Autorizar o acesso ao Armazenamento de Blobs do Azure para um cliente SFTP SSH (protocolo FTP)

Este artigo mostra como autorizar o acesso a clientes SFTP para que você possa se conectar com segurança ao ponto de extremidade do Armazenamento de Blobs de sua conta de Armazenamento do Microsoft Azure usando um cliente SFTP.

Para saber mais sobre o suporte ao SFTP para Armazenamento de Blobs do Azure, confira Protocolo SFTP no Armazenamento de Blobs do Azure.

Pré-requisitos

• Habilitar o suporte a SFTP para o Armazenamento de Blobs do Azure. Consulte Habilitar ou desabilitar o suporte a SFTP.

Criar um usuário local

O Armazenamento do Microsoft Azure não dá suporte à assinatura de acesso compartilhado (SAS) ou à autenticação do Microsoft Entra para acessar o ponto de extremidade SFTP. Em vez disso, você deve usar uma identidade chamada usuário local que pode ser protegida com uma senha gerada pelo Azure ou um par de chaves SSH (Secure Shell). Para conceder acesso a um cliente que se conecta, a conta de armazenamento deve ter uma identidade associada à senha ou ao par de chaves. Essa identidade é chamada de usuário local.

Nesta seção, você aprenderá a criar um usuário local, escolher um método de autenticação e atribuir permissões para esse usuário local.

Para saber mais sobre o modelo de permissões do SFTP, consulte Modelo de permissões do SFTP.

Dica

Esta seção mostra como configurar usuários locais para uma conta de armazenamento existente. Para exibir um modelo do ARM que configura um usuário local como parte da criação de uma conta, confira Criar uma Conta de Armazenamento do Microsoft Azure e um Contêiner de Blobs acessíveis usando o protocolo SFTP no Azure.

Escolher um método de autenticação

Você pode autenticar usuários locais que se conectam de clientes SFTP usando uma senha ou um par de chaves públicas/privadas SSH (Secure Shell).

Importante

Embora seja possível habilitar ambas as formas de autenticação, os clientes do SFTP podem se conectar usando apenas um deles. Não há suporte para a autenticação multifator, em que uma senha válida e um par de chaves públicas e privadas válido são necessários para uma autenticação bem-sucedida.

Portal

1. No Portal do Azure, navegue até sua conta de armazenamento.

2. Em Configurações, selecione SFTP e depois clique em Adicionar usuário local .

   

3. No painel de configuração Adicionar usuário local, adicione o nome de um usuário e, em seguida, selecione quais métodos de autenticação você deseja associar a esse usuário local. Você pode associar uma senha e/ou uma chave SSH.

   Se você selecionar Senha SSH, sua senha será exibida quando você concluir todas as etapas no painel de configuração Adicionar usuário local. As senhas SSH são geradas pelo Azure e têm pelo menos 32 caracteres.

   Se você selecionar Par de chave SSH, selecione Origem de chave pública para especificar a fonte da chave.

   

   A tabela a seguir descreve cada opção de origem de chave:

   Opção	Orientação
   Gerar um novo par de chaves	Use esta opção para criar um novo par de chaves pública/privada. A chave pública é armazenada no Azure com o nome da chave que você fornece. A chave privada pode ser baixada depois que o usuário local tiver sido adicionado com êxito.
   Usar a chave existente armazenada no Azure	Use esta opção se você quiser usar uma chave pública que já esteja armazenada no Azure. Para localizar as chaves existentes no Azure, consulte Listar chaves. Quando os clientes SFTP se conectam ao Armazenamento de Blobs do Azure, esses clientes precisam fornecer a chave privada associada a essa chave pública.
   Usar a chave pública existente	Use esta opção se você quiser carregar uma chave pública que é armazenada fora do Azure. Se você não tiver uma chave pública, mas quiser gerar uma fora do Azure, consulte Gerar chaves com ssh-keygen.

4. Selecione Avançar para abrir a guia Permissões do painel de configuração.

PowerShell

Esta seção mostra como se autenticar usando uma chave SSH ou senha.

Autenticação com uma chave SSH (PowerShell)

1. Escolha o tipo de chave pública que você deseja usar.

   • Usar a chave existente armazenada no Azure

     Use esta opção se você quiser usar uma chave pública que já esteja armazenada no Azure. Para localizar as chaves existentes no Azure, consulte Listar chaves. Quando os clientes SFTP se conectam ao Armazenamento de Blobs do Azure, esses clientes precisam fornecer a chave privada associada a essa chave pública.

   • Use a chave pública existente armazenada fora do Azure.

     Se você ainda não tiver uma chave pública, consulte Gerar chaves com ssh-keygen para obter diretrizes sobre como criá-la. Há suporte apenas para chaves públicas formatadas do OpenSSH. A chave que você fornece deve usar este formato: <key type> <key data>. Por exemplo, as chaves RSA precisam ser semelhantes a esta: ssh-rsa AAAAB3N.... Se a chave estiver em outro formato, uma ferramenta como ssh-keygen pode ser usada para convertê-la para o formato OpenSSH.

2. Crie um objeto de chave pública usando o comando New-AzStorageLocalUserSshPublicKey. Defina o parâmetro -Key como uma cadeia de caracteres que contenha o tipo de chave e a chave pública. No exemplo a seguir, o tipo de chave é ssh-rsa e a chave é ssh-rsa a2V5....

   $sshkey = "ssh-rsa a2V5..."
   $sshkey = New-AzStorageLocalUserSshPublicKey -Key $sshkey -Description "description for ssh public key"
   

3. Crie um usuário local usando o comando Set-AzStorageLocalUser. Se você estiver usando uma chave SSH, defina o parâmetro SshAuthorizedKey para o objeto de chave pública que você criou na etapa anterior.

   O exemplo a seguir cria um usuário local e imprime a chave no console.

   $UserName = "mylocalusername"
   $localuser = Set-AzStorageLocalUser -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName -SshAuthorizedKey $sshkey -HasSharedKey $true -HasSshKey $true
   
   $localuser
   $localuser.SshAuthorizedKeys | ft
   

   Observação

   Os usuários locais também têm uma propriedade sharedKey usada somente para autenticação SMB.

Autenticação com uma senha (PowerShell)

1. Crie um usuário local usando o comando Set-AzStorageLocalUser e defina o parâmetro -HasSshPassword como $true.

   O exemplo a seguir cria um usuário local que usa autenticação de senha.

   $UserName = "mylocalusername"
   $localuser = Set-AzStorageLocalUser -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName -HasSshPassword $true
   

2. Você pode criar uma senha usando o comando New-AzStorageLocalUserSshPassword. Defina o parâmetro -UserName como o nome de usuário.

   O exemplo a seguir gera uma senha para o usuário.

   $password = New-AzStorageLocalUserSshPassword -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName
   $password 
   

   Importante

   Você não pode recuperar essa senha mais tarde, portanto, certifique-se de copiar a senha e, em seguida, armazená-la em um local onde você possa encontrá-la. Se você perder essa senha, terá que gerar outra. Observe que as senhas SSH são geradas pelo Azure e têm, no mínimo, 32 caracteres de comprimento.

CLI do Azure

Esta seção mostra como se autenticar usando uma chave SSH ou senha.

Autenticação com uma chave SSH (CLI do Azure)

1. Escolha o tipo de chave pública que você deseja usar.

   • Usar a chave existente armazenada no Azure

     Use esta opção se você quiser usar uma chave pública que já esteja armazenada no Azure. Para localizar as chaves existentes no Azure, consulte Listar chaves. Quando os clientes SFTP se conectam ao Armazenamento de Blobs do Azure, esses clientes precisam fornecer a chave privada associada a essa chave pública.

   • Use a chave pública existente armazenada fora do Azure.

     Se você ainda não tiver uma chave pública, consulte Gerar chaves com ssh-keygen para obter diretrizes sobre como criá-la. Há suporte apenas para chaves públicas formatadas do OpenSSH. A chave que você fornece deve usar este formato: <key type> <key data>. Por exemplo, as chaves RSA precisam ser semelhantes a esta: ssh-rsa AAAAB3N.... Se a chave estiver em outro formato, uma ferramenta como ssh-keygen pode ser usada para convertê-la para o formato OpenSSH.

2. Para criar um usuário local autenticado usando uma chave SSH, use o comando az storage account local-user create e defina o parâmetro --has-ssh-key como uma cadeia de caracteres que contém o tipo de chave e a chave pública.

   O exemplo a seguir cria um usuário local chamado contosouser e use uma chave ssh-rsa com uma valor de chave de ssh-rsa a2V5... para autenticação.

   az storage account local-user create --account-name contosoaccount -g contoso-resource-group -n contosouser --ssh-authorized-key key="ssh-rsa a2V5..." --has-ssh-key true --has-ssh-password true
   

   Observação

   Os usuários locais também têm uma propriedade sharedKey usada somente para autenticação SMB.

Autenticação com uma senha (CLI do Azure)

1. Para criar um usuário local autenticado usando uma senha, use o comando az storage account local-user create e defina o parâmetro --has-ssh-password como true.

   O exemplo a seguir cria um usuário local chamado contosouser e define o parâmetro --has-ssh-password como true.

   az storage account local-user create --account-name contosoaccount -g contoso-resource-group -n contosouser --has-ssh-password true
   

2. Crie uma senha usando o comando az storage account local-user regenerate-password. Defina o parâmetro -n como o nome de usuário local.

   O exemplo a seguir gera uma senha para o usuário.

   az storage account local-user regenerate-password --account-name contosoaccount -g contoso-resource-group -n contosouser  
   

   Importante

   Você não pode recuperar essa senha mais tarde, portanto, certifique-se de copiar a senha e, em seguida, armazená-la em um local onde você possa encontrá-la. Se você perder essa senha, terá que gerar outra. Observe que as senhas SSH são geradas pelo Azure e têm, no mínimo, 32 caracteres de comprimento.

Conceder permissão a contêineres

Escolha a quais contêineres deseja conceder acesso e que nível de acesso deseja fornecer. Essas permissões se aplicam a todos os diretórios e subdiretórios no contêiner. Para saber mais sobre cada permissão de contêiner, consulte Permissões de contêiner.

Se você quiser autorizar o acesso no nível de arquivo e diretório, poderá habilitar a autorização de ACL. Essa funcionalidade está em versão prévia e só pode ser habilitada usando o portal do Azure.

Portal

1. Na guia Permissões, selecione os contêineres que você deseja disponibilizar para esse usuário local. Em seguida, selecione quais tipos de operações você deseja permitir que esse usuário local execute.

   

   Importante

   O usuário local deve ter pelo menos uma permissão de contêiner ou permissão de ACL para o diretório base desse contêiner. Caso contrário, uma tentativa de conexão com esse contêiner falhará.

2. Se você quiser autorizar o acesso usando as ACLs (listas de controle de acesso) associadas a arquivos e diretórios nesse contêiner, marque a caixa de seleção Permitir autorização de ACL. Para saber mais sobre como usar ACLs para autorizar clientes SFTP, consulte ACLs.

   Você também pode adicionar esse usuário local a um grupo atribuindo esse usuário a uma ID de grupo. Essa ID pode ser qualquer número ou esquema de número desejado. O agrupamento de usuários permite que você adicione ou remova usuários sem a necessidade de reaplicar ACLs a uma estrutura de diretório inteira. Em vez disso, você pode apenas adicionar ou remover usuários do grupo.

   

   Observação

   Uma ID de usuário para o usuário local é gerada automaticamente. Não é possível modificar essa ID, mas você pode ver a ID depois de criar o usuário local reabrindo esse usuário no painel Editar usuário local.

3. Na caixa de edição Diretório base, digite o nome do contêiner ou o caminho do diretório (incluindo o nome do contêiner) que será o local padrão associado a esse usuário local (Por exemplo: mycontainer/mydirectory).

   Para saber mais sobre o diretório base, consulte Diretório Base.

4. Selecione o botão Adicionar para adicionar o usuário local.

   Se você habilitou a autenticação de senha, a senha gerada pelo Azure aparecerá em uma caixa de diálogo depois que o usuário local tiver sido adicionado.

   Importante

   Você não pode recuperar essa senha mais tarde, portanto, certifique-se de copiar a senha e, em seguida, armazená-la em um local onde você possa encontrá-la.

   Se optar por gerar um novo par de chaves, será solicitado que você baixe a chave privada desse par de chaves depois que o usuário local tiver sido adicionado.

   Observação

   Os usuários locais têm uma propriedade sharedKey usada somente para autenticação SMB.

PowerShell

1. Decida quais contêineres quer disponibilizar ao usuário local e os tipos de operações que quer habilitar para esse usuário local executar. Crie um objeto de escopo de permissão usando o comando New-AzStorageLocalUserPermissionScope e definindo o parâmetro -Permission desse comando como uma ou mais letras que correspondam aos níveis de permissão de acesso. Os valores possíveis são Read(r), Write (w), Delete (d), List (l), Create (c), Modify Ownership(o), Modify Permissions(p).

   O exemplo a seguir cria um objeto de escopo de permissão que dá permissão de leitura e gravação ao contêiner mycontainer.

   $permissionScope = New-AzStorageLocalUserPermissionScope -Permission rw -Service blob -ResourceName mycontainer 
   

   Importante

   O usuário local deve ter pelo menos uma permissão de contêiner do contêiner ao qual está se conectando, caso contrário, a tentativa de conexão falhará.

2. Atualize o usuário local usando o comando Set-AzStorageLocalUser. Defina o parâmetro -PermissionScope para o objeto de escopo de permissão que você já criou.

   O exemplo a seguir atualiza um usuário local com permissões de contêiner e imprime os escopos de permissão no console.

   $UserName = "mylocalusername"
   $localuser = Set-AzStorageLocalUser -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName -HomeDirectory "mycontainer" -PermissionScope $permissionScope
   
   $localuser
   $localuser.PermissionScopes | ft
   

CLI do Azure

Para atualizar um usuário local com permissão para um contêiner, use o comando az storage account local-user update e defina o parâmetro permission-scope desse comando como uma ou mais letras que correspondam aos níveis de permissão de acesso. Os valores possíveis são Read(r), Write (w), Delete (d), List (l), Create (c), Modify Ownership(o), Modify Permissions(p).

O exemplo a seguir fornece ao nome de usuário local contosouser o acesso de leitura e gravação a um contêiner chamado contosocontainer.

az storage account local-user update --account-name contosoaccount -g contoso-resource-group -n contosouser --home-directory contosocontainer --permission-scope permissions=rw service=blob resource-name=contosocontainer

Próximas etapas

• Conectar-se ao Armazenamento de Blobs do Azure usando um cliente SFTP. Consulte Conectar-se de um cliente SFTP.

Conteúdo relacionado

• Suporte ao SFTP (protocolo FTP SSH) para Armazenamento de Blobs do Azure
• Habilitar ou desabilitar o suporte ao protocolo FTP SSH (SFTP) no Armazenamento de Blobs do Azure
• Autorizar o acesso ao Armazenamento de Blobs do Azure de um cliente SFTP SSH (protocolo FTP)
• Limitações e problemas conhecidos com o suporte para protocolo SFTP SSH no Armazenamento de Blobs do Azure
• Chaves de Host para suporte ao SFTP (Protocolo FTP SSH) no Armazenamento de Blobs do Azure
• Considerações sobre desempenho do protocolo SFTP do SSH no Armazenamento de Blobs do Azure