживаются подстановочные знаки: False DontShow: False
Наборы параметров
ResourceWithObjectIdParameterSet
Position: Named Обязательно: True Значение из конвейера: False Значение из конвейера по имени свойства: True Значение из оставшихся аргументов: False
ResourceWithSignInNameParameterSet
Position: Named Обязательно: True Значение из конвейера: False Значение из конвейера по имени свойства: True Значение из оставшихся аргументов: False
ResourceWithSPNParameterSet
Position: Named Обязательно: True Значение из конвейера: False Значение из конвейера по имени свойства: True Значение из оставшихся аргументов: False
-ResourceType
Тип ресурса.
Например, Microsoft.Network/virtualNetworks.
Необходимо использовать в сочетании с параметрами ResourceGroupName, ResourceName и (необязательно)ParentResource для создания иерархической области в виде относительного URI, который определяет ресурс и удаляет назначение в этой области ресурсов.
Свойства параметра
Тип: String
Default value: None Поддерживаются подстановочные знаки: False DontShow: False
Наборы параметров
ResourceWithObjectIdParameterSet
Position: Named Обязательно: True Значение из конвейера: False Значение из конвейера по имени свойства: True Значение из оставшихся аргументов: False
ResourceWithSignInNameParameterSet
Position: Named Обязательно: True Значение из конвейера: False Значение из конвейера по имени свойства: True Значение из оставшихся аргументов: False
ResourceWithSPNParameterSet
Position: Named Обязательно: True Значение из конвейера: False Значение из конвейера по имени свойства: True Значение из оставшихся аргументов: False
-RoleDefinitionId
Идентификатор роли RBAC, для которой необходимо удалить назначение.
Свойства параметра
Тип: Guid
Default value: None Поддерживаются подстановочные знаки: False DontShow: False
Наборы параметров
RoleIdWithScopeAndObjectIdParameterSet
Position: Named Обязательно: True Значение из конвейера: False Значение из конвейера по имени свойства: True Значение из оставшихся аргументов: False
-RoleDefinitionName
Имя роли RBAC, для которой необходимо удалить назначение, т. е. читатель, участник, администратор виртуальной сети и т. д.
Свойства параметра
Тип: String
Default value: None Поддерживаются подстановочные знаки: False DontShow: False
Наборы параметров
EmptyParameterSet
Position: Named Обязательно: True Значение из конвейера: False Значение из конвейера по имени свойства: True Значение из оставшихся аргументов: False
ResourceWithObjectIdParameterSet
Position: Named Обязательно: True Значение из конвейера: False Значение из конвейера по имени свойства: True Значение из оставшихся аргументов: False
ResourceGroupWithObjectIdParameterSet
Position: Named Обязательно: True Значение из конвейера: False Значение из конвейера по имени свойства: True Значение из оставшихся аргументов: False
ScopeWithObjectIdParameterSet
Position: Named Обязательно: True Значение из конвейера: False Значение из конвейера по имени свойства: True Значение из оставшихся аргументов: False
ResourceWithSignInNameParameterSet
Position: Named Обязательно: True Значение из конвейера: False Значение из конвейера по имени свойства: True Значение из оставшихся аргументов: False
ResourceGroupWithSignInNameParameterSet
Position: Named Обязательно: True Значение из конвейера: False Значение из конвейера по имени свойства: True Значение из оставшихся аргументов: False
ScopeWithSignInNameParameterSet
Position: Named Обязательно: True Значение из конвейера: False Значение из конвейера по имени свойства: True Значение из оставшихся аргументов: False
ResourceWithSPNParameterSet
Position: Named Обязательно: True Значение из конвейера: False Значение из конвейера по имени свойства: True Значение из оставшихся аргументов: False
ResourceGroupWithSPNParameterSet
Position: Named Обязательно: True Значение из конвейера: False Значение из конвейера по имени свойства: True Значение из оставшихся аргументов: False
ScopeWithSPNParameterSet
Position: Named Обязательно: True Значение из конвейера: False Значение из конвейера по имени свойства: True Значение из оставшихся аргументов: False
-Scope
Область удаления назначения роли.
В формате относительного URI.
Например, "/subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG".
Если это не указано, попытается удалить роль на уровне подписки.
Если задано, оно должно начинаться с "/subscriptions/{id}".
Свойства параметра
Тип: String
Default value: None Поддерживаются подстановочные знаки: False DontShow: False
Наборы параметров
EmptyParameterSet
Position: Named Обязательно: False Значение из конвейера: False Значение из конвейера по имени свойства: True Значение из оставшихся аргументов: False
ScopeWithObjectIdParameterSet
Position: Named Обязательно: False Значение из конвейера: False Значение из конвейера по имени свойства: True Значение из оставшихся аргументов: False
RoleIdWithScopeAndObjectIdParameterSet
Position: Named Обязательно: False Значение из конвейера: False Значение из конвейера по имени свойства: True Значение из оставшихся аргументов: False
ScopeWithSignInNameParameterSet
Position: Named Обязательно: False Значение из конвейера: False Значение из конвейера по имени свойства: True Значение из оставшихся аргументов: False
ScopeWithSPNParameterSet
Position: Named Обязательно: False Значение из конвейера: False Значение из конвейера по имени свойства: True Значение из оставшихся аргументов: False
-ServicePrincipalName
ServicePrincipalName приложения Microsoft Entra
Свойства параметра
Тип: String
Default value: None Поддерживаются подстановочные знаки: False DontShow: False Aliases: имя основного объекта службы, ApplicationId
Наборы параметров
ResourceWithSPNParameterSet
Position: Named Обязательно: True Значение из конвейера: False Значение из конвейера по имени свойства: True Значение из оставшихся аргументов: False
ResourceGroupWithSPNParameterSet
Position: Named Обязательно: True Значение из конвейера: False Значение из конвейера по имени свойства: True Значение из оставшихся аргументов: False
ScopeWithSPNParameterSet
Position: Named Обязательно: True Значение из конвейера: False Значение из конвейера по имени свойства: True Значение из оставшихся аргументов: False
-SignInName
Адрес электронной почты или имя участника-пользователя пользователя.
Свойства параметра
Тип: String
Default value: None Поддерживаются подстановочные знаки: False DontShow: False Aliases: Адрес электронной почты, ОсновноеИмяПользователя
Наборы параметров
ResourceWithSignInNameParameterSet
Position: Named Обязательно: True Значение из конвейера: False Значение из конвейера по имени свойства: True Значение из оставшихся аргументов: False
ResourceGroupWithSignInNameParameterSet
Position: Named Обязательно: True Значение из конвейера: False Значение из конвейера по имени свойства: True Значение из оставшихся аргументов: False
ScopeWithSignInNameParameterSet
Position: Named Обязательно: True Значение из конвейера: False Значение из конвейера по имени свойства: True Значение из оставшихся аргументов: False
-SkipClientSideScopeValidation
Если задано, пропустите проверку области на стороне клиента.
Свойства параметра
Тип: SwitchParameter
Default value: None Поддерживаются подстановочные знаки: False DontShow: False
Наборы параметров
(All)
Position: Named Обязательно: False Значение из конвейера: False Значение из конвейера по имени свойства: False Значение из оставшихся аргументов: False
-WhatIf
Используйте командлет Remove-AzRoleAssignment, чтобы отозвать доступ к любому субъекту в заданной области и заданной роли.
Объект назначения, т. е. субъект должен быть указан.
Субъект может быть пользователем (используйте параметры SignInName или ObjectId для идентификации пользователя), группы безопасности (используйте параметр ObjectId для идентификации группы) или субъекта-службы (используйте параметры ServicePrincipalName или ObjectId для идентификации ServicePrincipal.
Роль, назначенная субъекту, должна быть указана с помощью параметра RoleDefinitionName.
Область назначения МОЖЕТ быть указана и, если она не указана, по умолчанию используется область подписки, т. е. она попытается удалить назначение указанному субъекту и роли в области подписки.
Область назначения можно указать с помощью одного из следующих параметров.
a.
Область — это полная область, начиная с /subscriptions/<subscriptionId> b.
ResourceGroupName — имя любой группы ресурсов в подписке.
с.
ResourceName, ResourceType, ResourceGroupName и (необязательно) ParentResource — определяет определенный ресурс в подписке.
Свойства параметра
Тип: SwitchParameter
Default value: None Поддерживаются подстановочные знаки: False DontShow: False Aliases: wi
Наборы параметров
(All)
Position: Named Обязательно: False Значение из конвейера: False Значение из конвейера по имени свойства: False Значение из оставшихся аргументов: False
CommonParameters
Этот командлет поддерживает общие параметры: -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutBuffer, -OutVariable, -PipelineVariable, -ProgressAction, -Verbose, -WarningAction и -WarningVariable. Дополнительные сведения см. в разделе about_CommonParameters .
Выходные данные
Примечания
Ключевые слова: azure, azurerm, arm, resource, management, manager, resource, group, template, deployment
