为 Azure 自动化帐户禁用系统分配的托管标识

可以使用 Azure 门户或 REST API 在 Azure 自动化中禁用系统分配的托管标识。

使用 Azure 门户禁用

无论最初如何设置了系统分配的托管标识,都可以从 Azure 门户禁用系统分配的托管标识。

  1. 登录 Azure 门户

  2. 导航到你的自动化帐户,在“帐户设置”下选择“标识” 。

  3. 在“系统分配”选项卡中的“状态”按钮下,依次选择“关闭”、“保存” 。 当系统提示确认时,请选择“是”。

系统分配的托管标识随即已禁用,不再可以访问目标资源。

使用 REST API 禁用

下面提供了语法和示例步骤。

请求正文

以下请求正文使用 HTTP PATCH 方法禁用系统分配的托管标识,并删除任何用户分配的托管标识。

{ 
 "identity": { 
   "type": "None" 
  } 
}

如果定义了多个用户分配的标识,若要保留这些标识并仅删除系统分配的标识,则需要使用逗号分隔的列表指定每个用户分配的标识。 下例使用的是 HTTP PATCH 方法。

{ 
"identity" : {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/firstIdentity": {},
        "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/secondIdentity": {}
        }
    }
}

下面是用于发送 PATCH 请求的服务 REST API 请求 URI。

PATCH https://management.chinacloudapi.cn/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resource-group-name/providers/Microsoft.Automation/automationAccounts/automation-account-name?api-version=2020-01-13-preview

示例

执行以下步骤。

  1. 根据要执行的操作,复制请求正文并将其粘贴到名为 body_remove_sa.json 的文件中。 将该文件保存在本地计算机或 Azure 存储帐户中。

  2. 使用 Connect-AzAccount cmdlet 以交互方式登录到 Azure,并按照说明进行操作。

    # Sign in to your Azure subscription
    $sub = Get-AzSubscription -ErrorAction SilentlyContinue
    if(-not($sub))
    {
        Connect-AzAccount -Subscription -Environment AzureChinaCloud
    }
    
    # If you have multiple subscriptions, set the one to use
    # Select-AzSubscription -SubscriptionId "<SUBSCRIPTIONID>"
    
  3. 为变量提供适当的值,然后执行脚本。

    $subscriptionID = "subscriptionID"
    $resourceGroup = "resourceGroupName"
    $automationAccount = "automationAccountName"
    $file = "path\body_remove_sa.json"
    
  4. 此示例使用 PowerShell cmdlet Invoke-RestMethod 将 PATCH 请求发送到自动化帐户。

    # build URI
    $URI = "https://management.chinacloudapi.cn/subscriptions/$subscriptionID/resourceGroups/$resourceGroup/providers/Microsoft.Automation/automationAccounts/$automationAccount`?api-version=2020-01-13-preview"
    
    # build body
    $body = Get-Content $file
    
    # obtain access token
    $azContext = Get-AzContext
    $azProfile = [Microsoft.Azure.Commands.Common.Authentication.Abstractions.AzureRmProfileProvider]::Instance.Profile
    $profileClient = New-Object -TypeName Microsoft.Azure.Commands.ResourceManager.Common.RMProfileClient -ArgumentList ($azProfile)
    $token = $profileClient.AcquireAccessToken($azContext.Subscription.TenantId)
    $authHeader = @{
        'Content-Type'='application/json'
        'Authorization'='Bearer ' + $token.AccessToken
    }
    
    # Invoke the REST API
    Invoke-RestMethod -Uri $URI -Method PATCH -Headers $authHeader -Body $body
    
    # Confirm removal
    (Get-AzAutomationAccount `
        -ResourceGroupName $resourceGroup `
        -Name $automationAccount).Identity.Type
    

    根据使用的语法,输出将是:UserAssigned 或空白。

后续步骤