Azure Blob Storage에 대한 SFTP(SSH 파일 전송 프로토콜) 지원
Blob Storage는 이제 SSH SFTP(파일 전송 프로토콜)를 지원합니다. 이 지원을 통해 SFTP 엔드포인트를 통해 Blob Storage에 안전하게 연결할 수 있으므로, 파일 액세스, 파일 전송 및 파일 관리에 SFTP를 사용할 수 있습니다.
여기에 대해 자세히 설명하는 동영상이 있습니다.
Azure는 Azure Blob service REST API, Azure SDK 및 AzCopy와 같은 도구를 사용하여 Blob Storage 계정에 보안 데이터 전송을 허용합니다. 그러나 레거시 워크로드는 SFTP와 같은 기존의 파일 전송 프로토콜을 사용하는 경우가 많습니다. REST API 및 Azure SDK를 사용하기 위해 사용자 지정 응용 프로그램을 업데이트할 수 있지만, 중요한 코드를 통해서만 가능합니다.
이 기능이 출시되기 전에 SFTP를 사용하여 Azure Blob Storage로 데이터를 전송하려면 타사 제품을 구입하거나 자체 솔루션을 오케스트레이션해야 합니다. 사용자 지정 솔루션의 경우 Azure에서 VM(가상 머신)을 만들어 SFTP 서버를 호스트한 다음, 복잡한 아키텍처를 업데이트, 패치, 관리, 크기 조정 및 유지 관리해야 합니다.
이제 Azure Blob Storage에 대한 SFTP 지원을 통해 한 번의 클릭으로 Blob Storage 계정에 대한 SFTP 엔드포인트를 사용하도록 설정할 수 있습니다. 그런 다음, 22 포트를 통해 SFTP를 사용하여 스토리지 계정에 연결하도록 인증에 대한 로컬 사용자 ID를 설정할 수 있습니다.
이 문서에서는 Azure Blob Storage의 SFTP 지원에 대해 설명합니다. 스토리지 계정에 SFTP를 사용하도록 설정하는 방법에 대한 자세한 내용은 SFTP(SSH 파일 전송 프로토콜)을 사용하여 Azure Blob Storage에 연결을 참조하세요.
참고 항목
SFTP는 플랫폼 수준 서비스이므로 계정 옵션이 비활성화된 경우에도 포트 22가 열립니다. SFTP 액세스가 구성되지 않은 경우 모든 요청은 서비스에서 연결이 끊어집니다.
SFTP 및 계층 구조 네임스페이스
SFTP 지원을 사용하려면 계층 구조 네임스페이스를 사용하도록 설정해야 합니다. 계층 구조 네임스페이스는 컴퓨터의 파일 시스템을 구성하는 것과 동일한 방식으로 개체(파일)를 디렉터리 및 하위 디렉터리의 계층 구조로 구성합니다. 계층 구조 네임스페이스는 선형으로 확장되며 데이터 용량 또는 성능을 저하시키지 않습니다.
계층 구조 네임스페이스는 다양한 프로토콜을 지원합니다. SFTP는 이러한 사용 가능한 프로토콜 중 하나입니다. 다음 이미지는 여러 프로토콜 및 REST API를 통한 스토리지 액세스를 보여 줍니다. 읽기 쉽게 이 이미지는 Gen2 REST라는 용어를 사용하여 Azure Data Lake Storage Gen2 REST API를 참조합니다.
SFTP 권한 모델
Azure Blob Storage는 SFTP를 통한 Microsoft Entra 인증 또는 권한 부여를 지원하지 않습니다. 대신 SFTP는 로컬 사용자라는 새로운 형태의 ID 관리를 활용합니다.
로컬 사용자는 인증을 위해 암호 또는 SSH(Secure Shell) 프라이빗 키 자격 증명을 사용해야 합니다. 스토리지 계정에는 최대 2,000명의 로컬 사용자를 보유할 수 있습니다.
액세스 권한을 설정하려면 로컬 사용자를 만들고 인증 방법을 선택합니다. 그런 다음 계정의 각 컨테이너에 대해 해당 사용자에게 부여할 액세스 수준을 지정할 수 있습니다.
주의
로컬 사용자는 RBAC(역할 기반 액세스 제어) 및 ABAC(특성 기반 액세스 제어)와 같은 다른 Azure Storage 권한 모델과 상호 운용되지 않습니다. ACL(액세스 제어 목록)은 미리 보기 수준에서 로컬 사용자에 대해 지원됩니다.
예를 들어 Jeff에게는 con1 컨테이너에 저장된 foo.txt 파일의 Microsoft Entra ID를 통한 읽기 전용 권한(RBAC 또는 ABAC를 통해 제어할 수 있음)이 있습니다. Jeff가 NFS(루트/슈퍼 사용자로 탑재되지 않은 경우), Blob REST 또는 Data Lake Storage Gen2 REST를 통해 스토리지 계정에 액세스하는 경우 이러한 권한이 적용됩니다. 그러나 Jeff에게 con1 컨테이너의 데이터에 대한 삭제 권한이 있는 로컬 사용자 ID도 있는 경우 로컬 사용자 ID를 사용하여 SFTP를 통해 foo.txt를 삭제할 수 있습니다.
SFTP 사용 스토리지 계정의 경우 Azure Blob Storage 보안 설정의 전체 범위를 사용하여 Azure Portal, Azure CLI, Azure PowerShell 명령, AzCopy, Azure SDK 및 Azure REST API를 통해 Blob Storage에 액세스하는 사용자를 인증하고 권한을 부여할 수 있습니다. 자세한 정보는 Azure Data Lake Storage Gen2의 액세스 제어 모델을 참조하세요.
인증 방법
암호 또는 SSH(Secure Shell) 공용-프라이빗 키 쌍을 사용하여 SFTP를 통해 연결하는 로컬 사용자를 인증할 수 있습니다. 두 가지 인증 형식을 모두 구성하고 연결하는 로컬 사용자가 사용할 인증을 선택하도록 할 수 있습니다. 그러나 성공적인 인증을 위해 유효한 암호 및 유효한 공개-프라이빗 키 쌍 모두에 필요한 다단계 인증은 지원되지 않습니다.
암호
사용자 지정 암호는 설정할 수 없습니다. 대신 Azure에서 자동으로 생성합니다. 암호 인증을 선택하면 로컬 사용자 구성을 완료한 후에 암호가 제공됩니다. 해당 암호를 복사하고 나중에 찾을 수 있는 위치에 저장해야 합니다. Azure에서 해당 암호를 다시 검색할 수는 없습니다. 암호를 분실한 경우 새 암호를 생성해야 합니다. 보안상의 이유로 암호는 직접 설정할 수 없습니다.
SSH 키 쌍
공개-프라이빗 키 쌍은 SSH(Secure Shell)에 대한 가장 일반적인 인증 형식입니다. 프라이빗 키는 비밀이며 로컬 사용자만 알고 있어야 합니다. 공개 키는 Azure에 저장됩니다. SSH 클라이언트가 로컬 사용자 ID를 사용하여 스토리지 계정에 연결하면 공개 키와 서명이 포함된 메시지를 보냅니다. Azure는 메시지의 유효성을 검사하고 스토리지 계정에서 사용자와 키를 인식하는지 확인합니다. 자세한 내용은 SSH 및 키 개요를 참조하세요.
프라이빗-공개 키 쌍을 사용하여 인증하도록 선택하는 경우 하나의 쌍을 생성하거나, Azure에 이미 저장된 키 쌍을 사용하거나, Azure에 기존의 공개-프라이빗 키 쌍을 제공할 수 있습니다. 로컬 사용자당 최대 10개의 공개 키를 가질 수 있습니다.
컨테이너 권한
컨테이너 수준 권한의 경우 액세스 권한을 부여할 컨테이너와 제공하려는 액세스 수준(읽기, 쓰기, 목록, 삭제, 만들기, 소유권 수정 및 권한 수정)을 선택할 수 있습니다. 이러한 사용 권한은 컨테이너의 모든 디렉터리 및 하위 디렉터리에 적용됩니다. 각 로컬 사용자에게 100개의 컨테이너에 대한 액세스 권한을 부여할 수 있습니다. 로컬 사용자를 만든 후 컨테이너 사용 권한을 업데이트할 수도 있습니다. 다음 테이블에서는 각 사용 권한에 대해 자세히 설명합니다.
| Permission | 기호 | 설명 |
|---|---|---|
| 읽음 | r | |
| 쓰기 | w | |
| List | l | |
| 삭제 | d | |
| 만들기 | c | |
| 소유권 수정 | o | |
| 권한 수정 | p |
하위 디렉터리의 Blob에 대한 쓰기 작업을 수행할 때 디렉터리를 열고 Blob 속성에 액세스하려면 읽기 권한이 필요합니다.
ACL
디렉터리 또는 Blob 수준 권한의 경우 ADLS Gen2 ACL이 사용하는 소유 사용자, 소유 그룹 및 모드를 변경할 수 있습니다. 대부분의 SFTP 클라이언트는 이러한 속성을 변경하기 위한 명령을 노출합니다. 다음 표에서는 일반적인 명령에 대해 자세히 설명합니다.
| 명령 | 필요한 컨테이너 권한 | 설명 |
|---|---|---|
| chown | o | |
| chgrp | o | |
| chmod | p |
소유 사용자 및 소유 그룹을 변경하는 데 필요한 ID는 로컬 사용자의 새 속성의 일부입니다. 다음 표에서는 각 새 로컬 사용자 속성에 대해 자세히 설명합니다.
| 속성 | 설명 |
|---|---|
| UserId | |
| GroupId | |
| AllowAclAuthorization |
원하는 ACL을 구성하고 로컬 사용자가 AllowAclAuthorization을(를) 활성화하면 ACL을 사용하여 요청을 승인할 수 있습니다. RBAC와 마찬가지로 컨테이너 권한은 ACL과 상호 운용할 수 있습니다. 로컬 사용자에게 충분한 컨테이너 권한이 없는 경우에만 ACL이 평가됩니다. 자세한 정보는 Azure Data Lake Storage Gen2의 액세스 제어 모델을 참조하세요.
홈 디렉터리
권한을 구성할 때 로컬 사용자에 대한 홈 디렉터리를 설정하는 옵션이 있습니다. SFTP 연결 요청에 다른 컨테이너가 지정되지 않은 경우, 홈 디렉터리는 기본적으로 사용자가 연결하는 디렉터리입니다. 예를 들어 SSH 열기를 사용하여 만든 다음 요청을 고려합니다. 이 요청은 sftp 명령의 일부로 컨테이너 또는 디렉터리 이름을 지정하지 않습니다.
sftp myaccount.myusername@myaccount.blob.core.windows.net
put logfile.txt
사용자의 홈 디렉터리를 mycontainer/mydirectory로 설정하면 해당 디렉터리에 연결됩니다. 그런 다음 logfile.txt 파일이 mycontainer/mydirectory에 업로드됩니다. 홈 디렉터리를 설정하지 않으면 연결 시도가 실패합니다. 대신, 연결 사용자는 요청과 함께 컨테이너를 지정한 다음 SFTP 명령을 사용하여 파일을 업로드하기 전에 대상 디렉터리로 이동합니다. 다음 예제에서는 이러한 방법을 보여줍니다.
sftp myaccount.mycontainer.myusername@myaccount.blob.core.windows.net
cd mydirectory
put logfile.txt
참고 항목
홈 디렉터리는 연결하는 로컬 사용자가 있는 초기 디렉터리일 뿐입니다. 로컬 사용자는 적절한 컨테이너 권한이 있는 경우 연결된 컨테이너의 다른 경로로 이동할 수 있습니다.
지원되는 알고리즘
다양한 SFTP 클라이언트를 사용하여 안전하게 연결한 다음 파일을 전송할 수 있습니다. 연결 클라이언트는 아래 표에 지정된 알고리즘을 사용해야 합니다.
| Type | 알고리즘 |
|---|---|
| 호스트 키 1 | rsa-sha2-256 2 rsa-sha2-512 2 ecdsa-sha2-nistp256 ecdsa-sha2-nistp384 |
| 키 교환 | ecdh-sha2-nistp384 ecdh-sha2-nistp256 diffie-hellman-group14-sha256 diffie-hellman-group16-sha512 diffie-hellman-group-exchange-sha256 |
| 암호/암호화 | aes128-gcm@openssh.com aes256-gcm@openssh.com aes128-ctr aes192-ctr aes256-ctr |
| 무결성/MAC | hmac-sha2-256 hmac-sha2-512 hmac-sha2-256-etm@openssh.com hmac-sha2-512-etm@openssh.com |
| 공개 키 | ssh-rsa 2 rsa-sha2-256 rsa-sha2-512 ecdsa-sha2-nistp256 ecdsa-sha2-nistp384 ecdsa-sha2-nistp521 |
1 호스트 키는 여기에 게시됩니다. 2 RSA 키의 길이는 2,048비트 이상이어야 합니다.
Azure Blob Storage에 대한 SFTP 지원은 현재 보안 고려 사항에 따라 암호화 알고리즘 지원을 제한합니다. 고객은 Microsoft SDL(보안 개발 수명 주기) 승인 알고리즘을 사용하여 데이터에 안전하게 액세스할 것을 강력히 권장합니다.
현재 Microsoft Security SDL에 따라 ssh-dss, diffie-hellman-group14-sha1, diffie-hellman-group1-sha1, diffie-hellman-group-exchange-sha1, hmac-sha1, hmac-sha1-96을 지원할 계획이 없습니다. 알고리즘 지원은 향후 변경될 수 있습니다.
SFTP를 사용하여 연결
시작하려면 SFTP 지원을 사용하도록 설정하고, 로컬 사용자를 만들고, 해당 로컬 사용자에 대한 권한을 할당합니다. 그런 다음, 모든 SFTP 클라이언트를 사용하여 안전하게 연결한 다음, 파일을 전송할 수 있습니다. 단계별 지침은 SFTP(SSH 파일 전송 프로토콜)를 사용하여 Azure Blob Storage에 연결을 참조하세요.
지원되는 알려진 클라이언트
다음 클라이언트는 Azure Blob Storage용 SFTP와 호환되는 알고리즘을 지원합니다. 연결에 문제가 있는 경우 Azure Blob Storage에 대한 SSH 파일 전송 프로토콜(SFTP) 지원의 제한 사항 및 알려진 이슈를 참조하세요. 이 목록은 완전하지 않으며 시간이 지남에 따라 변경될 수 있습니다.
- AsyncSSH 2.1.0+
- Axway
- Cyberduck 7.8.2+
- edtFTPjPRO 7.0.0+
- FileZilla 3.53.0+
- libssh 0.9.5+
- Maverick Legacy 1.7.15+
- Moveit 12.7
- OpenSSH 7.4+
- paramiko 2.8.1+
- phpseclib 1.0.13+
- PuTTY 0.74+
- QualysML 12.3.41.1+
- RebexSSH 5.0.7119.0+
- Salesforce
- ssh2js 0.1.20+
- sshj 0.27.0+
- SSH.NET 2020.0.0+
- WinSCP 5.10+
- Workday
- XFB.Gateway
- JSCH 0.1.54+
- curl 7.85.0+
- AIX1
- MobaXterm v21.3
1AllowPKCS12KeystoreAutoOpen 옵션을 no로 설정해야 합니다.
제한 사항 및 알려진 문제
Azure Blob Storage에 대한 SFTP 지원의 전체 제한 사항 및 문제 목록은 제한 사항 및 알려진 문제 문서를 참조하세요.
가격 책정 및 대금 청구
SFTP 엔드포인트를 사용하도록 설정하면 시간당 비용이 발생합니다. 최신 가격 책정 정보는 Azure Blob Storage 가격 책정을 참조하세요.
팁
수동 요금을 방지하려면 SFTP를 능동적으로 사용하여 데이터를 전송하는 경우에만 SFTP를 사용하도록 설정하는 것이 좋습니다. SFTP 지원을 사용하도록 설정했다가 사용하지 않도록 설정하는 방법에 대한 지침은 SFTP(SSH 파일 전송 프로토콜)를 사용하여 Azure Blob Storage에 연결을 참조하세요.
기본 스토리지 계정에 대한 트랜잭션, 스토리지 및 네트워킹 가격이 적용됩니다. 모든 SFTP 트랜잭션은 스토리지 계정의 읽기, 쓰기 또는 기타 트랜잭션으로 변환됩니다. 여기에는 모든 SFTP 명령과 API 호출이 포함됩니다. 자세한 내용은 Azure Blob Storage에 대한 전체 청구 모델 이해를 참조하세요.