Hozzáférés engedélyezése az Azure Blob Storage-hoz egy SSH-fájlátviteli protokoll (SFTP) ügyfél számára

Ez a cikk bemutatja, hogyan engedélyezheti az SFTP-ügyfelekhez való hozzáférést, hogy biztonságosan csatlakozzon az Azure Storage-fiók Blob Storage-végpontjához egy SFTP-ügyfél használatával.

Az Azure Blob Storage SFTP-támogatásáról további információt az SSH File Transfer Protocol (SFTP) az Azure Blob Storage-ban című témakörben talál.

Előfeltételek

Engedélyezze az SFTP támogatását az Azure Blob Storage-hoz. Lásd: SFTP-támogatás engedélyezése vagy letiltása.

Helyi felhasználó létrehozása

Az Azure Storage nem támogatja a közös hozzáférésű jogosultságkód (SAS) vagy a Microsoft Entra-hitelesítés használatát az SFTP-végpont eléréséhez. Ehelyett helyi felhasználónak nevezett identitást kell használnia, amely egy Azure által generált jelszóval vagy egy biztonságos rendszerhéj-(SSH-) kulcspárral védhető. A csatlakozó ügyfélhez való hozzáférés biztosításához a tárfióknak rendelkeznie kell a jelszóhoz vagy kulcspárhoz társított identitással. Ezt az identitást helyi felhasználónak nevezzük.

Ebben a szakaszban megtudhatja, hogyan hozhat létre helyi felhasználót, választhat hitelesítési módszert, és hogyan rendelhet hozzá engedélyeket a helyi felhasználóhoz.

Az SFTP-engedélymodellről további információt az SFTP-engedélyek modelljében talál.

Jótanács

Ez a szakasz bemutatja, hogyan konfigurálhat helyi felhasználókat egy meglévő tárfiókhoz. Ha meg szeretne tekinteni egy Azure Resource Manager-sablont, amely egy fiók létrehozása részeként konfigurál egy helyi felhasználót, olvassa el az Azure Storage-fiók és a Blob-tároló létrehozása az Azure-ban elérhető SFTP-protokoll használatával.

Hitelesítési módszer kiválasztása

Az SFTP-ügyfelekről csatlakozó helyi felhasználókat jelszóval vagy SSH-kulcspár használatával hitelesítheti.

Fontos

Bár mindkét hitelesítési formát engedélyezheti, az SFTP-ügyfelek csak az egyikkel csatlakozhatnak. A sikeres hitelesítéshez nem támogatott a többtényezős hitelesítés, amely során érvényes jelszóra és érvényes nyilvános és titkos kulcspárra is szükség van.

Az Azure Portalon lépjen a tárfiókra.
A Beállítások területen válassza az SFTP, majd a Helyi felhasználó hozzáadása lehetőséget.

A Helyi felhasználó hozzáadása konfigurációs panelen adja hozzá a felhasználó nevét, majd válassza ki a helyi felhasználóhoz társítani kívánt hitelesítési módszereket. Jelszót és /vagy SSH-kulcsot is társíthat.

Ha az SSH-jelszó lehetőséget választja, akkor a jelszó megjelenik a helyi felhasználói konfiguráció hozzáadása panel összes lépésének elvégzésekor. Az SSH-jelszavakat az Azure hozza létre, és legalább 32 karakter hosszúságúak.

Ha az SSH-kulcspárt választja, válassza a Nyilvános kulcs forrását a kulcsforrás megadásához.

Képernyőkép a Helyi felhasználó konfigurációs paneljéről.

Az alábbi táblázat az egyes kulcsforrás-beállításokat ismerteti:

Lehetőség	Útmutatás
Új kulcspár létrehozása	Ezzel a beállítással új nyilvános/titkos kulcspárt hozhat létre. A nyilvános kulcsot az Azure tárolja az Ön által megadott kulcsnévvel. A titkos kulcs a helyi felhasználó sikeres hozzáadása után tölthető le.
Az Azure-ban tárolt meglévő kulcs használata	Ezt a lehetőséget akkor használja, ha olyan nyilvános kulcsot szeretne használni, amely már az Azure-ban van tárolva. A meglévő kulcsok az Azure-ban való megkereséséhez tekintse meg a Listakulcsok című témakört. Amikor az SFTP-ügyfelek csatlakoznak az Azure Blob Storage-hoz, ezeknek az ügyfeleknek meg kell adniuk a nyilvános kulcshoz társított titkos kulcsot.
Meglévő nyilvános kulcs használata	Ezt a lehetőséget akkor használja, ha az Azure-on kívül tárolt nyilvános kulcsot szeretne feltölteni. Ha nem rendelkezik nyilvános kulccsal, de az Azure-on kívül szeretne létrehozni egyet, olvassa el a Kulcsok létrehozása ssh-keygennel című témakört.

Fontos

Csak az OpenSSH formátumú nyilvános kulcsok támogatottak. A megadott kulcsnak a következő formátumot kell használnia: <key type> <key data>. Az RSA-kulcsok például a következőhöz hasonlóak: ssh-rsa AAAAB3N.... Ha a kulcs más formátumban van, akkor egy olyan eszköz használható, amely ssh-keygen openSSH formátumúvá alakítható.

A Tovább gombra kattintva nyissa meg a konfigurációs panel Engedélyek lapját.

Ez a szakasz bemutatja, hogyan hitelesíthető SSH-kulccsal vagy jelszóval.

Hitelesítés SSH-kulccsal (PowerShell)

Válassza ki a használni kívánt nyilvános kulcs típusát.
- Az Azure-ban tárolt meglévő kulcs használata
  
  Ezt a lehetőséget akkor használja, ha olyan nyilvános kulcsot szeretne használni, amely már az Azure-ban van tárolva. A meglévő kulcsok az Azure-ban való megkereséséhez tekintse meg a Listakulcsok című témakört. Amikor az SFTP-ügyfelek csatlakoznak az Azure Blob Storage-hoz, ezeknek az ügyfeleknek meg kell adniuk a nyilvános kulcshoz társított titkos kulcsot.
- Használja az Azure-on kívül tárolt meglévő nyilvános kulcsot.
  
  Ha még nem rendelkezik nyilvános kulccsal, a kulcsok létrehozása ssh-keygen használatával című témakörben talál útmutatást a kulcsok létrehozásáról. Csak az OpenSSH formátumú nyilvános kulcsok támogatottak. A megadott kulcsnak a következő formátumot kell használnia: <key type> <key data>. Az RSA-kulcsok például a következőhöz hasonlóak: ssh-rsa AAAAB3N.... Ha a kulcs más formátumban van, akkor egy olyan eszköz használható, amely ssh-keygen openSSH formátumúvá alakítható.
Hozzon létre egy nyilvánoskulcs-objektumot a New-AzStorageLocalUserSshPublicKey paranccsal. Állítsa a paramétert -Key egy olyan sztringre, amely tartalmazza a kulcstípust és a nyilvános kulcsot. Az alábbi példában a kulcs típusa ssh-rsa, és a kulcs ssh-rsa a2V5....
```
$sshkey = "ssh-rsa a2V5..."
$sshkey = New-AzStorageLocalUserSshPublicKey -Key $sshkey -Description "description for ssh public key"
```
Hozzon létre egy helyi felhasználót a Set-AzStorageLocalUser paranccsal. Ha SSH-kulcsot használ, állítsa a SshAuthorizedKey paramétert az előző lépésben létrehozott nyilvánoskulcs-objektumra.

Az alábbi példa létrehoz egy helyi felhasználót, majd kinyomtatja a kulcsot a konzolon.
```
$UserName = "mylocalusername"
$localuser = Set-AzStorageLocalUser -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName -SshAuthorizedKey $sshkey -HasSharedKey $true -HasSshKey $true

$localuser
$localuser.SshAuthorizedKeys | ft
```
Megjegyzés:

A helyi felhasználók olyan tulajdonságot sharedKey is használnak, amelyet csak az SMB-hitelesítéshez használnak.

Hitelesítés jelszóval (PowerShell)

Hozzon létre egy helyi felhasználót a Set-AzStorageLocalUser paranccsal, és állítsa be a -HasSshPassword paramétert $true értékre.

Az alábbi példa egy jelszóhitelesítést használó helyi felhasználót hoz létre.
```
$UserName = "mylocalusername"
$localuser = Set-AzStorageLocalUser -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName -HasSshPassword $true
```
Jelszót a New-AzStorageLocalUserSshPassword paranccsal hozhat létre. Állítsa be a paramétert -UserName a felhasználónévre.

Az alábbi példa egy jelszót hoz létre a felhasználó számára.
```
$password = New-AzStorageLocalUserSshPassword -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName
$password 
```
Fontos

Ezt a jelszót később nem tudja lekérni, ezért mindenképpen másolja ki a jelszót, majd tárolja olyan helyen, ahol megtalálja. Ha elveszíti ezt a jelszót, létre kell hoznia egy újat. Vegye figyelembe, hogy az SSH-jelszavakat az Azure hozza létre, és legalább 32 karakter hosszúságúak.

Ez a szakasz bemutatja, hogyan hitelesíthető SSH-kulccsal vagy jelszóval.

Hitelesítés SSH-kulccsal (Azure CLI)

Válassza ki a használni kívánt nyilvános kulcs típusát.
- Az Azure-ban tárolt meglévő kulcs használata
  
  Ezt a lehetőséget akkor használja, ha olyan nyilvános kulcsot szeretne használni, amely már az Azure-ban van tárolva. A meglévő kulcsok az Azure-ban való megkereséséhez tekintse meg a Listakulcsok című témakört. Amikor az SFTP-ügyfelek csatlakoznak az Azure Blob Storage-hoz, ezeknek az ügyfeleknek meg kell adniuk a nyilvános kulcshoz társított titkos kulcsot.
- Használja az Azure-on kívül tárolt meglévő nyilvános kulcsot.
  
  Ha még nem rendelkezik nyilvános kulccsal, a kulcsok létrehozása ssh-keygen használatával című témakörben talál útmutatást a kulcsok létrehozásáról. Csak az OpenSSH formátumú nyilvános kulcsok támogatottak. A megadott kulcsnak a következő formátumot kell használnia: <key type> <key data>. Az RSA-kulcsok például a következőhöz hasonlóak: ssh-rsa AAAAB3N.... Ha a kulcs más formátumban van, akkor egy olyan eszköz használható, amely ssh-keygen openSSH formátumúvá alakítható.
Ha SSH-kulccsal hitelesítendő helyi felhasználót szeretne létrehozni, használja az az storage account local-user create parancsot, majd állítsa a --has-ssh-key paramétert egy sztringre, amely tartalmazza a kulcs típusát és a nyilvános kulcsot.

Az alábbi példa létrehoz egy helyi felhasználót, akinek contosouser a neve, és egy ssh-rsa kulcsot használ a ssh-rsa a2V5... kulcsértékkel a hitelesítéshez.
```
az storage account local-user create --account-name contosoaccount -g contoso-resource-group -n contosouser --ssh-authorized-key key="ssh-rsa a2V5..." --has-ssh-key true --has-ssh-password true
```
Megjegyzés:

A helyi felhasználók olyan tulajdonságot sharedKey is használnak, amelyet csak az SMB-hitelesítéshez használnak.

Hitelesítés jelszóval (Azure CLI)

Ha jelszóval hitelesített helyi felhasználót szeretne létrehozni, használja az az storage account local-user create parancsot, majd állítsa a paramétert a --has-ssh-password következőre true: .

Az alábbi példa létrehoz egy helyi felhasználót, akit contosouser-nak hívnak, és beállítja --has-ssh-password paramétert true értékre.
```
az storage account local-user create --account-name contosoaccount -g contoso-resource-group -n contosouser --has-ssh-password true
```
Hozzon létre egy jelszót az az storage-account local-user regenerate-password paranccsal. Állítsa be a paramétert -n a helyi felhasználónévre.

Az alábbi példa egy jelszót hoz létre a felhasználó számára.
```
az storage account local-user regenerate-password --account-name contosoaccount -g contoso-resource-group -n contosouser  
```
Fontos

Ezt a jelszót később nem tudja lekérni, ezért mindenképpen másolja ki a jelszót, majd tárolja olyan helyen, ahol megtalálja. Ha elveszíti ezt a jelszót, létre kell hoznia egy újat. Vegye figyelembe, hogy az SSH-jelszavakat az Azure hozza létre, és legalább 32 karakter hosszúságúak.

Engedély megadása tárolókhoz

Válassza ki, hogy mely tárolókhoz szeretne hozzáférést biztosítani, és milyen szintű hozzáférést szeretne biztosítani. Ezek az engedélyek a tároló összes könyvtárára és alkönyvtárára vonatkoznak. Az egyes tárolóengedélyekről további információt a Tárolóengedélyek című témakörben talál.

Ha engedélyezni szeretné a hozzáférést a fájl- és könyvtárszinten, engedélyezheti az ACL-engedélyezést.

Az Engedélyek lapon válassza ki a helyi felhasználó számára elérhetővé tenni kívánt tárolókat. Ezután válassza ki, hogy milyen típusú műveleteket szeretne engedélyezni a helyi felhasználónak.

Fontos

A helyi felhasználónak legalább egy tárolói engedéllyel vagy ACL-engedéllyel kell rendelkeznie a tároló kezdőkönyvtárához. Ellenkező esetben a tároló csatlakozási kísérlete sikertelen lesz.
Ha engedélyezni szeretné a hozzáférést a tárolóban lévő fájlokhoz és könyvtárakhoz társított hozzáférés-vezérlési listák (ACL-ek) használatával, jelölje be az ACL-engedélyezés engedélyezése jelölőnégyzetet. Az ACL-ek SFTP-ügyfelek engedélyezésével kapcsolatos további információkért tekintse meg az ACL-eket.

Ezt a helyi felhasználót úgy is hozzáadhatja egy csoporthoz, hogy hozzárendeli a felhasználót egy csoportazonosítóhoz. Ez az azonosító tetszőleges szám- vagy számséma lehet. A felhasználók csoportosításával anélkül adhat hozzá és távolíthat el felhasználókat, hogy újra kellene alkalmaznia az ACL-eket egy teljes címtárstruktúrában. Ehelyett egyszerűen hozzáadhat vagy eltávolíthat felhasználókat a csoportból.

Megjegyzés:

A rendszer automatikusan létrehozza a helyi felhasználó felhasználói azonosítóját. Ezt az azonosítót nem módosíthatja, de a helyi felhasználó létrehozása után megjelenik az azonosító, ha újra megnyitja a felhasználót a Helyi felhasználó szerkesztése panelen.
A Kezdőkönyvtár szerkesztése mezőbe írja be annak a tárolónak a nevét vagy a könyvtár elérési útját (beleértve a tároló nevét is), amely a helyi felhasználóhoz tartozó alapértelmezett hely lesz (például: mycontainer/mydirectory).

A home könyvtárról további információkért lásd a Home könyvtár című részt.
Válassza a Hozzáadás gombot a helyi felhasználó hozzáadásához.

Ha engedélyezte a jelszó-hitelesítést, akkor az Azure által létrehozott jelszó megjelenik egy párbeszédpanelen a helyi felhasználó hozzáadása után.

Fontos

Ezt a jelszót később nem tudja lekérni, ezért mindenképpen másolja ki a jelszót, majd tárolja olyan helyen, ahol megtalálja.

Ha új kulcspár létrehozása mellett döntött, a rendszer kérni fogja, hogy töltse le a kulcspár titkos kulcsát a helyi felhasználó hozzáadása után.

Megjegyzés:

A helyi felhasználók olyan tulajdonságot sharedKey használnak, amelyet csak SMB-hitelesítéshez használnak.

Döntse el, hogy mely tárolókat szeretné elérhetővé tenni a helyi felhasználó számára, és milyen típusú műveleteket szeretne engedélyezni a helyi felhasználó számára. Hozzon létre egy engedélyhatókör-objektumot a New-AzStorageLocalUserPermissionScope paranccsal, és állítsa a -Permission parancs paraméterét egy vagy több olyan betűre, amely megfelel a hozzáférési jogosultsági szinteknek. Lehetséges értékek: Olvasás (r), Írás (w), Törlés (d), Listázás (l), Létrehozás (c), Tulajdon módosítása (o), Jogosultságok módosítása (p).

Az alábbi példakészlet létrehoz egy engedélyhatókör-objektumot, amely olvasási és írási engedélyt ad a mycontainer tárolónak.
```
$permissionScope = New-AzStorageLocalUserPermissionScope -Permission rw -Service blob -ResourceName mycontainer 
```
Fontos

A helyi felhasználónak legalább egy tárolói engedéllyel kell rendelkeznie ahhoz a tárolóhoz, amelyhez csatlakozik, különben a csatlakozási kísérlet meghiúsul.
Frissítse a helyi felhasználót a Set-AzStorageLocalUser paranccsal. Állítsa be a paramétert -PermissionScope a korábban létrehozott engedélyhatókör-objektumra.

Az alábbi példa egy helyi felhasználót frissít tárolóengedélyekkel, majd kinyomtatja az engedély hatóköreit a konzolon.
```
$UserName = "mylocalusername"
$localuser = Set-AzStorageLocalUser -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName -HomeDirectory "mycontainer" -PermissionScope $permissionScope

$localuser
$localuser.PermissionScopes | ft
```

Ha egy helyi felhasználót egy tárolóra vonatkozó engedéllyel szeretne frissíteni, használja az az storage account local-user update parancsot, majd állítsa a permission-scope parancs paraméterét egy vagy több olyan betűre, amely megfelel a hozzáférési jogosultsági szinteknek. Lehetséges értékek: Olvasás (r), Írás (w), Törlés (d), Listázás (l), Létrehozás (c), Tulajdon módosítása (o), Jogosultságok módosítása (p).

Az alábbi példa olvasási és írási hozzáférést ad egy helyi felhasználónévnek contosouser egy nevű contosocontainertárolóhoz.

az storage account local-user update --account-name contosoaccount -g contoso-resource-group -n contosouser --home-directory contosocontainer --permission-scope permissions=rw service=blob resource-name=contosocontainer

Következő lépések

Csatlakozzon az Azure Blob Storage-hoz egy SFTP-ügyfél használatával. Lásd: Csatlakozás SFTP-ügyfélről.

Visszajelzés

Hasznosnak találta ezt az oldalt?

Last updated on 2025-05-03