Безопасность подписок на темы служебной шины Azure с использованием ACS

Какие разрешения мне нужно установить для следующего сценария:

Я хочу использовать служебную шину Azure, чтобы иметь возможность подключить агент службы Windows, работающий в помещении, и рабочую роль, выполняемую в Azure. Сам агент - это программное обеспечение, которое будет работать на разных клиентских площадках и взаимодействовать с моей рабочей ролью через служебную шину. Рабочая роль один раз в день будет отправлять сообщение конкретному (возможно, всем, может быть, только немногим) агенту клиентов на месте, запрашивая некоторые данные. Агент вернет данные рабочей роли через служебную шину. Для того, чтобы отправить пользовательское сообщение конкретному агенту клиента, я буду использовать темы и подписки, где каждый агент клиента будет уменьшать свою подписку.

Теперь, чтобы построить этот агент и сервисную шину доступа, я должен использовать namesapece, issuer name, issuer key который по умолчанию это owner, Хорошо владелец имеет полный контроль над этим сервисным автобусом, поэтому я не хочу давать owner полномочия и secret key каждому клиенту агента по обслуживанию. Это означает, что мне нужно создать индивидуальную идентификацию для каждого клиента или общую для всех.

Мои вопросы: что вы рекомендуете:

• один общий идентификатор службы для всех агентов или создать один идентификатор для каждого агента службы?
• какой минимальный доступ я должен дать им? Похоже Listen а также Send право?