Mengotorisasi akses ke Azure Blob Storage untuk klien SSH File Transfer Protocol (SFTP)

Artikel ini memperlihatkan kepada Anda cara mengotorisasi akses ke klien SFTP sehingga Anda dapat terhubung dengan aman ke titik akhir Blob Storage akun Azure Storage Anda dengan menggunakan klien SFTP.

Untuk mempelajari selengkapnya tentang dukungan SFTP di Azure Blob Storage, lihat Dukungan Protokol Transfer File SSH (SFTP) di Azure Blob Storage.

Prasyarat

Aktifkan dukungan SFTP untuk Azure Blob Storage. Lihat Mengaktifkan atau menonaktifkan dukungan SFTP.

Membuat pengguna lokal

Azure Storage tidak mendukung tanda tangan akses bersama (SAS), atau autentikasi Microsoft Entra untuk mengakses titik akhir SFTP. Sebagai gantinya, Anda harus menggunakan identitas yang disebut pengguna lokal yang dapat diamankan dengan kata sandi yang dihasilkan Azure atau pasangan kunci shell yang aman (SSH). Untuk memberikan akses ke klien yang terhubung, akun penyimpanan harus memiliki identitas yang terkait dengan kata sandi atau pasangan kunci tersebut. Identitas ini disebut pengguna lokal.

Di bagian ini, Anda akan belajar cara membuat pengguna lokal, memilih metode autentikasi, dan menetapkan izin untuk pengguna lokal tersebut.

Untuk mempelajari selengkapnya tentang model izin SFTP, lihat Model Izin SFTP.

Tips

Bagian ini menunjukkan cara mengonfigurasi pengguna lokal untuk akun penyimpanan yang ada. Untuk melihat templat Azure Resource Manager yang mengonfigurasi pengguna lokal sebagai bagian dari pembuatan akun, lihat Membuat Akun Azure Storage dan Kontainer Blob dapat diakses menggunakan protokol SFTP di Azure.

Memilih metode autentikasi

Anda dapat mengautentikasi pengguna lokal yang terhubung dari klien SFTP dengan menggunakan kata sandi atau pasangan kunci privat publik Secure Shell (SSH).

Penting

Meskipun Anda dapat mengaktifkan kedua bentuk autentikasi, klien SFTP dapat terhubung dengan hanya menggunakan salah satu dari mereka. Autentikasi multifaktor, di mana kata sandi yang valid dan pasangan kunci publik dan privat yang valid diperlukan untuk autentikasi yang berhasil tidak didukung.

Di portal Microsoft Azure, navigasikan ke akun penyimpanan Anda.
Di bawah Pengaturan, pilih SFTP, lalu pilih Tambahkan pengguna lokal.

Di panel konfigurasi Tambahkan pengguna lokal, tambahkan nama pengguna, lalu pilih metode autentikasi mana yang ingin Anda kaitkan dengan pengguna lokal ini. Anda dapat mengaitkan kata sandi dan/atau kunci SSH.

Jika Anda memilih Kata Sandi SSH, kata sandi Anda muncul saat menyelesaikan semua langkah di panel Tambahkan konfigurasi pengguna lokal. Kata sandi SSH dihasilkan oleh Azure dan panjangnya minimal 32 karakter.

Jika Anda memilih Pasangan Kunci SSH, berarti pilih Sumber kunci umum untuk menentukan sumber kunci.

Cuplikan layar panel Konfigurasi pengguna lokal.

Tabel berikut menjelaskan setiap opsi sumber kunci:

Opsi	Panduan
Membuat pasangan kunci baru	Gunakan opsi ini untuk membuat pasangan kunci umum/privat baru. Kunci umum disimpan di Azure dengan nama kunci yang Anda berikan. Kunci privat dapat diunduh setelah pengguna lokal berhasil ditambahkan.
Menggunakan kunci yang ada yang disimpan di Azure	Gunakan opsi ini jika Anda ingin menggunakan kunci umum yang sudah disimpan di Azure. Untuk menemukan kunci yang sudah ada di Azure, lihat Cantumkan kunci. Ketika klien SFTP terhubung ke Azure Blob Storage, klien tersebut perlu memberikan kunci privat yang terkait dengan kunci umum ini.
Gunakan kunci publik yang sudah ada	Gunakan opsi ini jika Anda ingin mengunggah kunci umum yang disimpan di luar Azure. Jika Anda tidak memiliki kunci umum, tetapi ingin menghasilkannya di luar Azure, lihat Menghasilkan kunci dengan ssh-keygen.

Penting

Hanya kunci publik berformat OpenSSH yang didukung. Kunci yang Anda berikan harus menggunakan format ini: <key type> <key data>. Misalnya, kunci RSA akan terlihat mirip dengan ini: ssh-rsa AAAAB3N.... Jika kunci Anda dalam format lain, maka alat seperti ssh-keygen dapat digunakan untuk mengonversinya ke format OpenSSH.

Pilih Berikutnya untuk membuka tab Izin panel konfigurasi.

Bagian ini memperlihatkan kepada Anda cara mengautentikasi dengan menggunakan kunci SSH atau kata sandi.

Mengautentikasi dengan menggunakan kunci SSH (PowerShell)

Pilih jenis kunci publik yang ingin Anda gunakan.
- Menggunakan kunci yang ada yang disimpan di Azure
  
  Gunakan opsi ini jika Anda ingin menggunakan kunci umum yang sudah disimpan di Azure. Untuk menemukan kunci yang sudah ada di Azure, lihat Cantumkan kunci. Ketika klien SFTP terhubung ke Azure Blob Storage, klien tersebut perlu memberikan kunci privat yang terkait dengan kunci umum ini.
- Gunakan kunci publik yang sudah ada yang disimpan di luar Azure.
  
  Jika Anda belum memiliki kunci publik, lihat Membuat kunci dengan ssh-keygen untuk panduan tentang cara membuatnya. Hanya kunci publik berformat OpenSSH yang didukung. Kunci yang Anda berikan harus menggunakan format ini: <key type> <key data>. Misalnya, kunci RSA akan terlihat mirip dengan ini: ssh-rsa AAAAB3N.... Jika kunci Anda dalam format lain, maka alat seperti ssh-keygen dapat digunakan untuk mengonversinya ke format OpenSSH.
Buat objek kunci publik dengan menggunakan perintah New-AzStorageLocalUserSshPublicKey . Atur -Key parameter ke string yang berisi jenis kunci dan kunci umum. Dalam contoh berikut, jenis kunci adalah ssh-rsa dan kunci tersebut adalah ssh-rsa a2V5....
```
$sshkey = "ssh-rsa a2V5..."
$sshkey = New-AzStorageLocalUserSshPublicKey -Key $sshkey -Description "description for ssh public key"
```
Buat pengguna lokal dengan menggunakan perintah Set-AzStorageLocalUser. Jika Anda menggunakan kunci SSH, atur SshAuthorizedKey parameter ke objek kunci publik yang Anda buat di langkah sebelumnya.

Contoh berikut membuat pengguna lokal lalu mencetak kunci ke konsol.
```
$UserName = "mylocalusername"
$localuser = Set-AzStorageLocalUser -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName -SshAuthorizedKey $sshkey -HasSharedKey $true -HasSshKey $true

$localuser
$localuser.SshAuthorizedKeys | ft
```
Catatan

Pengguna lokal juga memiliki properti sharedKey yang hanya digunakan untuk autentikasi SMB saja.

Mengautentikasi dengan menggunakan kata sandi (PowerShell)

Buat pengguna lokal dengan menggunakan perintah Set-AzStorageLocalUser , dan atur -HasSshPassword parameter ke $true.

Contoh berikut membuat pengguna lokal yang menggunakan autentikasi kata sandi.
```
$UserName = "mylocalusername"
$localuser = Set-AzStorageLocalUser -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName -HasSshPassword $true
```
Anda dapat membuat kata sandi dengan menggunakan perintah New-AzStorageLocalUserSshPassword . Atur -UserName parameter ke nama pengguna.

Contoh berikut membuat kata sandi untuk pengguna.
```
$password = New-AzStorageLocalUserSshPassword -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName
$password 
```
Penting

Anda tidak dapat mengambil kata sandi ini nanti, jadi pastikan untuk menyalin kata sandi, dan kemudian menyimpannya di tempat di mana Anda dapat menemukannya. Jika Anda kehilangan kata sandi ini, Anda harus membuat yang baru. Perhatikan bahwa kata sandi SSH dihasilkan oleh Azure dan panjangnya minimal 32 karakter.

Bagian ini memperlihatkan kepada Anda cara mengautentikasi dengan menggunakan kunci SSH atau kata sandi.

Mengautentikasi dengan menggunakan kunci SSH (Azure CLI)

Pilih jenis kunci publik yang ingin Anda gunakan.
- Menggunakan kunci yang ada yang disimpan di Azure
  
  Gunakan opsi ini jika Anda ingin menggunakan kunci umum yang sudah disimpan di Azure. Untuk menemukan kunci yang sudah ada di Azure, lihat Cantumkan kunci. Ketika klien SFTP terhubung ke Azure Blob Storage, klien tersebut perlu memberikan kunci privat yang terkait dengan kunci umum ini.
- Gunakan kunci publik yang sudah ada yang disimpan di luar Azure.
  
  Jika Anda belum memiliki kunci publik, lihat Membuat kunci dengan ssh-keygen untuk panduan tentang cara membuatnya. Hanya kunci publik berformat OpenSSH yang didukung. Kunci yang Anda berikan harus menggunakan format ini: <key type> <key data>. Misalnya, kunci RSA akan terlihat mirip dengan ini: ssh-rsa AAAAB3N.... Jika kunci Anda dalam format lain, maka alat seperti ssh-keygen dapat digunakan untuk mengonversinya ke format OpenSSH.
Untuk membuat pengguna lokal yang diautentikasi dengan menggunakan kunci SSH, gunakan perintah az storage account local-user create , lalu atur --has-ssh-key parameter ke string yang berisi jenis kunci dan kunci publik.

Contoh berikut membuat pengguna lokal bernama contosouser, dan menggunakan kunci ssh-rsa dengan nilai ssh-rsa a2V5... kunci untuk autentikasi.
```
az storage account local-user create --account-name contosoaccount -g contoso-resource-group -n contosouser --ssh-authorized-key key="ssh-rsa a2V5..." --has-ssh-key true --has-ssh-password true
```
Catatan

Pengguna lokal juga memiliki properti sharedKey yang hanya digunakan untuk autentikasi SMB saja.

Mengautentikasi dengan menggunakan kata sandi (Azure CLI)

Untuk membuat pengguna lokal yang diautentikasi dengan menggunakan kata sandi, gunakan perintah az storage account local-user create , lalu atur --has-ssh-password parameter ke true.

Contoh berikut membuat pengguna lokal bernama contosouser, dan mengatur --has-ssh-password parameter ke true.
```
az storage account local-user create --account-name contosoaccount -g contoso-resource-group -n contosouser --has-ssh-password true
```
Buat kata sandi menggunakan perintah az storage account local-user regenerate-password. Atur -n parameter ke nama pengguna lokal.

Contoh berikut membuat kata sandi untuk pengguna.
```
az storage account local-user regenerate-password --account-name contosoaccount -g contoso-resource-group -n contosouser  
```
Penting

Anda tidak dapat mengambil kata sandi ini nanti, jadi pastikan untuk menyalin kata sandi, dan kemudian menyimpannya di tempat di mana Anda dapat menemukannya. Jika Anda kehilangan kata sandi ini, Anda harus membuat yang baru. Perhatikan bahwa kata sandi SSH dihasilkan oleh Azure dan panjangnya minimal 32 karakter.

Memberikan izin kepada kontainer

Pilih kontainer mana yang ingin Anda beri akses dan tingkat akses apa yang ingin Anda berikan. Izin tersebut berlaku untuk semua direktori dan subdirektori dalam kontainer. Untuk mempelajari selengkapnya tentang setiap izin kontainer, lihat Izin kontainer.

Jika Anda ingin mengotorisasi akses di tingkat file dan direktori, Anda dapat mengaktifkan otorisasi ACL.

Di tab Izin , pilih kontainer yang ingin Anda sediakan untuk pengguna lokal ini. Kemudian, pilih jenis operasi mana yang ingin Anda aktifkan untuk dilakukan oleh pengguna lokal.

Penting

Pengguna lokal harus memiliki setidaknya satu izin kontainer atau izin ACL ke direktori beranda kontainer tersebut. Jika tidak, upaya koneksi ke kontainer tersebut akan gagal.
Jika Anda ingin mengotorisasi akses dengan menggunakan daftar kontrol akses (ACL) yang terkait dengan file dan direktori dalam kontainer ini, pilih kotak centang Izinkan otorisasi ACL. Untuk mempelajari selengkapnya tentang menggunakan ACL untuk mengotorisasi klien SFTP, lihat ACL.

Anda juga dapat menambahkan pengguna lokal ini ke grup dengan menetapkan pengguna tersebut ke ID grup. ID tersebut dapat berupa skema angka atau angka apa pun yang Anda inginkan. Mengelompokkan pengguna memungkinkan Anda menambahkan dan menghapus pengguna tanpa perlu menerapkan kembali ACL ke seluruh struktur direktori. Sebagai gantinya, Anda dapat menambahkan atau menghapus pengguna dari grup.

Catatan

ID pengguna untuk pengguna lokal dibuat secara otomatis. Anda tidak dapat mengubah ID ini, tetapi Anda bisa melihat ID setelah membuat pengguna lokal dengan membuka kembali pengguna tersebut di panel Edit pengguna lokal.
Dalam kotak Edit direktori Beranda, ketik nama kontainer atau jalur direktori (termasuk nama kontainer) yang akan menjadi lokasi default yang terkait dengan pengguna lokal ini (Misalnya: mycontainer/mydirectory).

Untuk mempelajari selengkapnya tentang direktori beranda, lihat Direktori beranda.
Pilih tombol Tambahkan untuk menambahkan pengguna lokal.

Jika Anda mengaktifkan autentikasi kata sandi, maka kata sandi yang dihasilkan Azure muncul dalam kotak dialog setelah pengguna lokal ditambahkan.

Penting

Anda tidak dapat mengambil kata sandi ini nanti, jadi pastikan untuk menyalin kata sandi, dan kemudian menyimpannya di tempat di mana Anda dapat menemukannya.

Jika memilih untuk membuat pasangan kunci baru, maka Anda akan diminta untuk mengunduh kunci privat dari pasangan kunci itu setelah pengguna lokal ditambahkan.

Catatan

Pengguna lokal memiliki properti sharedKey yang hanya digunakan untuk autentikasi SMB saja.

Tentukan kontainer mana yang ingin Anda buat tersedia untuk pengguna lokal dan tipe operasi yang ingin Anda aktifkan untuk dilakukan oleh pengguna lokal ini. Buat objek lingkup izin menggunakan perintah New-AzStorageLocalUserPermissionScope, serta atur parameter -Permission perintah tersebut ke satu atau beberapa huruf yang sesuai dengan tingkat izin akses. Nilai yang mungkin adalah Baca(r), Tulis (w), Hapus (d), Daftar (l), Buat (c), Ubah Kepemilikan(o), Ubah Izin(p).

Kumpulan contoh berikut membuat objek lingkup izin yang memberikan izin baca serta tulis ke kontainer mycontainer.
```
$permissionScope = New-AzStorageLocalUserPermissionScope -Permission rw -Service blob -ResourceName mycontainer 
```
Penting

Pengguna lokal harus memiliki setidaknya satu izin kontainer untuk kontainer yang disambungkannya jika tidak, upaya koneksi akan gagal.

Perbarui pengguna lokal dengan menggunakan perintah Set-AzStorageLocalUser . Atur -PermissionScope parameter ke objek lingkup izin yang Anda buat sebelumnya.

Contoh berikut memperbarui pengguna lokal dengan izin kontainer lalu menampilkan cakupan izin di konsol.

$UserName = "mylocalusername"
$localuser = Set-AzStorageLocalUser -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName -HomeDirectory "mycontainer" -PermissionScope $permissionScope

$localuser
$localuser.PermissionScopes | ft

Untuk memperbarui pengguna lokal dengan izin ke kontainer, gunakan perintah az storage account local-user update , lalu atur parameter perintah tersebut permission-scope ke satu atau beberapa huruf yang sesuai dengan tingkat izin akses. Nilai yang mungkin adalah Baca(r), Tulis (w), Hapus (d), Daftar (l), Buat (c), Ubah Kepemilikan(o), Ubah Izin(p).

Contoh berikut memberi nama pengguna lokal contosouser akses baca dan tulis ke kontainer bernama contosocontainer.

az storage account local-user update --account-name contosoaccount -g contoso-resource-group -n contosouser --home-directory contosocontainer --permission-scope permissions=rw service=blob resource-name=contosocontainer

Langkah berikutnya

Sambungkan ke Azure Blob Storage dengan menggunakan klien SFTP. Lihat Sambungkan dari klien SFTP.

Saran dan Komentar

Apakah halaman ini membantu?

Last updated on 2024-05-02