Csatlakozás az Azure Blob Storage-ba az SSH-fájlátviteli protokoll (SFTP) használatával

SFTP-ügyfél használatával biztonságosan csatlakozhat egy Azure Storage-fiók Blob Storage-végpontjára, majd fájlokat tölthet fel és tölthet le. Ez a cikk bemutatja, hogyan engedélyezheti az SFTP-t, majd hogyan csatlakozhat a Blob Storage-hoz egy SFTP-ügyfél használatával.

Az Azure Blob Storage SFTP-támogatásáról további információt az SSH File Transfer Protocol (SFTP) az Azure Blob Storage-ban című témakörben talál.

Előfeltételek

• Standard általános célú v2 vagy prémium szintű blokkblobtároló-fiók. A fiók létrehozásakor az SFTP-t is engedélyezheti. Az ilyen típusú tárfiókokról további információt a Tárfiókok áttekintése című témakörben talál.

• A fiók hierarchikus névtérfunkcióját engedélyezni kell. A hierarchikus névtér funkció engedélyezéséről az Azure Blob Storage frissítése az Azure Data Lake Storage Gen2 képességeivel című témakörben olvashat.

• Ha helyszíni hálózatról csatlakozik, győződjön meg arról, hogy az ügyfél engedélyezi a kimenő kommunikációt az SFTP által használt 22-s porton keresztül.

SFTP-támogatás engedélyezése

Ez a szakasz bemutatja, hogyan engedélyezheti az SFTP-támogatást egy meglévő tárfiókhoz. Ha meg szeretne tekinteni egy Azure Resource Manager-sablont, amely lehetővé teszi az SFTP-támogatást a fiók létrehozása során, tekintse meg az Azure Storage-fiók és a Blob-tároló azure-beli SFTP protokoll használatával elérhető létrehozását. A Helyi felhasználói REST API-k és a .NET-hivatkozások megtekintéséhez tekintse meg a Helyi felhasználók és a LocalUser osztályt.

Portal

1. Az Azure Portalon lépjen a tárfiókra.

2. A Gépház területen válassza az SFTP lehetőséget.

   Megjegyzés:

   Ez a beállítás csak akkor jelenik meg, ha a fiók hierarchikus névtér funkciója engedélyezve van. A hierarchikus névtér funkció engedélyezéséről az Azure Blob Storage frissítése az Azure Data Lake Storage Gen2 képességeivel című témakörben olvashat.

3. Válassza az SFTP engedélyezése lehetőséget.

   

   Megjegyzés:

   Ha az SFTP konfigurációs oldalán nem jelennek meg helyi felhasználók, legalább egyet hozzá kell adnia. Helyi felhasználók hozzáadásához tekintse meg a következő szakaszt.

PowerShell

Az SFTP támogatásának engedélyezéséhez hívja meg a Set-AzStorageAccount parancsot, és állítsa a -EnableSftp paramétert igaz értékre. Ne felejtse el lecserélni a szögletes zárójelek értékeit a saját értékeire:

$resourceGroupName = "<resource-group>"
$storageAccountName = "<storage-account>"

Set-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName -EnableSftp $true 

Azure CLI

Az SFTP támogatásának engedélyezéséhez hívja meg az az storage account update parancsot, és állítsa a --enable-sftp paramétert igaz értékre. Ne felejtse el lecserélni a szögletes zárójelek értékeit a saját értékeire:

az storage account update -g <resource-group> -n <storage-account> --enable-sftp=true

SFTP-támogatás letiltása

Ez a szakasz bemutatja, hogyan tilthatja le egy meglévő tárfiók SFTP-támogatását. Mivel az SFTP-támogatás óránkénti költséggel jár, érdemes letiltani az SFTP-támogatást, ha az ügyfelek nem használják aktívan az SFTP-t az adatok átvitelére.

Portal

1. Az Azure Portalon lépjen a tárfiókra.

2. A Gépház területen válassza az SFTP lehetőséget.

3. Válassza az SFTP letiltása lehetőséget.

   

PowerShell

Az SFTP-támogatás letiltásához hívja meg a Set-AzStorageAccount parancsot, és állítsa a -EnableSftp paramétert hamisra. Ne felejtse el lecserélni a szögletes zárójelek értékeit a saját értékeire:

$resourceGroupName = "<resource-group>"
$storageAccountName = "<storage-account>"

Set-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName -EnableSftp $false 

Azure CLI

Az SFTP-támogatás letiltásához hívja meg az az storage account update parancsot, és állítsa a paramétert --enable-sftp hamisra. Ne felejtse el lecserélni a szögletes zárójelek értékeit a saját értékeire:

az storage account update -g <resource-group> -n <storage-account> --enable-sftp=false

Engedélyek konfigurálása

Az Azure Storage nem támogatja a közös hozzáférésű jogosultságkód (SAS) vagy a Microsoft Entra-hitelesítés használatát az SFTP-végpont eléréséhez. Ehelyett egy helyi felhasználónak nevezett identitást kell használnia, amely biztonságossá tehető az Azure által létrehozott jelszóval vagy Secure Shell- (SSH-) kulcspárral. A csatlakozó ügyfélhez való hozzáférés biztosításához a tárfióknak rendelkeznie kell a jelszóhoz vagy kulcspárhoz társított identitással. Ezt az identitást helyi felhasználónak nevezzük.

Ebben a szakaszban megtudhatja, hogyan hozhat létre helyi felhasználót, választhat hitelesítési módszert, és hogyan rendelhet hozzá engedélyeket a helyi felhasználóhoz.

Az SFTP-engedélymodellről további információt az SFTP-engedélyek modelljében talál.

Tipp.

Ez a szakasz bemutatja, hogyan konfigurálhat helyi felhasználókat egy meglévő tárfiókhoz. Ha meg szeretne tekinteni egy Azure Resource Manager-sablont, amely egy fiók létrehozása részeként konfigurál egy helyi felhasználót, olvassa el az Azure Storage-fiók és a Blob-tároló létrehozása az Azure-ban elérhető SFTP-protokoll használatával.

Portal

1. Az Azure Portalon lépjen a tárfiókra.

2. A Gépház területen válassza az SFTP, majd a Helyi felhasználó hozzáadása lehetőséget.

   

3. A Helyi felhasználó hozzáadása konfigurációs panelen adja hozzá a felhasználó nevét, majd válassza ki a helyi felhasználóhoz társítani kívánt hitelesítési módszereket. Jelszót és /vagy SSH-kulcsot is társíthat.

   Fontos

   Bár mindkét hitelesítési formát engedélyezheti, az SFTP-ügyfelek csak az egyikkel csatlakozhatnak. A sikeres hitelesítéshez nem támogatott a többtényezős hitelesítés, amely során érvényes jelszóra és érvényes nyilvános és titkos kulcspárra is szükség van.

   Ha az SSH-jelszót választja, akkor a jelszó akkor jelenik meg, amikor elvégezte a helyi felhasználók konfigurációjának hozzáadása panelen az összes lépést. Az SSH-jelszavakat az Azure hozza létre, és legalább 32 karakter hosszúságúak.

   Ha az SSH-kulcspárt választja, válassza a Nyilvános kulcs forrását a kulcsforrás megadásához.

   

   Az alábbi táblázat az egyes kulcsforrás-beállításokat ismerteti:

   Beállítás	Útmutató
   Új kulcspár létrehozása	Ezzel a beállítással új nyilvános/titkos kulcspárt hozhat létre. A nyilvános kulcsot az Azure tárolja az Ön által megadott kulcsnévvel. A titkos kulcs a helyi felhasználó sikeres hozzáadása után tölthető le.
   Az Azure-ban tárolt meglévő kulcs használata	Ezt a lehetőséget akkor használja, ha olyan nyilvános kulcsot szeretne használni, amely már az Azure-ban van tárolva. A meglévő kulcsok az Azure-ban való megkereséséhez tekintse meg a Listakulcsok című témakört. Amikor az SFTP-ügyfelek csatlakoznak az Azure Blob Storage-hoz, ezeknek az ügyfeleknek meg kell adniuk a nyilvános kulcshoz társított titkos kulcsot.
   Meglévő nyilvános kulcs használata	Ezt a lehetőséget akkor használja, ha az Azure-on kívül tárolt nyilvános kulcsot szeretne feltölteni. Ha nem rendelkezik nyilvános kulccsal, de az Azure-on kívül szeretne létrehozni egyet, olvassa el a Kulcsok létrehozása ssh-keygennel című témakört.

   Megjegyzés:

   A meglévő nyilvános kulcs beállítás jelenleg csak az OpenSSH formátumú nyilvános kulcsokat támogatja. A megadott kulcsnak a következő formátumot kell követnie: <key type> <key data>. Az RSA-kulcsok például a következőhöz hasonlóak: ssh-rsa AAAAB3N.... Ha a kulcs más formátumban van, akkor egy olyan eszköz használható, amely ssh-keygen openSSH formátumúvá alakítható.

4. A Tovább gombra kattintva nyissa meg a konfigurációs panel Tárolóengedélyek lapját.

5. A Tárolóengedélyek lapon válassza ki a helyi felhasználó számára elérhetővé tenni kívánt tárolókat. Ezután válassza ki, hogy milyen típusú műveleteket szeretne engedélyezni a helyi felhasználónak.

   

   Fontos

   A helyi felhasználónak legalább egy tárolói engedéllyel kell rendelkeznie ahhoz a tárolóhoz, amelyhez csatlakozik, különben a csatlakozási kísérlet meghiúsul.

6. A Kezdőkönyvtár szerkesztése mezőbe írja be annak a tárolónak a nevét vagy a könyvtár elérési útját (beleértve a tároló nevét is), amely a helyi felhasználóhoz társított alapértelmezett hely lesz.

   A kezdőkönyvtárról további információt a Kezdőlap könyvtárban talál.

7. Válassza a Hozzáadás gombot a helyi felhasználó hozzáadásához.

   Ha engedélyezte a jelszó-hitelesítést, akkor az Azure által létrehozott jelszó megjelenik egy párbeszédpanelen a helyi felhasználó hozzáadása után.

   Fontos

   You can't retrieve this password later, so make sure to copy the password, and then store it in a place where you can find it.

   Ha új kulcspár létrehozása mellett döntött, a rendszer kérni fogja, hogy töltse le a kulcspár titkos kulcsát a helyi felhasználó hozzáadása után.

   Megjegyzés:

   A helyi felhasználók olyan tulajdonságot sharedKey használnak, amelyet csak SMB-hitelesítéshez használnak.

PowerShell

1. Döntse el, hogy mely tárolókat szeretné elérhetővé tenni a helyi felhasználó számára, és milyen típusú műveleteket szeretne engedélyezni a helyi felhasználó számára. Hozzon létre egy engedélyhatókör-objektumot a New-AzStorageLocalUserPermissionScope paranccsal, és állítsa a -Permission parancs paraméterét egy vagy több olyan betűre, amely megfelel a hozzáférési jogosultsági szinteknek. Lehetséges értékek: Read(r), Write (w), Delete (d), List (l), and Create (c).

   Az alábbi példakészlet létrehoz egy engedélyhatókör-objektumot, amely olvasási és írási engedélyt ad a mycontainer tárolónak.

   $permissionScope = New-AzStorageLocalUserPermissionScope -Permission rw -Service blob -ResourceName mycontainer 
   

   Fontos

   A helyi felhasználónak legalább egy tárolói engedéllyel kell rendelkeznie ahhoz a tárolóhoz, amelyhez csatlakozik, különben a csatlakozási kísérlet meghiúsul.

2. Döntse el, hogy milyen hitelesítési módszereket szeretne társítani ehhez a helyi felhasználóhoz. Jelszót és /vagy SSH-kulcsot is társíthat.

   Fontos

   Bár mindkét hitelesítési formát engedélyezheti, az SFTP-ügyfelek csak az egyikkel csatlakozhatnak. A sikeres hitelesítéshez nem támogatott a többtényezős hitelesítés, amely során érvényes jelszóra és érvényes nyilvános és titkos kulcspárra is szükség van.

   Ha SSH-kulcsot szeretne használni, a nyilvános/titkos kulcs pár nyilvános kulcsát kell használnia. Használhatja az Azure-ban tárolt meglévő nyilvános kulcsokat, vagy bármely meglévő nyilvános kulcsot az Azure-on kívül.

   A meglévő kulcsok az Azure-ban való megkereséséhez tekintse meg a Listakulcsok című témakört. Amikor az SFTP-ügyfelek csatlakoznak az Azure Blob Storage-hoz, ezeknek az ügyfeleknek meg kell adniuk a nyilvános kulcshoz társított titkos kulcsot.

   Ha az Azure-on kívül szeretne nyilvános kulcsot használni, de még nem rendelkezik ilyennel, a kulcsok létrehozása ssh-keygen használatával című témakörben talál útmutatást a kulcsok létrehozásáról.

   Ha jelszóval szeretné hitelesíteni a helyi felhasználót, létrehozhat egyet a helyi felhasználó létrehozása után.

3. Ha SSH-kulcsot szeretne használni, hozzon létre egy nyilvános kulcsobjektumot a New-AzStorageLocalUserSshPublicKey paranccsal. Állítsa a paramétert -Key egy olyan sztringre, amely tartalmazza a kulcstípust és a nyilvános kulcsot. Az alábbi példában a kulcs típusa és ssh-rsa a kulcs a következő ssh-rsa a2V5....

   $sshkey = "ssh-rsa a2V5..."
   $sshkey = New-AzStorageLocalUserSshPublicKey -Key $sshkey -Description "description for ssh public key"
   

4. Hozzon létre egy helyi felhasználót a Set-AzStorageLocalUser paranccsal. Állítsa be a paramétert -PermissionScope a korábban létrehozott engedélyhatókör-objektumra. Ha SSH-kulcsot használ, állítsa a SshAuthorization paramétert az előző lépésben létrehozott nyilvánoskulcs-objektumra. Ha jelszóval szeretné hitelesíteni a helyi felhasználót, állítsa a paramétert a -HasSshPassword következőre $true: .

   Az alábbi példa létrehoz egy helyi felhasználót, majd kinyomtatja a kulcsot és az engedély hatóköreit a konzolon.

   $UserName = "mylocalusername"
   $localuser = Set-AzStorageLocalUser -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName -HomeDirectory "mycontainer" -SshAuthorizedKey $sshkey -PermissionScope $permissionScope -HasSharedKey $true -HasSshKey $true -HasSshPassword $true
   
    $localuser
    $localuser.SshAuthorizedKeys | ft
    $localuser.PermissionScopes | ft
   

   Megjegyzés:

   A helyi felhasználók olyan tulajdonságot sharedKey is használnak, amelyet csak az SMB-hitelesítéshez használnak.

5. Ha jelszóval szeretné hitelesíteni a felhasználót, a New-AzStorageLocalUserSshPassword paranccsal hozhat létre jelszót. Állítsa be a paramétert -UserName a felhasználónévre.

   Az alábbi példa egy jelszót hoz létre a felhasználó számára.

   $password = New-AzStorageLocalUserSshPassword -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName
   $password 
   

   Fontos

   You can't retrieve this password later, so make sure to copy the password, and then store it in a place where you can find it. Ha elveszíti ezt a jelszót, létre kell hoznia egy újat. Vegye figyelembe, hogy az SSH-jelszavakat az Azure hozza létre, és legalább 32 karakter hosszúságúak.

Azure CLI

1. Először döntse el, hogy milyen hitelesítési módszereket szeretne társítani ezzel a helyi felhasználóval. Jelszót és /vagy SSH-kulcsot is társíthat.

   Fontos

   Bár mindkét hitelesítési formát engedélyezheti, az SFTP-ügyfelek csak az egyikkel csatlakozhatnak. A sikeres hitelesítéshez nem támogatott a többtényezős hitelesítés, amely során érvényes jelszóra és érvényes nyilvános és titkos kulcspárra is szükség van.

   Ha SSH-kulcsot szeretne használni, a nyilvános/titkos kulcs pár nyilvános kulcsát kell használnia. Használhatja az Azure-ban tárolt meglévő nyilvános kulcsokat, vagy bármely meglévő nyilvános kulcsot az Azure-on kívül.

   A meglévő kulcsok az Azure-ban való megkereséséhez tekintse meg a Listakulcsok című témakört. Amikor az SFTP-ügyfelek csatlakoznak az Azure Blob Storage-hoz, ezeknek az ügyfeleknek meg kell adniuk a nyilvános kulcshoz társított titkos kulcsot.

   Ha az Azure-on kívül szeretne nyilvános kulcsot használni, de még nem rendelkezik ilyennel, a kulcsok létrehozása ssh-keygen használatával című témakörben talál útmutatást a kulcsok létrehozásáról.

   Ha jelszóval szeretné hitelesíteni a helyi felhasználót, létrehozhat egyet a helyi felhasználó létrehozása után.

2. Hozzon létre egy helyi felhasználót az az storage account local-user create paranccsal. A parancs paramétereit használva adja meg a tárolót és az engedélyszintet. Ha SSH-kulcsot szeretne használni, állítsa a --has-ssh-key paramétert egy olyan sztringre, amely tartalmazza a kulcs típusát és a nyilvános kulcsot. Ha jelszóval szeretné hitelesíteni a helyi felhasználót, állítsa a paramétert a --has-ssh-password következőre true: .

   Az alábbi példa olvasási és írási hozzáférést ad egy helyi felhasználónévnek contosouser egy nevű contosocontainertárolóhoz. A hitelesítéshez egy kulcsértékkel ssh-rsa a2V5... rendelkező ssh-rsa kulcsot használunk.

   az storage account local-user create --account-name contosoaccount -g contoso-resource-group -n contosouser --home-directory contosocontainer --permission-scope permissions=rw service=blob resource-name=contosocontainer --ssh-authorized-key key="ssh-rsa a2V5..." --has-ssh-key true --has-ssh-password true
   

   Megjegyzés:

   A helyi felhasználók olyan tulajdonságot sharedKey is használnak, amelyet csak az SMB-hitelesítéshez használnak.

3. Ha jelszóval szeretné hitelesíteni a felhasználót, az az storage-account local-user regenerate-password paranccsal hozhat létre jelszót. Állítsa be a paramétert -n a helyi felhasználónévre.

   Az alábbi példa egy jelszót hoz létre a felhasználó számára.

   az storage account local-user regenerate-password --account-name contosoaccount -g contoso-resource-group -n contosouser  
   

   Fontos

   You can't retrieve this password later, so make sure to copy the password, and then store it in a place where you can find it. Ha elveszíti ezt a jelszót, létre kell hoznia egy újat. Vegye figyelembe, hogy az SSH-jelszavakat az Azure hozza létre, és legalább 32 karakter hosszúságúak.

SFTP-ügyfél Csatlakozás

Bármilyen SFTP-ügyféllel biztonságosan csatlakozhat, majd fájlokat továbbíthat. Az alábbi képernyőképen egy Windows PowerShell-munkamenet látható, amely open SSH-t és jelszóhitelesítést használ a csatlakozáshoz, majd feltölt egy nevű logfile.txtfájlt.

Megjegyzés:

Az SFTP felhasználóneve .storage_account_nameusername. A fenti példában a storage_account_name "contoso4" és a username "contosouser" szerepel. Az egyesített felhasználónév lesz contoso4.contosouser az SFTP parancshoz.

Megjegyzés:

Előfordulhat, hogy a rendszer egy gazdagépkulcs megbízhatóságát kéri. Az érvényes gazdagépkulcsok itt jelennek meg.

Az átvitel befejezése után megtekintheti és kezelheti a fájlt az Azure Portalon.

Megjegyzés:

Az Azure Portal a Blob REST API-t és a Data Lake Storage Gen2 REST API-t használja. A feltöltött fájlokkal való interakció az Azure Portalon az SFTP és a REST közötti interoperabilitást mutatja be.

A fájlok csatlakoztatásával és átvitelével kapcsolatos útmutatásért tekintse meg az SFTP-ügyfél dokumentációját.

egyéni tartomány Csatlakozás

When using custom domains the connection string is myaccount.myuser@customdomain.com. If home directory hasn't been specified for the user, it's myaccount.mycontainer.myuser@customdomain.com.

Fontos

Győződjön meg arról, hogy a DNS-szolgáltató nem küld proxykéréseket. Proxying may cause the connection attempt to time out.

Csatlakozás privát végpont használatával

Privát végpont használatakor a kapcsolati sztring.myaccount.myuser@myaccount.privatelink.blob.core.windows.net If home directory hasn't been specified for the user, it's myaccount.mycontainer.myuser@myaccount.privatelink.blob.core.windows.net.

Megjegyzés:

Győződjön meg arról, hogy a hálózati konfigurációt "Engedélyezve a kiválasztott virtuális hálózatokról és IP-címekről" értékre módosítja, és kiválasztja a privát végpontot, ellenkező esetben a normál SFTP-végpont továbbra is nyilvánosan elérhető lesz.

Hálózati szempontok

Az SFTP egy platformszintű szolgáltatás, így a 22-es port akkor is megnyílik, ha a fiókbeállítás le van tiltva. Ha az SFTP-hozzáférés nincs konfigurálva, akkor minden kérés leválasztódik a szolgáltatásról. Az SFTP használatakor érdemes lehet korlátozni a nyilvános hozzáférést tűzfal, virtuális hálózat vagy privát végpont konfigurációjával. Ezek a beállítások az alkalmazásrétegen vannak kényszerítve, ami azt jelenti, hogy nem az SFTP-hez tartoznak, és hatással lesznek az összes Azure Storage-végponttal való kapcsolatra. További információ a tűzfalakról és a hálózati konfigurációról: Azure Storage-tűzfalak és virtuális hálózatok konfigurálása.

Megjegyzés:

A protokollréteg TLS-támogatásának meghatározására szolgáló naplózási eszközök a minimálisan szükséges verzió mellett TLS-verziókat is visszaadhatnak, ha közvetlenül a tárfiók végpontján futnak. További információ: A Transport Layer Security (TLS) minimálisan szükséges verziójának kényszerítése tárfiókra irányuló kérelmek esetén.

Kapcsolódó információk

• SSH-fájlátviteli protokoll (SFTP) támogatása az Azure Blob Storage-hoz
• Az Azure Blob Storage SSH-fájlátviteli protokoll (SFTP) támogatásával kapcsolatos korlátozások és ismert problémák
• Gazdagépkulcsok az Azure Blob Storage SSH-fájlátviteli protokolljának (SFTP) támogatásához
• Az SSH File Transfer Protocol (SFTP) teljesítményével kapcsolatos szempontok az Azure Blob Storage-ban