Udostępnij za pośrednictwem


Autoryzowanie dostępu do usługi Azure Blob Storage dla klienta protokołu SSH File Transfer Protocol (SFTP)

W tym artykule pokazano, jak autoryzować dostęp do klientów SFTP, aby można było bezpiecznie nawiązać połączenie z punktem końcowym usługi Blob Storage konta usługi Azure Storage przy użyciu klienta SFTP.

Aby dowiedzieć się więcej o obsłudze protokołu SFTP dla usługi Azure Blob Storage, zobacz Protokół SSH File Transfer Protocol (SFTP) w usłudze Azure Blob Storage.

Wymagania wstępne

Tworzenie użytkownika lokalnego

Usługa Azure Storage nie obsługuje sygnatury dostępu współdzielonego (SAS) ani uwierzytelniania firmy Microsoft Entra na potrzeby uzyskiwania dostępu do punktu końcowego SFTP. Zamiast tego należy użyć tożsamości o nazwie „użytkownik lokalny”, która może być zabezpieczona przy użyciu hasła wygenerowanego przez platformę Azure lub pary kluczy Secure Shell (SSH). Aby udzielić dostępu do klienta łączącego, konto magazynu musi mieć tożsamość skojarzona z hasłem lub parą kluczy. Ta tożsamość jest nazywana użytkownikiem lokalnym.

W tej sekcji dowiesz się, jak utworzyć użytkownika lokalnego, wybrać metodę uwierzytelniania i przypisać uprawnienia dla tego użytkownika lokalnego.

Aby dowiedzieć się więcej na temat modelu uprawnień SFTP, zobacz Model uprawnień SFTP.

Napiwek

W tej sekcji przedstawiono sposób konfigurowania użytkowników lokalnych dla istniejącego konta magazynu. Aby wyświetlić szablon usługi Azure Resource Manager, który konfiguruje użytkownika lokalnego w ramach tworzenia konta, zobacz Tworzenie konta usługi Azure Storage i kontenera obiektów blob dostępnych przy użyciu protokołu SFTP na platformie Azure.

Wybieranie metody uwierzytelniania

Możesz uwierzytelnić użytkowników lokalnych łączących się z klientów SFTP przy użyciu hasła lub pary kluczy publiczny-prywatny protokołu Secure Shell (SSH).

Ważne

Chociaż można włączyć obie formy uwierzytelniania, klienci SFTP mogą łączyć się przy użyciu tylko jednego z nich. Uwierzytelnianie wieloskładnikowe, w przypadku gdy zarówno prawidłowe hasło, jak i prawidłowa para kluczy publicznych i prywatnych są wymagane do pomyślnego uwierzytelnienia, nie jest obsługiwana.

  1. W witrynie Azure Portal przejdź do swojego konta magazynu.

  2. W obszarze Ustawienia wybierz pozycję SFTP, a następnie wybierz pozycję Dodaj użytkownika lokalnego.

    Zrzut ekranu przedstawiający przycisk Dodaj użytkowników lokalnych.

  3. W okienku Dodawanie konfiguracji użytkownika lokalnego dodaj nazwę użytkownika, a następnie wybierz metody uwierzytelniania, które chcesz skojarzyć z tym użytkownikiem lokalnym. Możesz skojarzyć hasło i / lub klucz SSH.

    Jeśli wybierzesz pozycję Hasło SSH, hasło zostanie wyświetlone po wykonaniu wszystkich kroków w okienku Dodawanie konfiguracji użytkownika lokalnego. Hasła SSH są generowane przez platformę Azure i mają długość co najmniej 32 znaków.

    Jeśli wybierzesz parę kluczy SSH, wybierz pozycję Źródło klucza publicznego, aby określić źródło klucza.

    Zrzut ekranu przedstawiający okienko Konfiguracja użytkownika lokalnego.

    W poniższej tabeli opisano każdą opcję źródła klucza:

    Opcja Wskazówki
    Generowanie nowej pary kluczy Użyj tej opcji, aby utworzyć nową parę kluczy publicznych/prywatnych. Klucz publiczny jest przechowywany na platformie Azure przy użyciu podanej nazwy klucza. Klucz prywatny można pobrać po pomyślnym dodaniu użytkownika lokalnego.
    Używanie istniejącego klucza przechowywanego na platformie Azure Użyj tej opcji, jeśli chcesz użyć klucza publicznego, który jest już przechowywany na platformie Azure. Aby znaleźć istniejące klucze na platformie Azure, zobacz Wyświetlanie listy kluczy. Gdy klienci SFTP łączą się z usługą Azure Blob Storage, ci klienci muszą podać klucz prywatny skojarzony z tym kluczem publicznym.
    Użyj istniejącego klucza publicznego Użyj tej opcji, jeśli chcesz przekazać klucz publiczny przechowywany poza platformą Azure. Jeśli nie masz klucza publicznego, ale chcesz wygenerować klucz poza platformą Azure, zobacz Generowanie kluczy za pomocą narzędzia ssh-keygen.

    Ważne

    Obsługiwane są tylko klucze publiczne w formacie OpenSSH. Klucz, który należy podać, musi używać następującego formatu: <key type> <key data>. Na przykład klucze RSA będą wyglądać mniej więcej tak: ssh-rsa AAAAB3N.... Jeśli klucz jest w innym formacie, można ssh-keygen go użyć do przekonwertowania go na format OpenSSH.

  4. Wybierz przycisk Dalej , aby otworzyć kartę Uprawnienia w okienku konfiguracji.

Przyznawanie uprawnień do kontenerów

Wybierz kontenery, do których chcesz udzielić dostępu, oraz do jakiego poziomu dostępu chcesz podać. Te uprawnienia dotyczą wszystkich katalogów i podkatalogów w kontenerze. Aby dowiedzieć się więcej o poszczególnych uprawnieniach kontenera, zobacz Uprawnienia kontenera.

Jeśli chcesz autoryzować dostęp na poziomie pliku i katalogu, możesz włączyć autoryzację listy ACL. Ta funkcja jest dostępna w wersji zapoznawczej i może być włączona tylko przy użyciu witryny Azure Portal.

  1. Na karcie Uprawnienia wybierz kontenery, które chcesz udostępnić temu użytkownikowi lokalnemu. Następnie wybierz typy operacji, które chcesz włączyć dla tego użytkownika lokalnego.

    Zrzut ekranu przedstawiający kartę Uprawnienia.

    Ważne

    Użytkownik lokalny musi mieć co najmniej jedno uprawnienie kontenera lub uprawnienie listy ACL do katalogu macierzystego tego kontenera. W przeciwnym razie próba nawiązania połączenia z tym kontenerem zakończy się niepowodzeniem.

  2. Jeśli chcesz autoryzować dostęp przy użyciu list kontroli dostępu (ACL) skojarzonych z plikami i katalogami w tym kontenerze, zaznacz pole wyboru Zezwalaj na autoryzację listy ACL. Aby dowiedzieć się więcej na temat używania list ACLS do autoryzowania klientów SFTP, zobacz Listy ACL.

    Możesz również dodać tego użytkownika lokalnego do grupy, przypisując tego użytkownika do identyfikatora grupy. Ten identyfikator może być dowolną liczbą lub schematem liczbowym. Grupowanie użytkowników umożliwia dodawanie i usuwanie użytkowników bez konieczności ponownego zastosowania list ACL do całej struktury katalogów. Zamiast tego możesz po prostu dodać lub usunąć użytkowników z grupy.

    Zrzut ekranu przedstawiający pole wyboru Identyfikator grupy i Autoryzacja listy ACL.

    Uwaga

    Identyfikator użytkownika lokalnego jest generowany automatycznie. Nie można zmodyfikować tego identyfikatora, ale identyfikator jest widoczny po utworzeniu użytkownika lokalnego, ponownie otwierając tego użytkownika w okienku Edytuj użytkownika lokalnego.

  3. W polu Edycja katalogu głównego wpisz nazwę kontenera lub ścieżkę katalogu (w tym nazwę kontenera), która będzie domyślną lokalizacją skojarzona z tym użytkownikiem lokalnym (na przykład: mycontainer/mydirectory).

    Aby dowiedzieć się więcej na temat katalogu macierzystego, zobacz Katalog główny.

  4. Wybierz przycisk Dodaj, aby dodać użytkownika lokalnego.

    Jeśli włączono uwierzytelnianie haseł, po dodaniu użytkownika lokalnego zostanie wyświetlone wygenerowane hasło platformy Azure w oknie dialogowym.

    Ważne

    Tego hasła nie można uzyskać później, dlatego pamiętaj, aby skopiować to hasło, a następnie zapisać je gdzieś, gdzie będzie można je znaleźć.

    Jeśli zdecydujesz się wygenerować nową parę kluczy, zostanie wyświetlony monit o pobranie klucza prywatnego tej pary kluczy po dodaniu użytkownika lokalnego.

    Uwaga

    Użytkownicy lokalni mają sharedKey właściwość, która jest używana tylko do uwierzytelniania protokołu SMB.

Następne kroki