Partilhar via

Remove-AzKeyVaultAccessPolicy

Módulo:
Az.KeyVault Module

Remove todas as permissões de um usuário ou aplicativo de um cofre de chaves.

Sintaxe

ByUserPrincipalName (Predefinição) 

Remove-AzKeyVaultAccessPolicy
    [-VaultName] <String>
    [[-ResourceGroupName] <String>]
    -UserPrincipalName <String>
    [-PassThru]
    [-DefaultProfile <IAzureContextContainer>]
    [-WhatIf]
    [-Confirm]
    [-SubscriptionId <String>]
    [<CommonParameters>]

ByObjectId 

Remove-AzKeyVaultAccessPolicy
    [-VaultName] <String>
    [[-ResourceGroupName] <String>]
    -ObjectId <String>
    [-ApplicationId <Guid>]
    [-PassThru]
    [-DefaultProfile <IAzureContextContainer>]
    [-WhatIf]
    [-Confirm]
    [-SubscriptionId <String>]
    [<CommonParameters>]

ByServicePrincipalName 

Remove-AzKeyVaultAccessPolicy
    [-VaultName] <String>
    [[-ResourceGroupName] <String>]
    -ServicePrincipalName <String>
    [-PassThru]
    [-DefaultProfile <IAzureContextContainer>]
    [-WhatIf]
    [-Confirm]
    [-SubscriptionId <String>]
    [<CommonParameters>]

ByEmail 

Remove-AzKeyVaultAccessPolicy
    [-VaultName] <String>
    [[-ResourceGroupName] <String>]
    -EmailAddress <String>
    [-PassThru]
    [-DefaultProfile <IAzureContextContainer>]
    [-WhatIf]
    [-Confirm]
    [-SubscriptionId <String>]
    [<CommonParameters>]

ForVault 

Remove-AzKeyVaultAccessPolicy
    [-VaultName] <String>
    [[-ResourceGroupName] <String>]
    [-EnabledForDeployment]
    [-EnabledForTemplateDeployment]
    [-EnabledForDiskEncryption]
    [-PassThru]
    [-DefaultProfile <IAzureContextContainer>]
    [-WhatIf]
    [-Confirm]
    [-SubscriptionId <String>]
    [<CommonParameters>]

InputObjectByObjectId 

Remove-AzKeyVaultAccessPolicy
    [-InputObject] <PSKeyVault>
    -ObjectId <String>
    [-ApplicationId <Guid>]
    [-PassThru]
    [-DefaultProfile <IAzureContextContainer>]
    [-WhatIf]
    [-Confirm]
    [-SubscriptionId <String>]
    [<CommonParameters>]

InputObjectByServicePrincipalName 

Remove-AzKeyVaultAccessPolicy
    [-InputObject] <PSKeyVault>
    -ServicePrincipalName <String>
    [-PassThru]
    [-DefaultProfile <IAzureContextContainer>]
    [-WhatIf]
    [-Confirm]
    [-SubscriptionId <String>]
    [<CommonParameters>]

InputObjectByUserPrincipalName 

Remove-AzKeyVaultAccessPolicy
    [-InputObject] <PSKeyVault>
    -UserPrincipalName <String>
    [-PassThru]
    [-DefaultProfile <IAzureContextContainer>]
    [-WhatIf]
    [-Confirm]
    [-SubscriptionId <String>]
    [<CommonParameters>]

InputObjectByEmail 

Remove-AzKeyVaultAccessPolicy
    [-InputObject] <PSKeyVault>
    -EmailAddress <String>
    [-PassThru]
    [-DefaultProfile <IAzureContextContainer>]
    [-WhatIf]
    [-Confirm]
    [-SubscriptionId <String>]
    [<CommonParameters>]

InputObjectForVault 

Remove-AzKeyVaultAccessPolicy
    [-InputObject] <PSKeyVault>
    [-EnabledForDeployment]
    [-EnabledForTemplateDeployment]
    [-EnabledForDiskEncryption]
    [-PassThru]
    [-DefaultProfile <IAzureContextContainer>]
    [-WhatIf]
    [-Confirm]
    [-SubscriptionId <String>]
    [<CommonParameters>]

ResourceIdByObjectId 

Remove-AzKeyVaultAccessPolicy
    [-ResourceId] <String>
    -ObjectId <String>
    [-ApplicationId <Guid>]
    [-PassThru]
    [-DefaultProfile <IAzureContextContainer>]
    [-WhatIf]
    [-Confirm]
    [-SubscriptionId <String>]
    [<CommonParameters>]

ResourceIdByServicePrincipalName 

Remove-AzKeyVaultAccessPolicy
    [-ResourceId] <String>
    -ServicePrincipalName <String>
    [-PassThru]
    [-DefaultProfile <IAzureContextContainer>]
    [-WhatIf]
    [-Confirm]
    [-SubscriptionId <String>]
    [<CommonParameters>]

ResourceIdByUserPrincipalName 

Remove-AzKeyVaultAccessPolicy
    [-ResourceId] <String>
    -UserPrincipalName <String>
    [-PassThru]
    [-DefaultProfile <IAzureContextContainer>]
    [-WhatIf]
    [-Confirm]
    [-SubscriptionId <String>]
    [<CommonParameters>]

ResourceIdByEmail 

Remove-AzKeyVaultAccessPolicy
    [-ResourceId] <String>
    -EmailAddress <String>
    [-PassThru]
    [-DefaultProfile <IAzureContextContainer>]
    [-WhatIf]
    [-Confirm]
    [-SubscriptionId <String>]
    [<CommonParameters>]

ResourceIdForVault 

Remove-AzKeyVaultAccessPolicy
    [-ResourceId] <String>
    [-EnabledForDeployment]
    [-EnabledForTemplateDeployment]
    [-EnabledForDiskEncryption]
    [-PassThru]
    [-DefaultProfile <IAzureContextContainer>]
    [-WhatIf]
    [-Confirm]
    [-SubscriptionId <String>]
    [<CommonParameters>]

Description

O cmdlet Remove-AzKeyVaultAccessPolicy remove todas as permissões para um usuário ou aplicativo ou para todos os usuários e aplicativos de um cofre de chaves. Mesmo que remova todas as permissões, o proprietário da subscrição do Azure que contém o cofre da chave pode adicionar permissões ao cofre da chave. Observe que, embora a especificação do grupo de recursos seja opcional para esse cmdlet, você deve fazê-lo para obter um melhor desempenho.

O cmdlet pode chamar abaixo a API do Microsoft Graph de acordo com os parâmetros de entrada:

  • GET /directoryObjects/{id}
  • GET /users/{id}
  • GET /users
  • GET /servicePrincipals/{id}
  • GET /servicePrincipals
  • GET /groups/{id}

Exemplos

Exemplo 1: Remover permissões para um usuário

Remove-AzKeyVaultAccessPolicy -VaultName 'Contoso03Vault' -UserPrincipalName 'PattiFuller@contoso.com' -PassThru

Vault Name                       : Contoso03Vault
Resource Group Name              : myrg
Location                         : westus
Resource ID                      : /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx/resourceGroups/myrg/providers
                                   /Microsoft.KeyVault/vaults/contoso03vault
Vault URI                        : https://contoso03vault.vault.azure.net/
Tenant ID                        : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx
SKU                              : Standard
Enabled For Deployment?          : False
Enabled For Template Deployment? : False
Enabled For Disk Encryption?     : False
Soft Delete Enabled?             :
Access Policies                  :
                                   Tenant ID                                  : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx
                                   Object ID                                  : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx
                                   Application ID                             :
                                   Display Name                               : User Name (username@microsoft.com)
                                   Permissions to Keys                        :
                                   Permissions to Secrets                     :
                                   Permissions to Certificates                : get, create
                                   Permissions to (Key Vault Managed) Storage :


Network Rule Set                 :
                                   Default Action                             : Allow
                                   Bypass                                     : AzureServices
                                   IP Rules                                   :
                                   Virtual Network Rules                      :

Tags                             :

Este comando remove todas as permissões que um usuário PattiFuller@contoso.com tem no cofre de chaves chamado Contoso03Vault. Se -PassThru for especificado, o objeto KeyVault será retornado.

Exemplo 2: Remover permissões para um aplicativo

Remove-AzKeyVaultAccessPolicy -VaultName 'Contoso03Vault' -ServicePrincipalName 'http://payroll.contoso.com'

Este comando remove todas as permissões que um aplicativo tem no cofre de chaves chamado Contoso03Vault. Este exemplo identifica o aplicativo usando o nome da entidade de serviço registrado no Microsoft Entra ID, http://payroll.contoso.com.

Exemplo 3: Remover permissões para um aplicativo usando sua ID de objeto

Remove-AzKeyVaultAccessPolicy -VaultName 'Contoso03Vault' -ObjectID 34595082-9346-41b6-8d6b-295a2808b8db

Este comando remove todas as permissões que um aplicativo tem no cofre de chaves chamado Contoso03Vault. Este exemplo identifica o aplicativo pela ID do objeto da entidade de serviço.

Exemplo 4: Remover permissões para o provedor de recursos Microsoft.Compute

Remove-AzKeyVaultAccessPolicy -VaultName 'Contoso03Vault' -ResourceGroupName 'Group14' -EnabledForDeployment

Este comando remove a permissão para o provedor de recursos Microsoft.Compute obter segredos do Contoso03Vault.

Parâmetros

-ApplicationId

Especifica a ID do aplicativo cujas permissões devem ser removidas

Propriedades dos parâmetros

Tipo:

Nullable<T>[Guid]

Default value:None
Suporta carateres universais:False
NãoMostrar:False

Conjuntos de parâmetros

ByObjectId
Position:Named
Obrigatório:False
Valor do pipeline:False
Valor do pipeline por nome de propriedade:False
Valor dos restantes argumentos:False
InputObjectByObjectId
Position:Named
Obrigatório:False
Valor do pipeline:False
Valor do pipeline por nome de propriedade:False
Valor dos restantes argumentos:False
ResourceIdByObjectId
Position:Named
Obrigatório:False
Valor do pipeline:False
Valor do pipeline por nome de propriedade:False
Valor dos restantes argumentos:False

-Confirm

Solicita confirmação antes de executar o cmdlet.

Propriedades dos parâmetros

Tipo:SwitchParameter
Default value:None
Suporta carateres universais:False
NãoMostrar:False
Aliases:Cf.

Conjuntos de parâmetros

(All)
Position:Named
Obrigatório:False
Valor do pipeline:False
Valor do pipeline por nome de propriedade:False
Valor dos restantes argumentos:False

-DefaultProfile

As credenciais, a conta, o locatário e a assinatura usados para comunicação com o azure

Propriedades dos parâmetros

Tipo:IAzureContextContainer
Default value:None
Suporta carateres universais:False
NãoMostrar:False
Aliases:AzContext, AzureRmContext, AzureCredential

Conjuntos de parâmetros

(All)
Position:Named
Obrigatório:False
Valor do pipeline:False
Valor do pipeline por nome de propriedade:False
Valor dos restantes argumentos:False

-EmailAddress

Especifica o endereço de e-mail do usuário cujo acesso você deseja remover.

Propriedades dos parâmetros

Tipo:String
Default value:None
Suporta carateres universais:False
NãoMostrar:False

Conjuntos de parâmetros

ByEmail
Position:Named
Obrigatório:True
Valor do pipeline:False
Valor do pipeline por nome de propriedade:False
Valor dos restantes argumentos:False
InputObjectByEmail
Position:Named
Obrigatório:True
Valor do pipeline:False
Valor do pipeline por nome de propriedade:False
Valor dos restantes argumentos:False
ResourceIdByEmail
Position:Named
Obrigatório:True
Valor do pipeline:False
Valor do pipeline por nome de propriedade:False
Valor dos restantes argumentos:False

-EnabledForDeployment

Se especificado, desativa a recuperação de segredos desse cofre de chaves pelo provedor de recursos Microsoft.Compute quando referenciado na criação de recursos.

Propriedades dos parâmetros

Tipo:SwitchParameter
Default value:None
Suporta carateres universais:False
NãoMostrar:False

Conjuntos de parâmetros

ForVault
Position:Named
Obrigatório:False
Valor do pipeline:False
Valor do pipeline por nome de propriedade:False
Valor dos restantes argumentos:False
InputObjectForVault
Position:Named
Obrigatório:False
Valor do pipeline:False
Valor do pipeline por nome de propriedade:False
Valor dos restantes argumentos:False
ResourceIdForVault
Position:Named
Obrigatório:False
Valor do pipeline:False
Valor do pipeline por nome de propriedade:False
Valor dos restantes argumentos:False

-EnabledForDiskEncryption

Se especificado, desabilita a recuperação de segredos desse cofre de chaves pelo Azure Disk Encryption.

Propriedades dos parâmetros

Tipo:SwitchParameter
Default value:None
Suporta carateres universais:False
NãoMostrar:False

Conjuntos de parâmetros

ForVault
Position:Named
Obrigatório:False
Valor do pipeline:False
Valor do pipeline por nome de propriedade:False
Valor dos restantes argumentos:False
InputObjectForVault
Position:Named
Obrigatório:False
Valor do pipeline:False
Valor do pipeline por nome de propriedade:False
Valor dos restantes argumentos:False
ResourceIdForVault
Position:Named
Obrigatório:False
Valor do pipeline:False
Valor do pipeline por nome de propriedade:False
Valor dos restantes argumentos:False

-EnabledForTemplateDeployment

Se especificado, desabilita a recuperação de segredos desse cofre de chaves pelo Azure Resource Manager quando referenciado em modelos.

Propriedades dos parâmetros

Tipo:SwitchParameter
Default value:None
Suporta carateres universais:False
NãoMostrar:False

Conjuntos de parâmetros

ForVault
Position:Named
Obrigatório:False
Valor do pipeline:False
Valor do pipeline por nome de propriedade:False
Valor dos restantes argumentos:False
InputObjectForVault
Position:Named
Obrigatório:False
Valor do pipeline:False
Valor do pipeline por nome de propriedade:False
Valor dos restantes argumentos:False
ResourceIdForVault
Position:Named
Obrigatório:False
Valor do pipeline:False
Valor do pipeline por nome de propriedade:False
Valor dos restantes argumentos:False

-InputObject

Objeto Key Vault.

Propriedades dos parâmetros

Tipo:PSKeyVault
Default value:None
Suporta carateres universais:False
NãoMostrar:False

Conjuntos de parâmetros

InputObjectByObjectId
Position:0
Obrigatório:True
Valor do pipeline:True
Valor do pipeline por nome de propriedade:False
Valor dos restantes argumentos:False
InputObjectByServicePrincipalName
Position:0
Obrigatório:True
Valor do pipeline:True
Valor do pipeline por nome de propriedade:False
Valor dos restantes argumentos:False
InputObjectByUserPrincipalName
Position:0
Obrigatório:True
Valor do pipeline:True
Valor do pipeline por nome de propriedade:False
Valor dos restantes argumentos:False
InputObjectByEmail
Position:0
Obrigatório:True
Valor do pipeline:True
Valor do pipeline por nome de propriedade:False
Valor dos restantes argumentos:False
InputObjectForVault
Position:0
Obrigatório:True
Valor do pipeline:True
Valor do pipeline por nome de propriedade:False
Valor dos restantes argumentos:False

-ObjectId

Especifica a ID do objeto do usuário ou da entidade de serviço na ID do Microsoft Entra para a qual as permissões devem ser removidas.

Propriedades dos parâmetros

Tipo:String
Default value:None
Suporta carateres universais:False
NãoMostrar:False

Conjuntos de parâmetros

ByObjectId
Position:Named
Obrigatório:True
Valor do pipeline:False
Valor do pipeline por nome de propriedade:False
Valor dos restantes argumentos:False
InputObjectByObjectId
Position:Named
Obrigatório:True
Valor do pipeline:False
Valor do pipeline por nome de propriedade:False
Valor dos restantes argumentos:False
ResourceIdByObjectId
Position:Named
Obrigatório:True
Valor do pipeline:False
Valor do pipeline por nome de propriedade:False
Valor dos restantes argumentos:False

-PassThru

Retorna um objeto que representa o item com o qual você está trabalhando. Por padrão, esse cmdlet não gera nenhuma saída.

Propriedades dos parâmetros

Tipo:SwitchParameter
Default value:None
Suporta carateres universais:False
NãoMostrar:False

Conjuntos de parâmetros

(All)
Position:Named
Obrigatório:False
Valor do pipeline:False
Valor do pipeline por nome de propriedade:False
Valor dos restantes argumentos:False

-ResourceGroupName

Especifica o nome do grupo de recursos associado ao cofre de chaves cuja política de acesso está sendo modificada. Se não for especificado, esse cmdlet procurará o cofre de chaves na assinatura atual.

Propriedades dos parâmetros

Tipo:String
Default value:None
Suporta carateres universais:False
NãoMostrar:False

Conjuntos de parâmetros

ByUserPrincipalName
Position:1
Obrigatório:False
Valor do pipeline:False
Valor do pipeline por nome de propriedade:False
Valor dos restantes argumentos:False
ByObjectId
Position:1
Obrigatório:False
Valor do pipeline:False
Valor do pipeline por nome de propriedade:False
Valor dos restantes argumentos:False
ByServicePrincipalName
Position:1
Obrigatório:False
Valor do pipeline:False
Valor do pipeline por nome de propriedade:False
Valor dos restantes argumentos:False
ByEmail
Position:1
Obrigatório:False
Valor do pipeline:False
Valor do pipeline por nome de propriedade:False
Valor dos restantes argumentos:False
ForVault
Position:1
Obrigatório:False
Valor do pipeline:False
Valor do pipeline por nome de propriedade:False
Valor dos restantes argumentos:False

-ResourceId

ID do recurso KeyVault.

Propriedades dos parâmetros

Tipo:String
Default value:None
Suporta carateres universais:False
NãoMostrar:False

Conjuntos de parâmetros

ResourceIdByObjectId
Position:0
Obrigatório:True
Valor do pipeline:False
Valor do pipeline por nome de propriedade:True
Valor dos restantes argumentos:False
ResourceIdByServicePrincipalName
Position:0
Obrigatório:True
Valor do pipeline:False
Valor do pipeline por nome de propriedade:True
Valor dos restantes argumentos:False
ResourceIdByUserPrincipalName
Position:0
Obrigatório:True
Valor do pipeline:False
Valor do pipeline por nome de propriedade:True
Valor dos restantes argumentos:False
ResourceIdByEmail
Position:0
Obrigatório:True
Valor do pipeline:False
Valor do pipeline por nome de propriedade:True
Valor dos restantes argumentos:False
ResourceIdForVault
Position:0
Obrigatório:True
Valor do pipeline:False
Valor do pipeline por nome de propriedade:True
Valor dos restantes argumentos:False

-ServicePrincipalName

Especifica o nome da entidade de serviço do aplicativo cujas permissões você deseja remover. Especifique a ID do aplicativo, também conhecida como ID do cliente, registrada para o aplicativo no Microsoft Entra ID.

Propriedades dos parâmetros

Tipo:String
Default value:None
Suporta carateres universais:False
NãoMostrar:False
Aliases:SPN

Conjuntos de parâmetros

ByServicePrincipalName
Position:Named
Obrigatório:True
Valor do pipeline:False
Valor do pipeline por nome de propriedade:False
Valor dos restantes argumentos:False
InputObjectByServicePrincipalName
Position:Named
Obrigatório:True
Valor do pipeline:False
Valor do pipeline por nome de propriedade:False
Valor dos restantes argumentos:False
ResourceIdByServicePrincipalName
Position:Named
Obrigatório:True
Valor do pipeline:False
Valor do pipeline por nome de propriedade:False
Valor dos restantes argumentos:False

-SubscriptionId

O ID da assinatura. Por padrão, os cmdlets são executados na assinatura definida no contexto atual. Se o usuário especificar outra assinatura, o cmdlet atual será executado na assinatura especificada pelo usuário. A substituição de assinaturas só entra em vigor durante o ciclo de vida do cmdlet atual. Ele não altera a assinatura no contexto e não afeta cmdlets subsequentes.

Propriedades dos parâmetros

Tipo:String
Default value:None
Suporta carateres universais:False
NãoMostrar:False

Conjuntos de parâmetros

(All)
Position:Named
Obrigatório:False
Valor do pipeline:False
Valor do pipeline por nome de propriedade:True
Valor dos restantes argumentos:False

-UserPrincipalName

Especifica o nome principal do usuário cujo acesso você deseja remover.

Propriedades dos parâmetros

Tipo:String
Default value:None
Suporta carateres universais:False
NãoMostrar:False
Aliases:UPN

Conjuntos de parâmetros

ByUserPrincipalName
Position:Named
Obrigatório:True
Valor do pipeline:False
Valor do pipeline por nome de propriedade:False
Valor dos restantes argumentos:False
InputObjectByUserPrincipalName
Position:Named
Obrigatório:True
Valor do pipeline:False
Valor do pipeline por nome de propriedade:False
Valor dos restantes argumentos:False
ResourceIdByUserPrincipalName
Position:Named
Obrigatório:True
Valor do pipeline:False
Valor do pipeline por nome de propriedade:False
Valor dos restantes argumentos:False

-VaultName

Especifica o nome do cofre de chaves. Este cmdlet remove permissões para o cofre de chaves especificado por esse parâmetro.

Propriedades dos parâmetros

Tipo:String
Default value:None
Suporta carateres universais:False
NãoMostrar:False

Conjuntos de parâmetros

ByUserPrincipalName
Position:0
Obrigatório:True
Valor do pipeline:False
Valor do pipeline por nome de propriedade:False
Valor dos restantes argumentos:False
ByObjectId
Position:0
Obrigatório:True
Valor do pipeline:False
Valor do pipeline por nome de propriedade:False
Valor dos restantes argumentos:False
ByServicePrincipalName
Position:0
Obrigatório:True
Valor do pipeline:False
Valor do pipeline por nome de propriedade:False
Valor dos restantes argumentos:False
ByEmail
Position:0
Obrigatório:True
Valor do pipeline:False
Valor do pipeline por nome de propriedade:False
Valor dos restantes argumentos:False
ForVault
Position:0
Obrigatório:True
Valor do pipeline:False
Valor do pipeline por nome de propriedade:False
Valor dos restantes argumentos:False

-WhatIf

Mostra o que aconteceria se o cmdlet fosse executado. O cmdlet não é executado.

Propriedades dos parâmetros

Tipo:SwitchParameter
Default value:None
Suporta carateres universais:False
NãoMostrar:False
Aliases:Wi

Conjuntos de parâmetros

(All)
Position:Named
Obrigatório:False
Valor do pipeline:False
Valor do pipeline por nome de propriedade:False
Valor dos restantes argumentos:False

CommonParameters

Este cmdlet suporta os parâmetros comuns: -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutBuffer, -OutVariable, -PipelineVariable, -ProgressAction, -Verbose, -WarningAction e -WarningVariable. Para obter mais informações, consulte about_CommonParameters.

Entradas

PSKeyVault

String

Saídas

PSKeyVault