Autoryzowanie dostępu do usługi Azure Blob Storage dla klienta protokołu SSH File Transfer Protocol (SFTP)

W tym artykule pokazano, jak autoryzować dostęp do klientów SFTP, aby można było bezpiecznie nawiązać połączenie z punktem końcowym usługi Blob Storage konta usługi Azure Storage przy użyciu klienta SFTP.

Aby dowiedzieć się więcej o obsłudze protokołu SFTP dla usługi Azure Blob Storage, zobacz Protokół SSH File Transfer Protocol (SFTP) w usłudze Azure Blob Storage.

Wymagania wstępne

• Włącz obsługę protokołu SFTP dla usługi Azure Blob Storage. Zobacz Włączanie lub wyłączanie obsługi sfTP.

Tworzenie użytkownika lokalnego

Usługa Azure Storage nie obsługuje sygnatury dostępu współdzielonego (SAS) ani uwierzytelniania firmy Microsoft Entra na potrzeby uzyskiwania dostępu do punktu końcowego SFTP. Zamiast tego należy użyć tożsamości o nazwie „użytkownik lokalny”, która może być zabezpieczona przy użyciu hasła wygenerowanego przez platformę Azure lub pary kluczy Secure Shell (SSH). Aby udzielić dostępu do klienta łączącego, konto magazynu musi mieć tożsamość skojarzona z hasłem lub parą kluczy. Ta tożsamość jest nazywana użytkownikiem lokalnym.

W tej sekcji dowiesz się, jak utworzyć użytkownika lokalnego, wybrać metodę uwierzytelniania i przypisać uprawnienia dla tego użytkownika lokalnego.

Aby dowiedzieć się więcej na temat modelu uprawnień SFTP, zobacz Model uprawnień SFTP.

Napiwek

W tej sekcji przedstawiono sposób konfigurowania użytkowników lokalnych dla istniejącego konta magazynu. Aby wyświetlić szablon usługi Azure Resource Manager, który konfiguruje użytkownika lokalnego w ramach tworzenia konta, zobacz Tworzenie konta usługi Azure Storage i kontenera obiektów blob dostępnych przy użyciu protokołu SFTP na platformie Azure.

Wybieranie metody uwierzytelniania

Możesz uwierzytelnić użytkowników lokalnych łączących się z klientów SFTP przy użyciu hasła lub pary kluczy publiczny-prywatny protokołu Secure Shell (SSH).

Ważne

Chociaż można włączyć obie formy uwierzytelniania, klienci SFTP mogą łączyć się przy użyciu tylko jednego z nich. Uwierzytelnianie wieloskładnikowe, w przypadku gdy zarówno prawidłowe hasło, jak i prawidłowa para kluczy publicznych i prywatnych są wymagane do pomyślnego uwierzytelnienia, nie jest obsługiwana.

Portal

1. W witrynie Azure Portal przejdź do swojego konta magazynu.

2. W obszarze Ustawienia wybierz pozycję SFTP, a następnie wybierz pozycję Dodaj użytkownika lokalnego.

   

3. W okienku Dodawanie konfiguracji użytkownika lokalnego dodaj nazwę użytkownika, a następnie wybierz metody uwierzytelniania, które chcesz skojarzyć z tym użytkownikiem lokalnym. Możesz skojarzyć hasło i / lub klucz SSH.

   Jeśli wybierzesz pozycję Hasło SSH, hasło zostanie wyświetlone po wykonaniu wszystkich kroków w okienku Dodawanie konfiguracji użytkownika lokalnego. Hasła SSH są generowane przez platformę Azure i mają długość co najmniej 32 znaków.

   Jeśli wybierzesz parę kluczy SSH, wybierz pozycję Źródło klucza publicznego, aby określić źródło klucza.

   

   W poniższej tabeli opisano każdą opcję źródła klucza:

   Opcja	Wskazówki
   Generowanie nowej pary kluczy	Użyj tej opcji, aby utworzyć nową parę kluczy publicznych/prywatnych. Klucz publiczny jest przechowywany na platformie Azure przy użyciu podanej nazwy klucza. Klucz prywatny można pobrać po pomyślnym dodaniu użytkownika lokalnego.
   Używanie istniejącego klucza przechowywanego na platformie Azure	Użyj tej opcji, jeśli chcesz użyć klucza publicznego, który jest już przechowywany na platformie Azure. Aby znaleźć istniejące klucze na platformie Azure, zobacz Wyświetlanie listy kluczy. Gdy klienci SFTP łączą się z usługą Azure Blob Storage, ci klienci muszą podać klucz prywatny skojarzony z tym kluczem publicznym.
   Użyj istniejącego klucza publicznego	Użyj tej opcji, jeśli chcesz przekazać klucz publiczny przechowywany poza platformą Azure. Jeśli nie masz klucza publicznego, ale chcesz wygenerować klucz poza platformą Azure, zobacz Generowanie kluczy za pomocą narzędzia ssh-keygen.

4. Wybierz przycisk Dalej , aby otworzyć kartę Uprawnienia w okienku konfiguracji.

Program PowerShell

W tej sekcji przedstawiono sposób uwierzytelniania przy użyciu klucza SSH lub hasła.

Uwierzytelnianie przy użyciu klucza SSH (PowerShell)

1. Wybierz typ klucza publicznego, którego chcesz użyć.

   • Używanie istniejącego klucza przechowywanego na platformie Azure

     Użyj tej opcji, jeśli chcesz użyć klucza publicznego, który jest już przechowywany na platformie Azure. Aby znaleźć istniejące klucze na platformie Azure, zobacz Wyświetlanie listy kluczy. Gdy klienci SFTP łączą się z usługą Azure Blob Storage, ci klienci muszą podać klucz prywatny skojarzony z tym kluczem publicznym.

   • Użyj istniejącego klucza publicznego przechowywanego poza platformą Azure.

     Jeśli nie masz jeszcze klucza publicznego, zobacz Generowanie kluczy za pomocą narzędzia ssh-keygen , aby uzyskać wskazówki dotyczące sposobu ich tworzenia. Obsługiwane są tylko klucze publiczne w formacie OpenSSH. Klucz, który należy podać, musi używać następującego formatu: <key type> <key data>. Na przykład klucze RSA będą wyglądać mniej więcej tak: ssh-rsa AAAAB3N.... Jeśli klucz jest w innym formacie, można ssh-keygen go użyć do przekonwertowania go na format OpenSSH.

2. Utwórz obiekt klucza publicznego przy użyciu polecenia New-AzStorageLocalUserSshPublicKey . -Key Ustaw parametr na ciąg zawierający typ klucza i klucz publiczny. W poniższym przykładzie typ klucza to ssh-rsa , a klucz to ssh-rsa a2V5....

   $sshkey = "ssh-rsa a2V5..."
   $sshkey = New-AzStorageLocalUserSshPublicKey -Key $sshkey -Description "description for ssh public key"
   

3. Utwórz użytkownika lokalnego za pomocą polecenia Set-AzStorageLocalUser . Jeśli używasz klucza SSH, ustaw SshAuthorizedKey parametr na obiekt klucza publicznego utworzony w poprzednim kroku.

   Poniższy przykład tworzy użytkownika lokalnego, a następnie drukuje klucz do konsoli.

   $UserName = "mylocalusername"
   $localuser = Set-AzStorageLocalUser -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName -SshAuthorizedKey $sshkey -HasSharedKey $true -HasSshKey $true
   
   $localuser
   $localuser.SshAuthorizedKeys | ft
   

   Uwaga

   Użytkownicy lokalni mają również właściwość używaną sharedKey tylko do uwierzytelniania SMB.

Uwierzytelnianie przy użyciu hasła (PowerShell)

1. Utwórz użytkownika lokalnego przy użyciu polecenia Set-AzStorageLocalUser i ustaw -HasSshPassword parametr na $true.

   Poniższy przykład tworzy użytkownika lokalnego, który używa uwierzytelniania za pomocą hasła.

   $UserName = "mylocalusername"
   $localuser = Set-AzStorageLocalUser -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName -HasSshPassword $true
   

2. Hasło można utworzyć przy użyciu polecenia New-AzStorageLocalUserSshPassword . -UserName Ustaw parametr na nazwę użytkownika.

   Poniższy przykład generuje hasło dla użytkownika.

   $password = New-AzStorageLocalUserSshPassword -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName
   $password 
   

   Ważne

   Tego hasła nie można uzyskać później, dlatego pamiętaj, aby skopiować to hasło, a następnie zapisać je gdzieś, gdzie będzie można je znaleźć. Jeśli utracisz to hasło, musisz wygenerować nowe. Pamiętaj, że hasła SSH są generowane przez platformę Azure i mają długość co najmniej 32 znaków.

Interfejs wiersza polecenia platformy Azure

W tej sekcji przedstawiono sposób uwierzytelniania przy użyciu klucza SSH lub hasła.

Uwierzytelnianie przy użyciu klucza SSH (interfejs wiersza polecenia platformy Azure)

1. Wybierz typ klucza publicznego, którego chcesz użyć.

   • Używanie istniejącego klucza przechowywanego na platformie Azure

     Użyj tej opcji, jeśli chcesz użyć klucza publicznego, który jest już przechowywany na platformie Azure. Aby znaleźć istniejące klucze na platformie Azure, zobacz Wyświetlanie listy kluczy. Gdy klienci SFTP łączą się z usługą Azure Blob Storage, ci klienci muszą podać klucz prywatny skojarzony z tym kluczem publicznym.

   • Użyj istniejącego klucza publicznego przechowywanego poza platformą Azure.

     Jeśli nie masz jeszcze klucza publicznego, zobacz Generowanie kluczy za pomocą narzędzia ssh-keygen , aby uzyskać wskazówki dotyczące sposobu ich tworzenia. Obsługiwane są tylko klucze publiczne w formacie OpenSSH. Klucz, który należy podać, musi używać następującego formatu: <key type> <key data>. Na przykład klucze RSA będą wyglądać mniej więcej tak: ssh-rsa AAAAB3N.... Jeśli klucz jest w innym formacie, można ssh-keygen go użyć do przekonwertowania go na format OpenSSH.

2. Aby utworzyć użytkownika lokalnego uwierzytelnionego przy użyciu klucza SSH, użyj polecenia az storage account local-user create , a następnie ustaw --has-ssh-key parametr na ciąg zawierający typ klucza i klucz publiczny.

   Poniższy przykład tworzy użytkownika lokalnego o nazwie contosouseri używa klucza ssh-rsa z wartością ssh-rsa a2V5... klucza do uwierzytelniania.

   az storage account local-user create --account-name contosoaccount -g contoso-resource-group -n contosouser --ssh-authorized-key key="ssh-rsa a2V5..." --has-ssh-key true --has-ssh-password true
   

   Uwaga

   Użytkownicy lokalni mają również właściwość używaną sharedKey tylko do uwierzytelniania SMB.

Uwierzytelnianie przy użyciu hasła (interfejs wiersza polecenia platformy Azure)

1. Aby utworzyć użytkownika lokalnego uwierzytelnionego przy użyciu hasła, użyj polecenia az storage account local-user create , a następnie ustaw --has-ssh-password parametr na true.

   Poniższy przykład tworzy użytkownika lokalnego o nazwie contosouseri ustawia --has-ssh-password parametr na true.

   az storage account local-user create --account-name contosoaccount -g contoso-resource-group -n contosouser --has-ssh-password true
   

2. Utwórz hasło przy użyciu polecenia az storage account local-user regenerate-password . -n Ustaw parametr na nazwę użytkownika lokalnego.

   Poniższy przykład generuje hasło dla użytkownika.

   az storage account local-user regenerate-password --account-name contosoaccount -g contoso-resource-group -n contosouser  
   

   Ważne

   Tego hasła nie można uzyskać później, dlatego pamiętaj, aby skopiować to hasło, a następnie zapisać je gdzieś, gdzie będzie można je znaleźć. Jeśli utracisz to hasło, musisz wygenerować nowe. Pamiętaj, że hasła SSH są generowane przez platformę Azure i mają długość co najmniej 32 znaków.

Przyznawanie uprawnień do kontenerów

Wybierz kontenery, do których chcesz udzielić dostępu, oraz do jakiego poziomu dostępu chcesz podać. Te uprawnienia dotyczą wszystkich katalogów i podkatalogów w kontenerze. Aby dowiedzieć się więcej o poszczególnych uprawnieniach kontenera, zobacz Uprawnienia kontenera.

Jeśli chcesz autoryzować dostęp na poziomie pliku i katalogu, możesz włączyć autoryzację listy ACL. Ta funkcja jest dostępna w wersji zapoznawczej i może być włączona tylko przy użyciu witryny Azure Portal.

Portal

1. Na karcie Uprawnienia wybierz kontenery, które chcesz udostępnić temu użytkownikowi lokalnemu. Następnie wybierz typy operacji, które chcesz włączyć dla tego użytkownika lokalnego.

   

   Ważne

   Użytkownik lokalny musi mieć co najmniej jedno uprawnienie kontenera lub uprawnienie listy ACL do katalogu macierzystego tego kontenera. W przeciwnym razie próba nawiązania połączenia z tym kontenerem zakończy się niepowodzeniem.

2. Jeśli chcesz autoryzować dostęp przy użyciu list kontroli dostępu (ACL) skojarzonych z plikami i katalogami w tym kontenerze, zaznacz pole wyboru Zezwalaj na autoryzację listy ACL. Aby dowiedzieć się więcej na temat używania list ACLS do autoryzowania klientów SFTP, zobacz Listy ACL.

   Możesz również dodać tego użytkownika lokalnego do grupy, przypisując tego użytkownika do identyfikatora grupy. Ten identyfikator może być dowolną liczbą lub schematem liczbowym. Grupowanie użytkowników umożliwia dodawanie i usuwanie użytkowników bez konieczności ponownego zastosowania list ACL do całej struktury katalogów. Zamiast tego możesz po prostu dodać lub usunąć użytkowników z grupy.

   

   Uwaga

   Identyfikator użytkownika lokalnego jest generowany automatycznie. Nie można zmodyfikować tego identyfikatora, ale identyfikator jest widoczny po utworzeniu użytkownika lokalnego, ponownie otwierając tego użytkownika w okienku Edytuj użytkownika lokalnego.

3. W polu Edycja katalogu głównego wpisz nazwę kontenera lub ścieżkę katalogu (w tym nazwę kontenera), która będzie domyślną lokalizacją skojarzona z tym użytkownikiem lokalnym (na przykład: mycontainer/mydirectory).

   Aby dowiedzieć się więcej na temat katalogu macierzystego, zobacz Katalog główny.

4. Wybierz przycisk Dodaj, aby dodać użytkownika lokalnego.

   Jeśli włączono uwierzytelnianie haseł, po dodaniu użytkownika lokalnego zostanie wyświetlone wygenerowane hasło platformy Azure w oknie dialogowym.

   Ważne

   Tego hasła nie można uzyskać później, dlatego pamiętaj, aby skopiować to hasło, a następnie zapisać je gdzieś, gdzie będzie można je znaleźć.

   Jeśli zdecydujesz się wygenerować nową parę kluczy, zostanie wyświetlony monit o pobranie klucza prywatnego tej pary kluczy po dodaniu użytkownika lokalnego.

   Uwaga

   Użytkownicy lokalni mają sharedKey właściwość, która jest używana tylko do uwierzytelniania protokołu SMB.

Program PowerShell

1. Zdecyduj, które kontenery mają być dostępne dla użytkownika lokalnego oraz typy operacji, które chcesz umożliwić temu użytkownikowi lokalnemu wykonywanie. Utwórz obiekt zakresu uprawnień przy użyciu polecenia New-AzStorageLocalUserPermissionScope i ustaw -Permission parametr tego polecenia na co najmniej jedną literę odpowiadającą poziomom uprawnień dostępu. Możliwe wartości to Read(r), Write (w), Delete (d), List (l), Create (c), Modify Ownership(o), Modify Permissions(p).

   Poniższy przykładowy zestaw tworzy obiekt zakresu uprawnień, który nadaje kontenerowi uprawnienia mycontainer do odczytu i zapisu.

   $permissionScope = New-AzStorageLocalUserPermissionScope -Permission rw -Service blob -ResourceName mycontainer 
   

   Ważne

   Użytkownik lokalny musi mieć co najmniej jedno uprawnienie kontenera dla kontenera, z którego nawiązuje połączenie, w przeciwnym razie próba połączenia zakończy się niepowodzeniem.

2. Zaktualizuj użytkownika lokalnego za pomocą polecenia Set-AzStorageLocalUser . -PermissionScope Ustaw parametr na utworzony wcześniej obiekt zakresu uprawnień.

   Poniższy przykład aktualizuje użytkownika lokalnego z uprawnieniami kontenera, a następnie wyświetla zakresy uprawnień do konsoli.

   $UserName = "mylocalusername"
   $localuser = Set-AzStorageLocalUser -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName -HomeDirectory "mycontainer" -PermissionScope $permissionScope
   
   $localuser
   $localuser.PermissionScopes | ft
   

Interfejs wiersza polecenia platformy Azure

Aby zaktualizować użytkownika lokalnego z uprawnieniami do kontenera, użyj polecenia az storage account local-user update , a następnie ustaw permission-scope parametr tego polecenia na co najmniej jedną literę odpowiadającą poziomom uprawnień dostępu. Możliwe wartości to Read(r), Write (w), Delete (d), List (l), Create (c), Modify Ownership(o), Modify Permissions(p).

W poniższym przykładzie podano nazwę contosouser użytkownika lokalnego do odczytu i zapisu w kontenerze o nazwie contosocontainer.

az storage account local-user update --account-name contosoaccount -g contoso-resource-group -n contosouser --home-directory contosocontainer --permission-scope permissions=rw service=blob resource-name=contosocontainer

Następne kroki

• Połączenie do usługi Azure Blob Storage przy użyciu klienta SFTP. Zobacz Połączenie z poziomu klienta SFTP.

Powiązana zawartość

• Obsługa protokołu SSH File Transfer Protocol (SFTP) dla usługi Azure Blob Storage
• Włączanie lub wyłączanie obsługi protokołu SSH File Transfer Protocol (SFTP) w usłudze Azure Blob Storage
• Autoryzowanie dostępu do usługi Azure Blob Storage z poziomu klienta protokołu SSH File Transfer Protocol (SFTP)
• Ograniczenia i znane problemy z obsługą protokołu SSH File Transfer Protocol (SFTP) dla usługi Azure Blob Storage
• Obsługa kluczy hosta dla protokołu SSH File Transfer Protocol (SFTP) dla usługi Azure Blob Storage
• Zagadnienia dotyczące wydajności protokołu SSH File Transfer Protocol (SFTP) w usłudze Azure Blob Storage