다음을 통해 공유

Azure Data Share의 역할 및 요구 사항

  • 아티클

이 문서에서는 Azure Data Share 서비스를 사용하여 데이터를 공유하고 수신하는 데 필요한 역할 및 사용 권한을 설명합니다.

역할 및 요구 사항

Azure Data Share 서비스를 사용하면 데이터 공급자와 소비자 간에 자격 증명을 교환하지 않고도 데이터를 공유할 수 있습니다. 스냅샷 기반 공유의 경우 Azure Data Share 서비스는 관리 ID(이전에는 MSI라고 함)를 사용하여 Azure 데이터 저장소에 인증합니다.

Azure 데이터 공유에서 공유를 만들려면 사용자에게 다음 권한이 필요합니다.

스토리지 및 데이터 레이크 공유

데이터 저장소 유형 작업 원본 데이터 저장소에 대한 역할 대상 데이터 저장소에 대한 역할 참고 항목
Azure Blob Storage 데이터 공유 스토리지 계정 기여자** **대신, 필요한 저장 작업이 포함된 사용자 지정 역할을 만들 수 있습니다.
데이터 받기 스토리지 계정 기여자** **대신, 필요한 저장 작업이 포함된 사용자 지정 역할을 만들 수 있습니다.
공유할 MI 권한을 자동으로 할당 Microsoft.Authorization/role assignments/write*이 포함된 역할 선택 사항. 대신 MI 권한을 수동으로 할당할 수 있습니다.
수신할 MI 권한을 자동으로 할당 Microsoft.Authorization/role assignments/write*이 포함된 역할 선택 사항. 대신 MI 권한을 수동으로 할당할 수 있습니다.
Azure Data Lake Gen 1 데이터 공유 공유하려는 파일에 대한 액세스 및 쓰기 권한.
데이터 받기 지원되지 않음
공유할 MI 권한을 자동으로 할당 Microsoft.Authorization/role assignments/write*이 포함된 역할 선택 사항. 대신 MI 권한을 수동으로 할당할 수 있습니다.
수신할 MI 권한을 자동으로 할당 지원되지 않습니다.
Azure Data Lake Gen 2 데이터 공유 스토리지 계정 기여자** **대신, 필요한 저장 작업이 포함된 사용자 지정 역할을 만들 수 있습니다.
데이터 받기 스토리지 계정 기여자** **대신, 필요한 저장 작업이 포함된 사용자 지정 역할을 만들 수 있습니다.
공유할 MI 권한을 자동으로 할당 Microsoft.Authorization/role assignments/write*이 포함된 역할 선택 사항. 대신 MI 권한을 수동으로 할당할 수 있습니다.
수신할 MI 권한을 자동으로 할당 Microsoft.Authorization/role assignments/write*이 포함된 역할 선택 사항. 대신 MI 권한을 수동으로 할당할 수 있습니다.

* 이 권한은 소유자 역할에 있습니다.

Azure Storage와의 공유에 대한 자세한 내용은 Azure Blob Storage 및 Azure Data Lake Storage에서 데이터 공유 및 수신에 대한 문서를 참조하세요.

SQL 데이터베이스 공유

SQL에서 데이터를 공유하려면 다음 중 하나를 사용할 수 있습니다.

SQL로 데이터를 수신하려면 데이터 수신 권한을 할당해야 합니다.

공유할 Microsoft Entra 인증

다음의 필수 구성 요소는 Azure Data Share가 Azure SQL Database와 연결하는 데 필요한 인증을 다룹니다.

  • SQL 서버의 데이터베이스에 데이터베이스를 쓸 권한이 필요합니다. Microsoft.Sql/servers/databases/write 이 권한은 기여자 역할에 있습니다.
  • SQL Server Microsoft Entra 관리자 권한.
  • SQL Server Firewall 액세스:
    1. Azure Portal에서 SQL 서버로 이동합니다. 왼쪽 탐색에서 방화벽 및 가상 네트워크를 선택합니다.
    2. Azure 서비스 및 리소스가 이 서버에 액세스할 수 있도록 허용에 대해 를 선택합니다.
    3. +클라이언트 IP 추가를 선택합니다. 클라이언트 IP 주소가 변경되어 다음에 포털에서 데이터를 공유할 때 클라이언트 IP를 다시 추가해야 할 수 있습니다.
    4. 저장을 선택합니다.

공유할 SQL 인증

단계별 데모 비디오를 따라 인증을 구성하거나 다음의 각 필수 구성 요소를 완료할 수 있습니다.

  • SQL 서버의 데이터베이스에 데이터베이스를 쓸 권한: Microsoft.Sql/servers/databases/write 이 권한은 기여자 역할에 있습니다.

  • Azure Data Share 리소스의 관리 ID가 데이터베이스에 액세스할 수 있는 권한입니다.

    1. Azure Portal에서 SQL 서버로 이동하여 자신을 Microsoft Entra 관리자로 설정합니다.

    2. 쿼리 편집기 또는 Microsoft Entra 인증이 포함된 SQL Server Management Studio를 사용하여 Azure SQL Database/데이터 웨어하우스에 연결합니다.

    3. 다음 스크립트를 실행하여 Data Share 리소스 관리 ID를 db_datareader로 추가합니다. SQL Server 인증이 아닌 Active Directory를 사용하여 연결합니다.

      create user "<share_acct_name>" from external provider;     
exec sp_addrolemember db_datareader, "<share_acct_name>";

      참고 항목

      <share_acc_name>은 Data Share 리소스의 이름입니다.

  • 공유하려는 테이블 또는 보기를 탐색하고 선택할 수 있는 'db_datareader'가 포함된 Azure SQL Database 사용자입니다.

  • SQL Server Firewall 액세스:

    1. Azure Portal에서 SQL 서버로 이동합니다. 왼쪽 탐색에서 방화벽 및 가상 네트워크를 선택합니다.
    2. Azure 서비스 및 리소스가 이 서버에 액세스할 수 있도록 허용에 대해 를 선택합니다.
    3. +클라이언트 IP 추가를 선택합니다. 클라이언트 IP 주소가 변경되어 다음에 포털에서 데이터를 공유할 때 클라이언트 IP를 다시 추가해야 할 수 있습니다.
    4. 저장을 선택합니다.

SQL로 수신할 인증

사용자가 SQL Server의 Microsoft Entra 관리자인 SQL Server의 경우 데이터 공유를 수락하기 전에 다음 필수 조건을 완료합니다.

  • Azure SQL Database 또는 Azure Synapse Analytics(이전의 Azure SQL DW).
  • SQL 서버의 데이터베이스에 데이터베이스를 쓸 권한: Microsoft.Sql/servers/databases/write 이 권한은 기여자 역할에 있습니다.
  • SQL Server Firewall 액세스:
    1. Azure Portal에서 SQL 서버로 이동합니다. 왼쪽 탐색에서 방화벽 및 가상 네트워크를 선택합니다.
    2. Azure 서비스 및 리소스가 이 서버에 액세스할 수 있도록 허용에 대해 를 선택합니다.
    3. +클라이언트 IP 추가를 선택합니다. 클라이언트 IP 주소가 변경되어 다음에 포털에서 데이터를 공유할 때 클라이언트 IP를 다시 추가해야 할 수 있습니다.
    4. 저장을 선택합니다.

Microsoft Entra 관리자아닌 SQL 서버의 경우 데이터 공유를 수락하기 전에 다음 필수 조건을 완료합니다.

단계별 데모 비디오를 따르거나 다음의 필수 구성 요소를 구성하는 단계를 따를 수 있습니다.

  • Azure SQL Database 또는 Azure Synapse Analytics(이전의 Azure SQL DW).

  • SQL 서버의 데이터베이스를 쓸 수 있는 권한: Microsoft.Sql/servers/databases/write. 이 권한은 기여자 역할에 있습니다.

  • Data Share 리소스의 관리 ID가 Azure SQL Database 또는 Azure Synapse Analytics에 액세스할 수 있는 권한입니다.

    1. Azure Portal에서 SQL 서버로 이동하여 자신을 Microsoft Entra 관리자로 설정합니다.

    2. 쿼리 편집기 또는 Microsoft Entra 인증이 포함된 SQL Server Management Studio를 사용하여 Azure SQL Database/데이터 웨어하우스에 연결합니다.

    3. 다음 스크립트를 실행하여 Data Share Managed Identity를 'db_datareader, db_datawriter, db_ddladmin'으로 추가합니다.

      create user "<share_acc_name>" from external provider; 
exec sp_addrolemember db_datareader, "<share_acc_name>"; 
exec sp_addrolemember db_datawriter, "<share_acc_name>"; 
exec sp_addrolemember db_ddladmin, "<share_acc_name>";

      참고 항목

      <share_acc_name>은 Data Share 리소스의 이름입니다.

  • SQL Server Firewall 액세스:

    1. Azure Portal에서 SQL Server로 이동하여 방화벽 및 가상 네트워크를 선택합니다.
    2. Azure 서비스 및 리소스가 이 서버에 액세스할 수 있도록 허용에 대해 를 선택합니다.
    3. +클라이언트 IP 추가를 선택합니다. 클라이언트 IP 주소가 변경되어 다음에 포털에서 데이터를 공유할 때 클라이언트 IP를 다시 추가해야 할 수 있습니다.
    4. 저장을 선택합니다.

Azure SQL과의 공유에 대한 자세한 내용은 Azure SQL Database에서 데이터 공유 및 수신에 대한 문서를 참조하세요.

Azure Synapse Analytics 공유

공유

  • Synapse 작업 영역의 SQL 풀에 쓸 수 있는 권한: Microsoft.Synapse/workspaces/sqlPools/write. 이 권한은 기여자 역할에 있습니다.

  • Data Share 리소스의 관리 ID가 Synapse 작업 영역 SQL 풀에 액세스할 수 있는 권한입니다.

    1. Azure Portal에서 Synapse 작업 영역으로 이동합니다. 왼쪽 탐색 메뉴에서 SQL Active Directory 관리자를 선택하고 자신을 Microsoft Entra 관리자로 설정합니다.

    2. Synapse Studio를 열고 왼쪽 탐색에서 관리를 선택합니다. 보안에서 액세스 제어를 선택합니다. 자신에게 SQL 관리자 또는 작업 영역 관리자 역할을 할당합니다.

    3. Synapse Studio의 왼쪽 탐색에서 개발을 선택합니다. SQL 풀에서 다음 스크립트를 실행하여 Data Share 리소스 관리 ID를 db_datareader로 추가합니다.

      create user "<share_acct_name>" from external provider;     
exec sp_addrolemember db_datareader, "<share_acct_name>";

      참고 항목

      <share_acc_name>은 Data Share 리소스의 이름입니다.

  • Synapse 작업 영역 Firewall 액세스.

    1. Azure Portal에서 Synapse 작업 영역으로 이동합니다. 왼쪽 탐색에서 방화벽을 선택합니다.
    2. Azure 서비스 및 리소스가 이 작업 영역에 액세스할 수 있도록 허용에 대해 켜기를 선택합니다.
    3. +클라이언트 IP 추가를 선택합니다. 클라이언트 IP 주소가 변경되어 다음에 포털에서 데이터를 공유할 때 클라이언트 IP를 다시 추가해야 할 수 있습니다.
    4. 저장을 선택합니다.

수신

  • Azure Synapse Analytics(작업 영역) 전용 SQL 풀. 서버리스 SQL 풀로 데이터를 받는 것은 현재 지원되지 않습니다.

  • Synapse 작업 영역의 SQL 풀에 쓸 수 있는 권한: Microsoft.Synapse/workspaces/sqlPools/write. 이 권한은 기여자 역할에 있습니다.

  • Data Share 리소스의 관리 ID가 Synapse 작업 영역 SQL 풀에 액세스할 수 있는 권한입니다.

    1. Azure Portal에서 Synapse 작업 영역으로 이동합니다.

    2. 왼쪽 탐색 메뉴에서 SQL Active Directory 관리자를 선택하고 자신을 Microsoft Entra 관리자로 설정합니다.

    3. Synapse Studio를 열고 왼쪽 탐색에서 관리를 선택합니다. 보안에서 액세스 제어를 선택합니다. 자신에게 SQL 관리자 또는 작업 영역 관리자 역할을 할당합니다.

    4. Synapse Studio의 왼쪽 탐색에서 개발을 선택합니다. SQL 풀에서 다음 스크립트를 실행하여 Data Share 리소스 관리 ID를 'db_datareader, db_datawriter, db_ddladmin'으로 추가합니다.

      create user "<share_acc_name>" from external provider; 
exec sp_addrolemember db_datareader, "<share_acc_name>"; 
exec sp_addrolemember db_datawriter, "<share_acc_name>"; 
exec sp_addrolemember db_ddladmin, "<share_acc_name>";

      참고 항목

      <share_acc_name>은 Data Share 리소스의 이름입니다.

  • Synapse 작업 영역 Firewall 액세스.

    1. Azure Portal에서 Synapse 작업 영역으로 이동합니다. 왼쪽 탐색에서 방화벽을 선택합니다.
    2. Azure 서비스 및 리소스가 이 작업 영역에 액세스할 수 있도록 허용에 대해 켜기를 선택합니다.
    3. +클라이언트 IP 추가를 선택합니다. 클라이언트 IP 주소는 변경될 수 있습니다. 이 프로세스는 다음에 Azure Portal에서 SQL 데이터를 공유할 때 반복해야 할 수도 있습니다.
    4. 저장을 선택합니다.

Azure Synapse Analytics와의 공유에 대한 자세한 내용은 Azure Synapse Analytics에서 데이터 공유 및 수신에 대한 문서를 참조하세요.

MI 권한을 수동으로 할당

사용자에게 원본 또는 대상 데이터 저장소에 대한 Microsoft.Authorization/role assignments/write 권한이 있는 경우 데이터 저장소에 인증하는 데 필요한 권한을 Azure Data Share의 관리 ID에 자동으로 할당합니다. 관리 ID 권한을 수동으로 할당할 수도 있습니다.

권한을 수동으로 할당하도록 선택한 경우 원본 및 작업을 기반으로 Azure Data Share 리소스의 관리 ID에 다음 권한을 할당합니다.

데이터 저장소 형식 데이터 공급자 원본 데이터 저장소 데이터 소비자 대상 데이터 저장소
Azure Blob Storage Storage Blob 데이터 읽기 권한자 Storage Blob 데이터 Contributor
Azure Data Lake Gen1 담당자 지원되지 않음
Azure Data Lake Gen2 Storage Blob 데이터 읽기 권한자 Storage Blob 데이터 Contributor
Azure SQL Database db_datareader db_datareader, db_datawriter, db_ddladmin
Azure Synapse Analytics db_datareader db_datareader, db_datawriter, db_ddladmin

데이터 공급자 예

스토리지 계정에서 데이터를 공유하면 데이터 공유 리소스의 관리 ID에 Storage Blob 데이터 읽기 권한자 역할이 부여됩니다.

이는 사용자가 Azure Portal을 통해 데이터 세트를 추가하고 사용자가 Azure 데이터 저장소의 소유자이거나 Microsoft.Authorization/role assignments/write 권한이 할당된 사용자 지정 역할의 멤버인 경우 Azure Data Share 서비스에 의해 자동으로 수행됩니다.

또는 데이터 공유 리소스의 관리 ID를 Azure 데이터 저장소에 수동으로 추가하도록 Azure 데이터 저장소의 소유자 권한이 있을 수 있습니다. 이 작업은 데이터 공유 리소스마다 한 번만 수행해야 합니다.

데이터 공유 리소스의 관리 ID에 대한 역할 할당을 수동으로 만들려면 다음 단계를 사용합니다.

  1. Azure 데이터 저장소로 이동합니다.

  2. 액세스 제어(IAM) 를 선택합니다.

  3. 추가 > 역할 할당 추가를 선택합니다.

    Screenshot that shows Access control (IAM) page with Add role assignment menu open.

  4. 역할 탭에서 이전 섹션의 역할 할당 테이블에 나열된 역할 중 하나를 선택합니다.

  5. 멤버 탭에서 관리 ID를 선택한 다음, 멤버 선택을 선택합니다.

  6. Azure 구독을 선택합니다.

  7. 시스템 할당 관리 ID를 선택하고 Azure Data Share 리소스를 검색한 다음, 선택합니다.

  8. 검토 + 할당 탭에서 검토 + 할당을 선택하여 역할을 할당합니다.

역할 할당에 관해 자세히 알아보려면 Azure Portal을 사용하여 Azure 역할 할당을 참조하세요. REST API를 사용하여 데이터를 공유하는 경우 REST API를 사용하여 Azure 역할 할당을 참조하여 API로 역할 할당을 만들 수 있습니다.

SQL 스냅샷 기반 공유의 경우 Microsoft Entra 인증을 사용하여 SQL Database에 연결하는 동안 Azure Data Share 리소스와 동일한 이름을 사용하여 SQL Database의 외부 공급자로부터 SQL 사용자를 만들어야 합니다. 이 사용자에게 db_datareader 권한이 부여되어야 합니다. SQL 기반 공유를 위한 다른 필수 구성 요소와 함께 샘플 스크립트는 Azure SQL Database 또는 Azure Synapse Analytics에서 공유 자습서에서 찾을 수 있습니다.

데이터 소비자 예

스토리지 계정에 데이터를 수신하려면 소비자 데이터 공유 리소스의 관리 ID에 대상 스토리지 계정에 대한 액세스 권한을 부여해야 합니다. 데이터 공유 리소스의 관리 ID에는 Storage Blob 데이터 기여자 역할을 부여해야 합니다. 사용자가 Azure Portal을 통해 대상 스토리지 계정을 지정하고 사용자에게 적절한 권한이 있는 경우 Azure Data Share 서비스에서 자동으로 이 작업을 수행합니다. 예를 들어 사용자는 스토리지 계정의 소유자이거나 Microsoft.Authorization/역할 할당/쓰기 권한이 할당된 사용자 지정 역할의 구성원입니다.

또는 수동으로 스토리지 계정에 데이터 공유 리소스의 관리 ID를 추가하도록 스토리지 계정의 소유자 권한이 있을 수도 있습니다. 이 작업은 데이터 공유 리소스마다 한 번만 수행해야 합니다. 데이터 공유 리소스의 관리 ID의 역할 할당을 수동으로 만들려면 아래 단계를 수행합니다.

  1. Azure 데이터 저장소로 이동합니다.

  2. 액세스 제어(IAM) 를 선택합니다.

  3. 추가 > 역할 할당 추가를 선택합니다.

    Screenshot that shows Access control (IAM) page with Add role assignment menu open.

  4. 역할 탭에서 이전 섹션의 역할 할당 테이블에 나열된 역할 중 하나를 선택합니다. 예를 들어 스토리지 계정의 경우 Storage Blob 데이터 읽기 권한자를 선택합니다.

  5. 멤버 탭에서 관리 ID를 선택한 다음, 멤버 선택을 선택합니다.

  6. Azure 구독을 선택합니다.

  7. 시스템 할당 관리 ID를 선택하고 Azure Data Share 리소스를 검색한 다음, 선택합니다.

  8. 검토 + 할당 탭에서 검토 + 할당을 선택하여 역할을 할당합니다.

역할 할당에 관해 자세히 알아보려면 Azure Portal을 사용하여 Azure 역할 할당을 참조하세요. REST API를 사용하여 데이터를 수신하는 경우 REST API를 사용하여 Azure 역할 할당을 참조하여 API로 역할 할당을 만들 수 있습니다.

SQL 기반 대상의 경우 Microsoft Entra 인증을 사용하여 SQL Database에 연결하는 동안 Azure Data Share 리소스와 동일한 이름을 사용하여 SQL Database의 외부 공급자로부터 SQL 사용자를 만들어야 합니다. 이 사용자는 db_datareader, db_datawriter, db_ddladmin 권한이 부여되어야 합니다. SQL 기반 공유를 위한 다른 필수 구성 요소와 함께 샘플 스크립트는 Azure SQL Database 또는 Azure Synapse Analytics에서 공유 자습서에서 찾을 수 있습니다.

리소스 공급자 등록

다음 시나리오에서 Microsoft.DataShare 리소스 공급자를 Azure 구독에 수동으로 등록해야 할 수 있습니다.

  • Azure 테넌트에서 처음으로 Azure Data Share 초대 보기
  • Azure Data Share 리소스와 다른 Azure 구독의 Azure 데이터 저장소에서 데이터 공유
  • Azure Data Share 리소스와 다른 Azure 구독의 Azure 데이터 저장소로 데이터 수신

Azure 구독에 Microsoft.DataShare 리소스 공급자를 등록하려면 다음 단계를 따릅니다. 리소스 공급자를 등록하려면 Azure 구독에 대한 기여자 액세스 권한이 필요합니다.

  1. Azure Portal에서 구독으로 이동합니다.
  2. Azure Data Share에 사용 중인 구독을 선택합니다.
  3. 리소스 공급자를 선택합니다.
  4. Microsoft.DataShare를 검색합니다.
  5. 등록을 선택합니다.

리소스 공급자에 관한 자세한 내용은 Azure 리소스 공급자 및 형식을 참조하세요.

Data Share에 대한 사용자 지정 역할

이 섹션에서는 스토리지 계정과 관련된 데이터를 공유하고 받기 위해 사용자 지정 역할 내에 필요한 사용자 지정 역할 및 권한에 대해 설명합니다. 사용자 지정 역할 또는 Azure Data Share 역할과 독립적인 필수 구성 요소도 있습니다.

사용자 지정 역할 외에 Data Share 필수 구성 요소

  • 스토리지 및 데이터 레이크 스냅샷 기반 공유의 경우 Azure Data Share에 데이터 세트를 추가하려면 공급자 데이터 공유 리소스의 관리 ID에 원본 Azure 데이터 저장소에 대한 액세스 권한을 부여해야 합니다. 예를 들어 스토리지 계정을 사용하는 경우 데이터 공유 리소스의 관리 ID에 Storage Blob 데이터 읽기 권한자 역할이 부여됩니다.
  • 스토리지 계정에 데이터를 수신하려면 소비자 데이터 공유 리소스의 관리 ID에 대상 스토리지 계정에 대한 액세스 권한을 부여해야 합니다. 데이터 공유 리소스의 관리 ID에는 Storage Blob 데이터 기여자 역할을 부여해야 합니다.
  • 일부 시나리오에서는 Microsoft.DataShare 리소스 공급자를 Azure 구독에 수동으로 등록해야 할 수도 있습니다. 자세한 내용은 이 문서의 리소스 공급자 등록 섹션을 참조하세요.

사용자 지정 역할 및 필요한 권한 만들기

데이터를 공유하고 받기 위해 구독 또는 리소스 그룹에서 사용자 지정 역할을 만들 수 있습니다. 그런 다음, 사용자 및 그룹에 사용자 지정 역할을 할당할 수 있습니다.

  • 사용자 지정 역할을 만들기 위해 스토리지, Data Share, 리소스 그룹 및 권한 부여에 필요한 작업이 있습니다. 다양한 수준의 권한을 이해하고 사용자 지정 역할과 관련된 권한을 선택하려면 Data Share에 대한 Azure 리소스 공급자 작업 문서를 참조하세요.
  • 또는 Azure Portal을 사용하여 IAM, 사용자 지정 역할, 권한 추가, 검색, Microsoft.DataShare 권한 검색으로 이동하여 사용 가능한 작업 목록을 확인할 수 있습니다.
  • 사용자 지정 역할 할당에 대한 자세한 내용은 Azure 사용자 지정 역할을 참조하세요. 사용자 지정 역할이 있으면 해당 역할을 테스트하여 예상대로 작동하는지 확인합니다.

다음은 데이터를 공유하고 수신하는 사용자 지정 역할에 필요한 작업이 JSON 보기에 나열되는 방법의 예를 보여 줍니다.

{
"Actions": [ 

"Microsoft.Storage/storageAccounts/read",  

"Microsoft.Storage/storageAccounts/write",  

"Microsoft.Storage/storageAccounts/blobServices/containers/read", 

"Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action",

"Microsoft.Storage/storageAccounts/listkeys/action",

"Microsoft.DataShare/accounts/read", 

"Microsoft.DataShare/accounts/providers/Microsoft.Insights/metricDefinitions/read", 

"Microsoft.DataShare/accounts/shares/listSynchronizations/action", 

"Microsoft.DataShare/accounts/shares/synchronizationSettings/read", 

"Microsoft.DataShare/accounts/shares/synchronizationSettings/write", 

"Microsoft.DataShare/accounts/shares/synchronizationSettings/delete", 

"Microsoft.DataShare/accounts/shareSubscriptions/*", 

"Microsoft.DataShare/listInvitations/read", 

"Microsoft.DataShare/locations/rejectInvitation/action", 

"Microsoft.DataShare/locations/consumerInvitations/read", 

"Microsoft.DataShare/locations/operationResults/read", 

"Microsoft.Resources/subscriptions/resourceGroups/read", 

"Microsoft.Resources/subscriptions/resourcegroups/resources/read", 

"Microsoft.Authorization/roleAssignments/read", 
 ] 
}

다음 단계