أدوار ومتطلبات Azure Data Share

توضح هذه المقالة الأدوار والأذونات المطلوبة لمشاركة البيانات وتلقيها باستخدام خدمة Azure Data Share.

الأدوار والمتطلبات

باستخدام خدمة Azure Data Share، يمكنك مشاركة البيانات دون تبادل بيانات الاعتماد بين موفر البيانات والمستهلك. للمشاركة المستندة إلى اللقطة، تستخدم خدمة Azure Data Share الهويات المدارة (المعروفة سابقا باسم MSIs) للمصادقة على مخزن بيانات Azure.

لإنشاء مشاركات في مشاركة بيانات Azure، سيحتاج المستخدم إلى هذه الأذونات:

• أذونات حساب مشاركة البيانات: المساهم
• مجموعة موارد التخزين: القارئ (قراءة الأذونات على مجموعة الموارد حيث تعيش حسابات التخزين أو قواعد البيانات الخاصة بك إذنا للاستعراض بحثا عنها في المدخل.)
• أذونات المصدر، اعتمادا على المصدر:
  • التخزين ومشاركة مستودع البيانات
  • مشاركة Azure SQL
  • مشاركة تحليلات Azure Synapse

التخزين ومشاركة مستودع البيانات

نوع مخزن البيانات	الإجراء	الدور في مخزن بيانات المصدر	الدور في مخزن البيانات الهدف	إشعار
Azure Blob Storage	مشاركة بيانات	مساهم حساب التخزين**		**بدلا من ذلك، يمكنك إنشاء دور مخصص مع إجراءات التخزين الضرورية
	تلقي البيانات		مساهم حساب التخزين**	**بدلا من ذلك، يمكنك إنشاء دور مخصص مع إجراءات التخزين الضرورية
	تعيين أذونات MI للمشاركة تلقائيا	دور مع Microsoft.Authorization/role assignments/write*		اختياري. بدلا من ذلك، يمكنك تعيين أذونات MI يدويا.
	تعيين أذونات MI لتلقيها تلقائيا		دور مع Microsoft.Authorization/role assignments/write*	اختياري. بدلا من ذلك، يمكنك تعيين أذونات MI يدويا.
مستودع تخزين بياناتAzure Gen 1	مشاركة بيانات	الوصول إلى الأذونات وكتابتها على الملفات التي تريد مشاركتها.
	تلقي البيانات			غير معتمد
	تعيين أذونات MI للمشاركة تلقائيا	دور مع Microsoft.Authorization/role assignments/write*		اختياري. بدلا من ذلك، يمكنك تعيين أذونات MI يدويا.
	تعيين أذونات MI لتلقيها تلقائيا			‏‏غير مدعومة.
Azure Data Lake Gen2	مشاركة بيانات	مساهم حساب التخزين**		**بدلا من ذلك، يمكنك إنشاء دور مخصص مع إجراءات التخزين الضرورية
	تلقي البيانات		مساهم حساب التخزين**	**بدلا من ذلك، يمكنك إنشاء دور مخصص مع إجراءات التخزين الضرورية
	تعيين أذونات MI للمشاركة تلقائيا	دور مع Microsoft.Authorization/role assignments/write*		اختياري. بدلا من ذلك، يمكنك تعيين أذونات MI يدويا.
	تعيين أذونات MI لتلقيها تلقائيا		دور مع Microsoft.Authorization/role assignments/write*	اختياري. بدلا من ذلك، يمكنك تعيين أذونات MI يدويا.

* هذا الإذن موجود في دور المالك .

لمزيد من المعلومات حول المشاركة من وإلى تخزين Azure، راجع المقالة لمشاركة البيانات وتلقيها من Azure Blob Storage وAzure Data Lake Storage.

مشاركة قاعدة بيانات SQL

لمشاركة البيانات من SQL، يمكنك استخدام إما:

• مصادقة Microsoft Entra
• مصادقة SQL

لتلقي البيانات في SQL، ستحتاج إلى تعيين أذونات لتلقي البيانات.

مصادقة Microsoft Entra لمشاركتها

تغطي هذه المتطلبات الأساسية المصادقة التي ستحتاجها حتى تتمكن Azure Data Share من الاتصال بقاعدة بيانات Azure SQL:

• ستحتاج إلى إذن للكتابة إلى قواعد البيانات على خادم SQL: Microsoft.Sql/servers/databases/write. يوجد هذا الإذن في دور المساهم.
• أذونات مسؤول SQL Server Microsoft Entra.
• الوصول إلى جدار حماية SQL Server:
  1. في مدخل Microsoft Azure، انتقل إلى خادم SQL الخاص بك. تحديد جدران الحماية والشبكات الظاهرية من التنقل الأيسر.
  2. حدد نعم للسماح لخدمات وموارد Azure بالوصول إلى هذا الخادم.
  3. حدد +Add client IP. يمكن تغيير عنوان IP للعميل، لذلك قد تحتاج إلى إضافة عنوان IP للعميل مرة أخرى في المرة التالية التي تشارك فيها البيانات من المدخل.
  4. حدد حفظ.

مصادقة SQL لمشاركتها

يمكنك اتباع الفيديو التجريبي خطوة بخطوة لتكوين المصادقة، أو إكمال كل من هذه المتطلبات الأساسية:

• إذن الكتابة إلى قواعد البيانات على خادم SQL: Microsoft.Sql/servers/databases/write. يوجد هذا الإذن في دور المساهم.

• إذن الهوية المدارة لمورد Azure Data Share للوصول إلى قاعدة البيانات:

  1. في مدخل Microsoft Azure، انتقل إلى خادم SQL وضبط نفسك ك Microsoft Entra مسؤول.

  2. الاتصال إلى Azure SQL Database/Data Warehouse باستخدام محرر Power Query أو SQL Server Management Studio مع مصادقة Microsoft Entra.

  3. نفذ البرنامج النصي التالي لإضافة الهوية المدارة لمورد مشاركة البيانات ك db_datareader. الاتصال باستخدام Active Directory وليس مصادقة SQL Server.

     create user "<share_acct_name>" from external provider;     
     exec sp_addrolemember db_datareader, "<share_acct_name>"; 
     

     إشعار

     <share_acc_name> هو اسم مورد مشاركة البيانات.

• مستخدم قاعدة بيانات Azure SQL مع وصول "db_datareader" للتنقل وتحديد الجداول أو طرق العرض التي ترغب في مشاركتها.

• الوصول إلى جدار حماية SQL Server:

  1. في مدخل Microsoft Azure، انتقل إلى خادم SQL. تحديد جدران الحماية والشبكات الظاهرية من التنقل الأيسر.
  2. حدد نعم للسماح لخدمات وموارد Azure بالوصول إلى هذا الخادم.
  3. حدد +Add client IP. يمكن تغيير عنوان IP للعميل، لذلك قد تحتاج إلى إضافة عنوان IP للعميل مرة أخرى في المرة التالية التي تشارك فيها البيانات من المدخل.
  4. حدد حفظ.

المصادقة المراد تلقيها في SQL

بالنسبة لخادم SQL حيث تكون مسؤول Microsoft Entra لخادم SQL، أكمل هذه المتطلبات الأساسية قبل قبول مشاركة البيانات:

• قاعدة بيانات Azure SQL أو Azure Synapse Analytics (المعروف سابقا ب Azure SQL DW).
• إذن الكتابة إلى قواعد البيانات على خادم SQL: Microsoft.Sql/servers/databases/write. يوجد هذا الإذن في دور المساهم.
• الوصول إلى جدار حماية SQL Server:
  1. في مدخل Microsoft Azure، انتقل إلى خادم SQL الخاص بك. تحديد جدران الحماية والشبكات الظاهرية من التنقل الأيسر.
  2. حدد نعم للسماح لخدمات وموارد Azure بالوصول إلى هذا الخادم.
  3. حدد +Add client IP. يمكن تغيير عنوان IP للعميل، لذلك قد تحتاج إلى إضافة عنوان IP للعميل مرة أخرى في المرة التالية التي تشارك فيها البيانات من المدخل.
  4. حدد حفظ.

بالنسبة لخادم SQL حيث لاتكون مسؤول Microsoft Entra، أكمل هذه المتطلبات الأساسية قبل قبول مشاركة البيانات:

يمكنك اتباع الفيديو التجريبي خطوة بخطوة، أو الخطوات أدناه لتكوين المتطلبات الأساسية.

• قاعدة بيانات Azure SQL أو Azure Synapse Analytics (المعروف سابقا ب Azure SQL DW).

• إذن الكتابة إلى قواعد البيانات على خادم SQL: Microsoft.Sql/servers/databases/write. يوجد هذا الإذن في دور المساهم.

• إذن الهوية المدارة لمورد Data Share للوصول إلى قاعدة بيانات Azure SQL أو Azure Synapse Analytics:

  1. في مدخل Microsoft Azure، انتقل إلى خادم SQL وضبط نفسك ك Microsoft Entra مسؤول.

  2. الاتصال إلى Azure SQL Database/Data Warehouse باستخدام محرر Power Query أو SQL Server Management Studio مع مصادقة Microsoft Entra.

  3. نفذ البرنامج النصي التالي لإضافة "الهوية المدارة لمشاركة البيانات" ك "db_datareader، db_datawriter، db_ddladmin".

     create user "<share_acc_name>" from external provider; 
     exec sp_addrolemember db_datareader, "<share_acc_name>"; 
     exec sp_addrolemember db_datawriter, "<share_acc_name>"; 
     exec sp_addrolemember db_ddladmin, "<share_acc_name>";
     

     إشعار

     <share_acc_name> هو اسم مورد مشاركة البيانات.

• الوصول إلى جدار حماية SQL Server:

  1. في مدخل Microsoft Azure، انتقل إلى خادم SQL وحدد Firewalls and virtual networks.
  2. حدد نعم للسماح لخدمات وموارد Azure بالوصول إلى هذا الخادم.
  3. حدد +Add client IP. يمكن تغيير عنوان IP للعميل، لذلك قد تحتاج إلى إضافة عنوان IP للعميل مرة أخرى في المرة التالية التي تشارك فيها البيانات من المدخل.
  4. حدد حفظ.

لمزيد من المعلومات حول المشاركة من وإلى Azure SQL، راجع المقالة لمشاركة البيانات وتلقيها من قاعدة بيانات Azure SQL.

مشاركة تحليلات Azure synapse

مشاركة

• إذن الكتابة إلى تجمع SQL في مساحة عمل Synapse: Microsoft.Synapse/workspaces/sqlPools/write. يوجد هذا الإذن في دور المساهم.

• إذن الهوية المدارة لمورد مشاركة البيانات للوصول إلى تجمع SQL لمساحة عمل Synapse:

  1. في مدخل Microsoft Azure، انتقل إلى مساحة عمل Synapse. حدد مسؤول SQL Active Directory من التنقل الأيسر وقم بتعيين نفسك كمسؤول Microsoft Entra.

  2. افتح Synapse Studio، وحدد Manage من التنقل الأيسر. تحديد Access control ضمن الأمان. عين لنفسك دور مسؤول SQL أو مسؤول مساحة العمل.

  3. حدد Develop من التنقل الأيسر في Synapse Studio. نفذ البرنامج النصي التالي في تجمع SQL لإضافة الهوية المدارة لمورد مشاركة البيانات ك db_datareader.

     create user "<share_acct_name>" from external provider;     
     exec sp_addrolemember db_datareader, "<share_acct_name>"; 
     

     إشعار

     <share_acc_name> هو اسم مورد مشاركة البيانات.

• الوصول إلى جدار حماية مساحة عمل Synapse:

  1. في مدخل Microsoft Azure، انتقل إلى مساحة عمل Synapse. حدد Firewalls من جزء التنقل الأيسر.
  2. حدد ON ل Allow Azure services and resources to access this workspace.
  3. حدد +Add client IP. يمكن تغيير عنوان IP للعميل، لذلك قد تحتاج إلى إضافة عنوان IP للعميل مرة أخرى في المرة التالية التي تشارك فيها البيانات من المدخل.
  4. حدد حفظ.

استلام

• تجمع (مساحة عمل) مخصص لـSQL Azure Synapse Analytics. تلقي البيانات في تجمع SQL بلا خادم غير مدعوم حاليا.

• إذن الكتابة إلى تجمع SQL في مساحة عمل Synapse: Microsoft.Synapse/workspaces/sqlPools/write. يوجد هذا الإذن في دور المساهم.

• إذن الهوية المدارة لمورد مشاركة البيانات للوصول إلى تجمع SQL لمساحة عمل Synapse:

  1. في مدخل Microsoft Azure، انتقل إلى مساحة عمل Synapse.

  2. حدد مسؤول SQL Active Directory من التنقل الأيسر وقم بتعيين نفسك كمسؤول Microsoft Entra.

  3. افتح Synapse Studio، وحدد "Manage" من جزء التنقل الأيسر. تحديد Access control ضمن الأمان. عين لنفسك دور مسؤول SQL أو مسؤول مساحة العمل.

  4. في Synapse Studio، حدد Develop من جزء التنقل الأيسر. نفذ البرنامج النصي التالي في تجمع SQL لإضافة الهوية المدارة لمورد مشاركة البيانات ك "db_datareader، db_datawriter، db_ddladmin".

     create user "<share_acc_name>" from external provider; 
     exec sp_addrolemember db_datareader, "<share_acc_name>"; 
     exec sp_addrolemember db_datawriter, "<share_acc_name>"; 
     exec sp_addrolemember db_ddladmin, "<share_acc_name>";
     

     إشعار

     <share_acc_name> هو اسم مورد مشاركة البيانات.

• الوصول إلى جدار حماية مساحة عمل Synapse:

  1. في مدخل Microsoft Azure، انتقل إلى مساحة عمل Synapse. حدد Firewalls من جزء التنقل الأيسر.
  2. حدد ON ل Allow Azure services and resources to access this workspace.
  3. حدد +Add client IP. عنوان IP للعميل عُرْضة للتغيير. قد تحتاج هذه العملية إلى التكرار في المرة التالية التي تشارك فيها بيانات SQL من مدخل Microsoft Azure.
  4. حدد حفظ.

لمزيد من المعلومات حول المشاركة من وإلى تحليلات Azure Synapse، راجع المقالة لمشاركة البيانات وتلقيها من Azure Synapse Analytics.

تعيين أذونات MI يدويا

إذا كان لدى المستخدم أذونات Microsoft.Authorization/role assignments/write على مخزن بيانات مصدر أو هدف، فسيعين تلقائيا الهوية المدارة ل Azure Data Share الأذونات التي يحتاجها للمصادقة مع مخزن البيانات. يمكنك أيضا تعيين أذونات الهوية المدارة يدويا.

إذا اخترت تعيين الأذونات يدويا، فقم بتعيين هذه الأذونات إلى الهوية المدارة لمورد Azure Data Share استنادا إلى المصدر والإجراء:

نوع مخزن البيانات	مخزن بيانات مصدر موفر البيانات	مخزن البيانات الهدف لمستهلك البيانات
Azure Blob Storage	قارئ بيانات للبيانات الثنائية الكبيرة للتخزين	المساهم في بيانات مخزن البيانات الثنائية الكبيرة
Azure Data Lake Gen1	المالك	غير معتمد
Azure Data Lake Gen2	قارئ بيانات للبيانات الثنائية الكبيرة للتخزين	المساهم في بيانات مخزن البيانات الثنائية الكبيرة
قاعدة بيانات Azure SQL	db_datareader	db_datareader، db_datawriter، db_ddladmin
Azure Synapse Analytics	db_datareader	db_datareader، db_datawriter، db_ddladmin

مثال موفر البيانات

عند مشاركة البيانات من حساب تخزين، يتم منح الهوية المدارة لمورد مشاركة البيانات دور Storage Blob Data Reader .

يتم ذلك تلقائيا بواسطة خدمة Azure Data Share عندما يقوم المستخدم بإضافة مجموعة بيانات عبر مدخل Microsoft Azure ويكون المستخدم مالكا لمخزن بيانات Azure، أو يكون عضوا في دور مخصص تم تعيين إذن Microsoft.Authorization/role assignments/write له.

بدلا من ذلك، يمكن للمستخدم أن يكون مالك مخزن بيانات Azure يضيف الهوية المدارة لمورد مشاركة البيانات إلى مخزن بيانات Azure يدويا. يجب تنفيذ هذا الإجراء مرة واحدة فقط لكل مورد مشاركة بيانات.

لإنشاء تعيين دور للهوية المدارة لمورد مشاركة البيانات يدويا، استخدم الخطوات التالية:

1. انتقل إلى مخزن بيانات Azure.

2. حدد Access control (IAM).

3. حدد إضافة > إضافة تعيين الدور.

   

4. في علامة التبويب دور ، حدد أحد الأدوار المدرجة في جدول تعيين الدور في القسم السابق.

5. في علامة التبويب الأعضاء، حدد الهوية المُدارة، ثم حدد تحديد الأعضاء.

6. حدد اشتراك Azure الخاص بك.

7. حدد الهوية المدارة المعينة من قبل النظام، وابحث عن مورد Azure Data Share، ثم حدده.

8. في علامة التبويب Review + assign ، حدد Review + assign لتعيين الدور.

لمعرفة المزيد حول تعيينات الأدوار، راجع تعيين أدوار Azure باستخدام مدخل Microsoft Azure. إذا كنت تشارك البيانات باستخدام واجهات برمجة تطبيقات REST، يمكنك إنشاء تعيين دور باستخدام واجهة برمجة التطبيقات عن طريق الرجوع إلى تعيين أدوار Azure باستخدام واجهة برمجة تطبيقات REST.

للمشاركة المستندة إلى لقطة SQL، يجب إنشاء مستخدم SQL من موفر خارجي في قاعدة بيانات SQL بنفس اسم مورد Azure Data Share أثناء الاتصال بقاعدة بيانات SQL باستخدام مصادقة Microsoft Entra. يجب منح هذا المستخدم إذن db_datareader . يمكن العثور على نموذج البرنامج النصي جنبا إلى جنب مع المتطلبات الأساسية الأخرى للمشاركة المستندة إلى SQL في البرنامج التعليمي مشاركة من قاعدة بيانات Azure SQL أو Azure Synapse Analytics .

مثال مستهلك البيانات

لتلقي البيانات في حساب التخزين، يجب منح الهوية المدارة لمورد مشاركة بيانات المستهلك حق الوصول إلى حساب التخزين الهدف. يجب منح الهوية المدارة لمورد مشاركة البيانات دور Storage Blob Data Contributor . يتم ذلك تلقائيا بواسطة خدمة Azure Data Share إذا حدد المستخدم حساب تخزين مستهدفا عبر مدخل Microsoft Azure وكان لدى المستخدم الإذن المناسب. على سبيل المثال، المستخدم هو مالك حساب التخزين، أو هو عضو في دور مخصص تم تعيين Microsoft.Authorization/role assignments/write له.

بدلا من ذلك، يمكن للمستخدم أن يكون مالك حساب التخزين يضيف الهوية المدارة لمورد مشاركة البيانات إلى حساب التخزين يدويا. يجب تنفيذ هذا الإجراء مرة واحدة فقط لكل مورد مشاركة بيانات. لإنشاء تعيين دور للهوية المدارة لمورد مشاركة البيانات يدويا، اتبع الخطوات التالية.

1. انتقل إلى مخزن بيانات Azure.

2. حدد Access control (IAM).

3. حدد إضافة > إضافة تعيين الدور.

   

4. في علامة التبويب دور ، حدد أحد الأدوار المدرجة في جدول تعيين الدور في القسم السابق. على سبيل المثال، لحساب تخزين، حدد Storage Blob Data Reader.

5. في علامة التبويب الأعضاء، حدد الهوية المُدارة، ثم حدد تحديد الأعضاء.

6. حدد اشتراك Azure الخاص بك.

7. حدد الهوية المدارة المعينة من قبل النظام، وابحث عن مورد Azure Data Share، ثم حدده.

8. في علامة التبويب Review + assign ، حدد Review + assign لتعيين الدور.

لمعرفة المزيد حول تعيينات الأدوار، راجع تعيين أدوار Azure باستخدام مدخل Microsoft Azure. إذا كنت تتلقى البيانات باستخدام واجهات برمجة تطبيقات REST، يمكنك إنشاء تعيين دور باستخدام واجهة برمجة التطبيقات عن طريق الرجوع إلى تعيين أدوار Azure باستخدام واجهة برمجة تطبيقات REST.

بالنسبة إلى الهدف المستند إلى SQL، يجب إنشاء مستخدم SQL من موفر خارجي في قاعدة بيانات SQL بنفس اسم مورد Azure Data Share أثناء الاتصال بقاعدة بيانات SQL باستخدام مصادقة Microsoft Entra. يجب منح هذا المستخدم إذن db_datareader db_datawriter db_ddladmin . يمكن العثور على نموذج البرنامج النصي جنبا إلى جنب مع المتطلبات الأساسية الأخرى للمشاركة المستندة إلى SQL في البرنامج التعليمي مشاركة من قاعدة بيانات Azure SQL أو Azure Synapse Analytics .

تسجيل موفر الموارد

قد تحتاج إلى تسجيل موفر موارد Microsoft.DataShare يدويا في اشتراك Azure في السيناريوهات التالية:

• عرض دعوة Azure Data Share لأول مرة في مستأجر Azure
• مشاركة البيانات من مخزن بيانات Azure في اشتراك Azure مختلف من مورد Azure Data Share
• تلقي البيانات في مخزن بيانات Azure في اشتراك Azure مختلف من مورد Azure Data Share

اتبع هذه الخطوات لتسجيل موفر موارد Microsoft.DataShare في اشتراك Azure الخاص بك. تحتاج إلى وصول المساهم إلى اشتراك Azure لتسجيل موفر الموارد.

1. في مدخل Microsoft Azure، انتقل إلى Subscriptions.
2. حدد الاشتراك الذي تستخدمه ل Azure Data Share.
3. حدد على موفري الموارد.
4. ابحث عن Microsoft.DataShare.
5. حدد تسجيل.

لمعرفة المزيد حول موفر الموارد، راجع موفري موارد Azure وأنواعها.

أدوار مخصصة لمشاركة البيانات

يصف هذا القسم الأدوار والأذونات المخصصة المطلوبة ضمن الأدوار المخصصة لمشاركة البيانات وتلقيها، خاصة بحساب التخزين. هناك أيضا متطلبات أساسية مستقلة عن الدور المخصص أو دور Azure Data Share.

المتطلبات الأساسية لمشاركة البيانات، بالإضافة إلى الدور المخصص

• للمشاركة المستندة إلى لقطة مستودع البيانات والتخزين، لإضافة مجموعة بيانات في Azure Data Share، يجب منح الهوية المدارة لمورد مشاركة بيانات الموفر حق الوصول إلى مخزن بيانات Azure المصدر. على سبيل المثال، إذا كنت تستخدم حساب تخزين، يتم منح الهوية المدارة لمورد مشاركة البيانات دور Storage Blob Data Reader.
• لتلقي البيانات في حساب تخزين، يجب منح الهوية المدارة لمورد مشاركة بيانات المستهلك حق الوصول إلى حساب التخزين الهدف. يجب منح الهوية المدارة لمورد مشاركة البيانات دور Storage Blob Data Contributor.
• قد تحتاج أيضا إلى تسجيل موفر موارد Microsoft.DataShare يدويا في اشتراك Azure لبعض السيناريوهات. راجع في قسم تسجيل موفر الموارد في هذه المقالة للحصول على تفاصيل محددة.

إنشاء أدوار مخصصة والأذونات المطلوبة

يمكن إنشاء أدوار مخصصة في اشتراك أو مجموعة موارد لمشاركة البيانات وتلقيها. يمكن بعد ذلك تعيين الدور المخصص للمستخدمين والمجموعات.

• لإنشاء دور مخصص، هناك إجراءات مطلوبة للتخزين ومشاركة البيانات ومجموعة الموارد والتخويل. راجع مستند عمليات موفر موارد Azure لمشاركة البيانات لفهم مستويات الأذونات المختلفة واختيار المستويات ذات الصلة بدورك المخصص.
• بدلا من ذلك، يمكنك استخدام مدخل Microsoft Azure للانتقال إلى IAM، والدور المخصص، وإضافة أذونات، والبحث، والبحث عن أذونات Microsoft.DataShare لمشاهدة قائمة الإجراءات المتوفرة.
• لمعرفة المزيد حول تعيين الدور المخصص، راجع أدوار Azure المخصصة. بمجرد أن يكون لديك دورك المخصص، اختبره للتحقق من أنه يعمل كما تتوقع.

يوضح ما يلي مثالا على كيفية إدراج الإجراءات المطلوبة في طريقة عرض JSON لدور مخصص لمشاركة البيانات وتلقيها.

{
"Actions": [ 

"Microsoft.Storage/storageAccounts/read",  

"Microsoft.Storage/storageAccounts/write",  

"Microsoft.Storage/storageAccounts/blobServices/containers/read", 

"Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action",

"Microsoft.Storage/storageAccounts/listkeys/action",

"Microsoft.DataShare/accounts/read", 

"Microsoft.DataShare/accounts/providers/Microsoft.Insights/metricDefinitions/read", 

"Microsoft.DataShare/accounts/shares/listSynchronizations/action", 

"Microsoft.DataShare/accounts/shares/synchronizationSettings/read", 

"Microsoft.DataShare/accounts/shares/synchronizationSettings/write", 

"Microsoft.DataShare/accounts/shares/synchronizationSettings/delete", 

"Microsoft.DataShare/accounts/shareSubscriptions/*", 

"Microsoft.DataShare/listInvitations/read", 

"Microsoft.DataShare/locations/rejectInvitation/action", 

"Microsoft.DataShare/locations/consumerInvitations/read", 

"Microsoft.DataShare/locations/operationResults/read", 

"Microsoft.Resources/subscriptions/resourceGroups/read", 

"Microsoft.Resources/subscriptions/resourcegroups/resources/read", 

"Microsoft.Authorization/roleAssignments/read", 
 ] 
}

الخطوات التالية

• تعرف على المزيد حول الأدوار في Azure - فهم تعريفات دور Azure