Autorizzare l'accesso a Archiviazione BLOB di Azure per un client SFTP (SSH File Transfer Protocol)

Questo articolo illustra come autorizzare l'accesso ai client SFTP in modo che sia possibile connettersi in modo sicuro all'endpoint di archiviazione BLOB dell'account Archiviazione di Azure usando un client SFTP.

Per altre informazioni sul supporto SFTP per Archiviazione BLOB di Azure, vedere SSH File Transfer Protocol (SFTP) in Archiviazione BLOB di Azure.

Prerequisiti

• Abilitare il supporto SFTP per Archiviazione BLOB di Azure. Vedere Abilitare o disabilitare il supporto SFTP.

Creare un utente locale

Archiviazione di Azure non supporta la firma di accesso condiviso (SAS) o l'autenticazione di Microsoft Entra per l'accesso all'endpoint SFTP. È invece necessario usare un'identità denominata utente locale che può essere protetta con una password generata da Azure o una coppia di chiavi SSH (Secure Shell). Per concedere l'accesso a un client di connessione, l'account di archiviazione deve avere un'identità associata alla password o alla coppia di chiavi. Tale identità viene chiamata utente locale.

In questa sezione si apprenderà come creare un utente locale, scegliere un metodo di autenticazione e assegnare le autorizzazioni per tale utente locale.

Per altre informazioni sul modello di autorizzazioni SFTP, vedere Modello di autorizzazioni SFTP.

Suggerimento

Questa sezione illustra come configurare gli utenti locali per un account di archiviazione esistente. Per visualizzare un modello di Azure Resource Manager che configura un utente locale come parte della creazione di un account, vedere Creare un account di archiviazione di Azure e un contenitore BLOB accessibile usando il protocollo SFTP in Azure.

Scegliere un metodo di autenticazione

È possibile autenticare gli utenti locali che si connettono dai client SFTP usando una password o una coppia di chiavi pubblica-privata Secure Shell (SSH).

Importante

Sebbene sia possibile abilitare entrambe le forme di autenticazione, i client SFTP possono connettersi usando solo una di esse. L'autenticazione a più fattori, che richiede una password valida e una coppia di chiavi pubbliche e private valide per un'autenticazione corretta, non è supportata.

Portale

1. Nel portale di Azure passare all'account di archiviazione.

2. In Impostazioni selezionare SFTP, quindi selezionare Aggiungi utente locale.

   

3. Nel riquadro di configurazione Aggiungi utente locale aggiungere il nome di un utente e quindi selezionare i metodi di autenticazione da associare all'utente locale. È possibile associare una password e/o una chiave SSH.

   Se si seleziona Password SSH, la password viene visualizzata al termine di tutti i passaggi nel riquadro Aggiungi configurazione utente locale. Le password SSH vengono generate da Azure e hanno una lunghezza minima di 32 caratteri.

   Se si seleziona Coppia di chiavi SSH, selezionare Origine chiave pubblica per specificare un'origine della chiave.

   

   La tabella seguente descrive ogni opzione dell'origine della chiave:

   Opzione	Linee guida
   Generare una nuova coppia di chiavi	Usare questa opzione per creare una nuova coppia di chiavi pubblica/privata. La chiave pubblica viene archiviata in Azure con il nome della chiave specificato. La chiave privata può essere scaricata dopo aver aggiunto correttamente l'utente locale.
   Usa la chiave esistente archiviata in Azure	Usare questa opzione se si vuole usare una chiave pubblica già archiviata in Azure. Per trovare le chiavi esistenti in Azure, vedere Elencare le chiavi. Quando i client SFTP si connettono ad Archiviazione BLOB di Azure, questi client devono fornire la chiave privata associata a questa chiave pubblica.
   Usa chiave pubblica esistente	Usare questa opzione se si vuole caricare una chiave pubblica archiviata all'esterno di Azure. Se non si ha una chiave pubblica, ma si vuole generarne una all'esterno di Azure, vedere Generare chiavi con ssh-keygen.

   Importante

   Sono supportate solo le chiavi pubbliche in formato OpenSSH. La chiave specificata deve usare questo formato: <key type> <key data>. Ad esempio, le chiavi RSA avranno un formato simile al seguente: ssh-rsa AAAAB3N.... Se la chiave è in un altro formato, è possibile usare uno strumento come ad ssh-keygen esempio per convertirlo in formato OpenSSH.

4. Selezionare Avanti per aprire la scheda Autorizzazioni del riquadro di configurazione.

PowerShell

Questa sezione illustra come eseguire l'autenticazione usando una chiave SSH o una password.

Eseguire l'autenticazione con una chiave SSH (PowerShell)

1. Scegliere il tipo di chiave pubblica da usare.

   • Usa la chiave esistente archiviata in Azure

     Usare questa opzione se si vuole usare una chiave pubblica già archiviata in Azure. Per trovare le chiavi esistenti in Azure, vedere Elencare le chiavi. Quando i client SFTP si connettono ad Archiviazione BLOB di Azure, questi client devono fornire la chiave privata associata a questa chiave pubblica.

   • Usare la chiave pubblica esistente archiviata all'esterno di Azure.

     Se non si ha ancora una chiave pubblica, vedere Generare chiavi con ssh-keygen per indicazioni su come crearne uno. Sono supportate solo le chiavi pubbliche in formato OpenSSH. La chiave specificata deve usare questo formato: <key type> <key data>. Ad esempio, le chiavi RSA avranno un formato simile al seguente: ssh-rsa AAAAB3N.... Se la chiave è in un altro formato, è possibile usare uno strumento come ad ssh-keygen esempio per convertirlo in formato OpenSSH.

2. Creare un oggetto chiave pubblica usando il comando New-AzStorageLocalUserSshPublicKey . Impostare il parametro -Key su una stringa contenente il tipo di chiave e la chiave pubblica. Nell'esempio seguente il tipo di chiave è ssh-rsa e la chiave è ssh-rsa a2V5....

   $sshkey = "ssh-rsa a2V5..."
   $sshkey = New-AzStorageLocalUserSshPublicKey -Key $sshkey -Description "description for ssh public key"
   

3. Creare un utente locale usando il comando Set-AzStorageLocalUser. Se si usa una chiave SSH, impostare il parametro SshAuthorizedKey sull'oggetto chiave pubblica creato nel passaggio precedente.

   L'esempio seguente crea un utente locale e quindi stampa la chiave nella console.

   $UserName = "mylocalusername"
   $localuser = Set-AzStorageLocalUser -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName -SshAuthorizedKey $sshkey -HasSharedKey $true -HasSshKey $true
   
   $localuser
   $localuser.SshAuthorizedKeys | ft
   

   Nota

   Gli utenti locali hanno anche una proprietà sharedKey usata solo per l'autenticazione SMB.

Eseguire l'autenticazione usando una password (PowerShell)

1. Creare un utente locale usando il comando Set-AzStorageLocalUser e impostare il -HasSshPassword parametro su $true.

   Nell'esempio seguente viene creato un utente locale che usa l'autenticazione della password.

   $UserName = "mylocalusername"
   $localuser = Set-AzStorageLocalUser -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName -HasSshPassword $true
   

2. È possibile creare una password usando il comando New-AzStorageLocalUserSshPassword . Impostare il parametro -UserName sul nome utente.

   Nell'esempio seguente viene generata una password per l'utente.

   $password = New-AzStorageLocalUserSshPassword -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName
   $password 
   

   Importante

   Non sarà possibile recuperare questa password in un secondo momento, quindi assicurarsi di copiarla e archiviarla in una posizione in cui sia possibile trovarla. Se si perde questa password, sarà necessario generarne una nuova. Le password SSH vengono generate da Azure e hanno una lunghezza minima di 32 caratteri.

Interfaccia della riga di comando di Azure

Questa sezione illustra come eseguire l'autenticazione usando una chiave SSH o una password.

Eseguire l'autenticazione con una chiave SSH (interfaccia della riga di comando di Azure)

1. Scegliere il tipo di chiave pubblica da usare.

   • Usa la chiave esistente archiviata in Azure

     Usare questa opzione se si vuole usare una chiave pubblica già archiviata in Azure. Per trovare le chiavi esistenti in Azure, vedere Elencare le chiavi. Quando i client SFTP si connettono ad Archiviazione BLOB di Azure, questi client devono fornire la chiave privata associata a questa chiave pubblica.

   • Usare la chiave pubblica esistente archiviata all'esterno di Azure.

     Se non si ha ancora una chiave pubblica, vedere Generare chiavi con ssh-keygen per indicazioni su come crearne uno. Sono supportate solo le chiavi pubbliche in formato OpenSSH. La chiave specificata deve usare questo formato: <key type> <key data>. Ad esempio, le chiavi RSA avranno un formato simile al seguente: ssh-rsa AAAAB3N.... Se la chiave è in un altro formato, è possibile usare uno strumento come ad ssh-keygen esempio per convertirlo in formato OpenSSH.

2. Per creare un utente locale autenticato tramite una chiave SSH, usare il comando az storage account local-user create e quindi impostare il --has-ssh-key parametro su una stringa contenente il tipo di chiave e la chiave pubblica.

   Nell'esempio seguente viene creato un utente locale denominato contosousere viene usata una chiave ssh-rsa con un valore di chiave per ssh-rsa a2V5... l'autenticazione.

   az storage account local-user create --account-name contosoaccount -g contoso-resource-group -n contosouser --ssh-authorized-key key="ssh-rsa a2V5..." --has-ssh-key true --has-ssh-password true
   

   Nota

   Gli utenti locali hanno anche una proprietà sharedKey usata solo per l'autenticazione SMB.

Eseguire l'autenticazione usando una password (interfaccia della riga di comando di Azure)

1. Per creare un utente locale autenticato usando una password, usare il comando az storage account local-user create e quindi impostare il --has-ssh-password parametro su true.

   Nell'esempio seguente viene creato un utente locale denominato contosousere viene impostato il --has-ssh-password parametro su true.

   az storage account local-user create --account-name contosoaccount -g contoso-resource-group -n contosouser --has-ssh-password true
   

2. Creare una password usando il comando az storage account local-user regenerate-password . Impostare il parametro -n sul nome utente locale.

   Nell'esempio seguente viene generata una password per l'utente.

   az storage account local-user regenerate-password --account-name contosoaccount -g contoso-resource-group -n contosouser  
   

   Importante

   Non sarà possibile recuperare questa password in un secondo momento, quindi assicurarsi di copiarla e archiviarla in una posizione in cui sia possibile trovarla. Se si perde questa password, sarà necessario generarne una nuova. Le password SSH vengono generate da Azure e hanno una lunghezza minima di 32 caratteri.

Concedere l'autorizzazione ai contenitori

Scegliere i contenitori a cui si vuole concedere l'accesso e a quale livello di accesso si vuole fornire. Queste autorizzazioni si applicano a tutte le directory e le sottodirectory nel contenitore. Per altre informazioni su ogni autorizzazione contenitore, vedere Autorizzazioni contenitore.

Se si vuole autorizzare l'accesso a livello di file e directory, è possibile abilitare l'autorizzazione ACL. Questa funzionalità è in anteprima e può essere abilitata solo usando il portale di Azure.

Portale

1. Nella scheda Autorizzazioni selezionare i contenitori che si desidera rendere disponibili all'utente locale. Selezionare quindi i tipi di operazioni che si desidera consentire all'utente locale di eseguire.

   

   Importante

   L'utente locale deve avere almeno un'autorizzazione contenitore o un elenco di controllo di accesso per la home directory del contenitore. In caso contrario, un tentativo di connessione a tale contenitore avrà esito negativo.

2. Se si vuole autorizzare l'accesso usando gli elenchi di controllo di accesso (ACL) associati a file e directory in questo contenitore, selezionare la casella di controllo Consenti autorizzazione ACL. Per altre informazioni sull'uso di ACLS per autorizzare i client SFTP, vedere ACL.

   È anche possibile aggiungere questo utente locale a un gruppo assegnando tale utente a un ID gruppo. Tale ID può essere qualsiasi schema numerico o numerico desiderato. Il raggruppamento degli utenti consente di aggiungere e rimuovere utenti senza la necessità di riapplicare gli elenchi di controllo di accesso a un'intera struttura di directory. È invece possibile aggiungere o rimuovere utenti dal gruppo.

   

   Nota

   Viene generato automaticamente un ID utente per l'utente locale. Non è possibile modificare questo ID, ma è possibile visualizzare l'ID dopo aver creato l'utente locale riaprendo tale utente nel riquadro Modifica utente locale.

3. Nella casella di modifica Home directory digitare il nome del contenitore o il percorso della directory (incluso il nome del contenitore) che sarà il percorso predefinito associato all'utente locale, ad esempio mycontainer/mydirectory.

   Per altre informazioni sulla home directory, vedere Home directory.

4. Selezionare il pulsante Aggiungi per aggiungere l'utente locale.

   Se è stata abilitata l'autenticazione della password, la password generata da Azure verrà visualizzata in una finestra di dialogo dopo l'aggiunta dell'utente locale.

   Importante

   Non sarà possibile recuperare questa password in un secondo momento, quindi assicurarsi di copiarla e archiviarla in una posizione in cui sia possibile trovarla.

   Se si sceglie di generare una nuova coppia di chiavi, verrà richiesto di scaricare la chiave privata della coppia di chiavi dopo l'aggiunta dell'utente locale.

   Nota

   Gli utenti locali hanno una proprietà sharedKey usata solo per l'autenticazione SMB.

PowerShell

1. Decidere quali contenitori rendere disponibili per l'utente locale e i tipi di operazioni che si desidera consentire all'utente locale di eseguire. Creare un oggetto ambito di autorizzazione usando il comando New-AzStorageLocalUserPermissionScope e impostando il parametro -Permission di tale comando su una o più lettere corrispondenti ai livelli di autorizzazione di accesso. I valori possibili sono Read(r), Write (w), Delete (d), List (l), Create (c), Modify Ownership(o), Modify Permissions(p).

   Nell'esempio seguente viene creato un oggetto ambito di autorizzazione che concede l'autorizzazione di lettura e scrittura al contenitore mycontainer.

   $permissionScope = New-AzStorageLocalUserPermissionScope -Permission rw -Service blob -ResourceName mycontainer 
   

   Importante

   L'utente locale deve avere almeno un'autorizzazione per il contenitore a cui si connette; in caso contrario, il tentativo di connessione avrà esito negativo.

2. Aggiornare l'utente locale usando il comando Set-AzStorageLocalUser . Impostare il parametro -PermissionScope sull'oggetto ambito di autorizzazione creato in precedenza.

   L'esempio seguente aggiorna un utente locale con autorizzazioni contenitore e quindi stampa gli ambiti di autorizzazione nella console.

   $UserName = "mylocalusername"
   $localuser = Set-AzStorageLocalUser -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName -HomeDirectory "mycontainer" -PermissionScope $permissionScope
   
   $localuser
   $localuser.PermissionScopes | ft
   

Interfaccia della riga di comando di Azure

Per aggiornare un utente locale con l'autorizzazione a un contenitore, usare il comando az storage account local-user update e quindi impostare il permission-scope parametro di tale comando su una o più lettere che corrispondono ai livelli di autorizzazione di accesso. I valori possibili sono Read(r), Write (w), Delete (d), List (l), Create (c), Modify Ownership(o), Modify Permissions(p).

L'esempio seguente fornisce a un utente locale denominato contosouser l'accesso in lettura e scrittura a un contenitore denominato contosocontainer.

az storage account local-user update --account-name contosoaccount -g contoso-resource-group -n contosouser --home-directory contosocontainer --permission-scope permissions=rw service=blob resource-name=contosocontainer

Passaggi successivi

• Connettersi a Archiviazione BLOB di Azure usando un client SFTP. Vedere Connettersi da un client SFTP.

Contenuto correlato

• Supporto di SSH File Transfer Protocol (SFTP) per Archiviazione BLOB di Azure
• Abilitare o disabilitare il supporto SFTP (SSH File Transfer Protocol) in Archiviazione BLOB di Azure
• Autorizzare l'accesso ad Archiviazione BLOB di Azure da un client SSH File Transfer Protocol (SFTP)
• Limitazioni e problemi noti relativi al supporto di SSH File Transfer Protocol (SFTP) per Archiviazione BLOB di Azure
• Chiavi host per il supporto di SSH File Transfer Protocol (SFTP) per Archiviazione BLOB di Azure
• Considerazioni sulle prestazioni di SSH File Transfer Protocol (SFTP) in Archiviazione BLOB di Azure