Autorizar o acesso ao Armazenamento de Blobs do Azure para um cliente SFTP (SSH File Transfer Protocol)

Este artigo mostra como autorizar o acesso a clientes SFTP para que você possa se conectar com segurança ao ponto de extremidade de Armazenamento de Blob da sua conta de Armazenamento do Azure usando um cliente SFTP.

Para saber mais sobre o suporte SFTP para o Armazenamento de Blobs do Azure, consulte Protocolo de Transferência de Arquivos SSH (SFTP) no Armazenamento de Blobs do Azure.

Pré-requisitos

• Habilite o suporte a SFTP para o Armazenamento de Blobs do Azure. Consulte Ativar ou desativar o suporte a SFTP.

Criar um usuário local

O Armazenamento do Azure não oferece suporte à assinatura de acesso compartilhado (SAS) ou à autenticação do Microsoft Entra para acessar o ponto de extremidade SFTP. Em vez disso, tem de utilizar uma identidade chamada utilizador local que pode estar protegida por uma palavra-passe gerada pelo Azure ou um par de chaves SSH (Secure Shell). Para conceder acesso a um cliente de conexão, a conta de armazenamento deve ter uma identidade associada à senha ou ao par de chaves. Essa identidade é chamada de usuário local.

Nesta seção, você aprenderá como criar um usuário local, escolher um método de autenticação e atribuir permissões para esse usuário local.

Para saber mais sobre o modelo de permissões SFTP, consulte Modelo de permissões SFTP.

Gorjeta

Esta seção mostra como configurar usuários locais para uma conta de armazenamento existente. Para exibir um modelo do Azure Resource Manager que configura um usuário local como parte da criação de uma conta, consulte Criar uma Conta de Armazenamento do Azure e Contêiner de Blob acessível usando o protocolo SFTP no Azure.

Escolher um método de autenticação

Você pode autenticar usuários locais que se conectam a partir de clientes SFTP usando uma senha ou um par de chaves público-privadas do Secure Shell (SSH).

Importante

Embora você possa habilitar ambas as formas de autenticação, os clientes SFTP podem se conectar usando apenas uma delas. A autenticação multifator, em que uma senha válida e um par de chaves públicas e privadas válidos são necessários para uma autenticação bem-sucedida, não é suportada.

Portal

1. No portal do Azure, navegue para a sua conta de armazenamento.

2. Em Configurações, selecione SFTP e, em seguida, selecione Adicionar usuário local.

   

3. No painel Adicionar configuração de usuário local, adicione o nome de um usuário e selecione quais métodos de autenticação você deseja associar a esse usuário local. Pode associar uma palavra-passe e/ou uma chave SSH.

   Se você selecionar Senha SSH, sua senha aparecerá quando concluir todas as etapas no painel Adicionar configuração de usuário local. As palavras-passe SSH são geradas pelo Azure e têm, no mínimo, 32 carateres.

   Se você selecionar o par de chaves SSH, selecione Fonte de chave pública para especificar uma fonte de chave.

   

   A tabela a seguir descreve cada opção de fonte de chave:

   Opção	Orientação
   Gerar um novo par de chaves	Use esta opção para criar um novo par de chaves públicas/privadas. A chave pública é armazenada no Azure com o nome da chave que você fornece. A chave privada pode ser baixada após o usuário local ter sido adicionado com êxito.
   Usar chave existente armazenada no Azure	Use essa opção se quiser usar uma chave pública que já esteja armazenada no Azure. Para localizar chaves existentes no Azure, consulte Listar chaves. Quando os clientes SFTP se conectam ao Armazenamento de Blobs do Azure, esses clientes precisam fornecer a chave privada associada a essa chave pública.
   Usar chave pública existente	Use essa opção se quiser carregar uma chave pública armazenada fora do Azure. Se você não tiver uma chave pública, mas quiser gerar uma fora do Azure, consulte Gerar chaves com ssh-keygen.

4. Selecione Avançar para abrir a guia Permissões do painel de configuração.

PowerShell

Esta seção mostra como autenticar usando uma chave SSH ou uma senha.

Autenticar usando uma chave SSH (PowerShell)

1. Escolha o tipo de chave pública que pretende utilizar.

   • Usar chave existente armazenada no Azure

     Use essa opção se quiser usar uma chave pública que já esteja armazenada no Azure. Para localizar chaves existentes no Azure, consulte Listar chaves. Quando os clientes SFTP se conectam ao Armazenamento de Blobs do Azure, esses clientes precisam fornecer a chave privada associada a essa chave pública.

   • Use a chave pública existente armazenada fora do Azure.

     Se você ainda não tiver uma chave pública, consulte Gerar chaves com ssh-keygen para obter orientação sobre como criar uma. Apenas chaves públicas formatadas OpenSSH são suportadas. A chave fornecida deve usar este formato: <key type> <key data>. Por exemplo, as chaves RSA seriam semelhantes a esta: ssh-rsa AAAAB3N.... Se a sua chave estiver em outro formato, então uma ferramenta como ssh-keygen pode ser usada para convertê-la para o formato OpenSSH.

2. Crie um objeto de chave pública usando o comando New-AzStorageLocalUserSshPublicKey . Defina o -Key parâmetro como uma cadeia de caracteres que contenha o tipo de chave e a chave pública. No exemplo a seguir, o tipo de chave é ssh-rsa e a chave é ssh-rsa a2V5....

   $sshkey = "ssh-rsa a2V5..."
   $sshkey = New-AzStorageLocalUserSshPublicKey -Key $sshkey -Description "description for ssh public key"
   

3. Crie um usuário local usando o comando Set-AzStorageLocalUser . Se você estiver usando uma chave SSH, defina o SshAuthorizedKey parâmetro para o objeto de chave pública que você criou na etapa anterior.

   O exemplo a seguir cria um usuário local e, em seguida, imprime a chave no console.

   $UserName = "mylocalusername"
   $localuser = Set-AzStorageLocalUser -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName -SshAuthorizedKey $sshkey -HasSharedKey $true -HasSshKey $true
   
   $localuser
   $localuser.SshAuthorizedKeys | ft
   

   Nota

   Os usuários locais também têm uma sharedKey propriedade que é usada apenas para autenticação SMB.

Autenticar usando uma senha (PowerShell)

1. Crie um usuário local usando o comando Set-AzStorageLocalUser e defina o -HasSshPassword parâmetro como $true.

   O exemplo a seguir cria um usuário local que usa autenticação de senha.

   $UserName = "mylocalusername"
   $localuser = Set-AzStorageLocalUser -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName -HasSshPassword $true
   

2. Você pode criar uma senha usando o comando New-AzStorageLocalUserSshPassword . Defina o -UserName parâmetro como o nome de usuário.

   O exemplo a seguir gera uma senha para o usuário.

   $password = New-AzStorageLocalUserSshPassword -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName
   $password 
   

   Importante

   Não poderá obter esta palavra-passe mais tarde, por isso, confirme que copia a palavra-passe e, em seguida, armazene-a num local onde a possa encontrar. Se perder esta palavra-passe, terá de gerar uma nova. Observe que as senhas SSH são geradas pelo Azure e têm, no mínimo, 32 caracteres.

CLI do Azure

Esta seção mostra como autenticar usando uma chave SSH ou uma senha.

Autenticar usando uma chave SSH (CLI do Azure)

1. Escolha o tipo de chave pública que pretende utilizar.

   • Usar chave existente armazenada no Azure

     Use essa opção se quiser usar uma chave pública que já esteja armazenada no Azure. Para localizar chaves existentes no Azure, consulte Listar chaves. Quando os clientes SFTP se conectam ao Armazenamento de Blobs do Azure, esses clientes precisam fornecer a chave privada associada a essa chave pública.

   • Use a chave pública existente armazenada fora do Azure.

     Se você ainda não tiver uma chave pública, consulte Gerar chaves com ssh-keygen para obter orientação sobre como criar uma. Apenas chaves públicas formatadas OpenSSH são suportadas. A chave fornecida deve usar este formato: <key type> <key data>. Por exemplo, as chaves RSA seriam semelhantes a esta: ssh-rsa AAAAB3N.... Se a sua chave estiver em outro formato, então uma ferramenta como ssh-keygen pode ser usada para convertê-la para o formato OpenSSH.

2. Para criar um usuário local autenticado usando uma chave SSH, use o comando az storage account local-user create e defina o --has-ssh-key parâmetro como uma cadeia de caracteres que contenha o tipo de chave e a chave pública.

   O exemplo a seguir cria um usuário local chamado contosouser, e usa uma chave ssh-rsa com um valor de chave de ssh-rsa a2V5... para autenticação.

   az storage account local-user create --account-name contosoaccount -g contoso-resource-group -n contosouser --ssh-authorized-key key="ssh-rsa a2V5..." --has-ssh-key true --has-ssh-password true
   

   Nota

   Os usuários locais também têm uma sharedKey propriedade que é usada apenas para autenticação SMB.

Autenticar usando uma senha (CLI do Azure)

1. Para criar um usuário local autenticado usando uma senha, use o comando az storage account local-user create e defina o --has-ssh-password parâmetro como true.

   O exemplo a seguir cria um usuário local chamado contosouser, e define o --has-ssh-password parâmetro como true.

   az storage account local-user create --account-name contosoaccount -g contoso-resource-group -n contosouser --has-ssh-password true
   

2. Crie uma senha usando o comando az storage account local-user regenerate-password . Defina o -n parâmetro para o nome de usuário local.

   O exemplo a seguir gera uma senha para o usuário.

   az storage account local-user regenerate-password --account-name contosoaccount -g contoso-resource-group -n contosouser  
   

   Importante

   Não poderá obter esta palavra-passe mais tarde, por isso, confirme que copia a palavra-passe e, em seguida, armazene-a num local onde a possa encontrar. Se perder esta palavra-passe, terá de gerar uma nova. Observe que as senhas SSH são geradas pelo Azure e têm, no mínimo, 32 caracteres.

Dar permissão a contentores

Escolha a quais contêineres você deseja conceder acesso e qual nível de acesso você deseja fornecer. Essas permissões se aplicam a todos os diretórios e subdiretórios no contêiner. Para saber mais sobre cada permissão de contêiner, consulte Permissões de contêiner.

Se quiser autorizar o acesso no nível de arquivo e diretório, você pode habilitar a autorização de ACL. Esta funcionalidade está em pré-visualização e só pode ser ativada utilizando o portal do Azure.

Portal

1. Na guia Permissões, selecione os contêineres que você deseja disponibilizar para esse usuário local. Em seguida, selecione quais tipos de operações você deseja permitir que esse usuário local execute.

   

   Importante

   O usuário local deve ter pelo menos uma permissão de contêiner ou permissão de ACL para o diretório base desse contêiner. Caso contrário, uma tentativa de conexão com esse contêiner falhará.

2. Se você quiser autorizar o acesso usando as listas de controle de acesso (ACLs) associadas a arquivos e diretórios neste contêiner, marque a caixa de seleção Permitir autorização de ACL. Para saber mais sobre como usar ACLS para autorizar clientes SFTP, consulte ACLs.

   Você também pode adicionar esse usuário local a um grupo atribuindo esse usuário a uma ID de grupo. Esse ID pode ser qualquer número ou esquema de números que você desejar. O agrupamento de usuários permite que você adicione e remova usuários sem a necessidade de reaplicar ACLs a uma estrutura de diretórios inteira. Em vez disso, você pode simplesmente adicionar ou remover usuários do grupo.

   

   Nota

   Um ID de usuário para o usuário local é gerado automaticamente. Não é possível modificar essa ID, mas você pode vê-la depois de criar o usuário local reabrindo esse usuário no painel Editar usuário local.

3. Na caixa de edição Diretório base, digite o nome do contêiner ou o caminho do diretório (incluindo o nome do contêiner) que será o local padrão associado a esse usuário local (por exemplo: mycontainer/mydirectory).

   Para saber mais sobre o diretório base, consulte Diretório base.

4. Selecione o botão Adicionar para adicionar o usuário local.

   Se você habilitou a autenticação de senha, a senha gerada pelo Azure aparecerá em uma caixa de diálogo depois que o usuário local tiver sido adicionado.

   Importante

   Não poderá obter esta palavra-passe mais tarde, por isso, confirme que copia a palavra-passe e, em seguida, armazene-a num local onde a possa encontrar.

   Se você optar por gerar um novo par de chaves, será solicitado que você baixe a chave privada desse par de chaves depois que o usuário local for adicionado.

   Nota

   Os usuários locais têm uma sharedKey propriedade que é usada apenas para autenticação SMB.

PowerShell

1. Decida quais contêineres você deseja disponibilizar para o usuário local e os tipos de operações que você deseja permitir que esse usuário local execute. Crie um objeto de escopo de permissão usando o comando New-AzStorageLocalUserPermissionScope e definindo o -Permission parâmetro desse comando para uma ou mais letras que correspondam aos níveis de permissão de acesso. Os valores possíveis são Read(r), Write (w), Delete (d), List (l), Create (c), Modify Ownership(o), Modify Permissions(p).

   O conjunto de exemplos a seguir cria um objeto de escopo de permissão que dá permissão de leitura e gravação ao mycontainer contêiner.

   $permissionScope = New-AzStorageLocalUserPermissionScope -Permission rw -Service blob -ResourceName mycontainer 
   

   Importante

   O usuário local deve ter pelo menos uma permissão de contêiner para o contêiner ao qual está se conectando, caso contrário, a tentativa de conexão falhará.

2. Atualize o usuário local usando o comando Set-AzStorageLocalUser . Defina o -PermissionScope parâmetro para o objeto de escopo de permissão que você criou anteriormente.

   O exemplo a seguir atualiza um usuário local com permissões de contêiner e, em seguida, imprime os escopos de permissão no console.

   $UserName = "mylocalusername"
   $localuser = Set-AzStorageLocalUser -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName -HomeDirectory "mycontainer" -PermissionScope $permissionScope
   
   $localuser
   $localuser.PermissionScopes | ft
   

CLI do Azure

Para atualizar um usuário local com permissão para um contêiner, use o comando az storage account local-user update e defina o permission-scope parâmetro desse comando para uma ou mais letras que correspondam aos níveis de permissão de acesso. Os valores possíveis são Read(r), Write (w), Delete (d), List (l), Create (c), Modify Ownership(o), Modify Permissions(p).

O exemplo a seguir dá a um nome contosouser de usuário local acesso de leitura e gravação a um contêiner chamado contosocontainer.

az storage account local-user update --account-name contosoaccount -g contoso-resource-group -n contosouser --home-directory contosocontainer --permission-scope permissions=rw service=blob resource-name=contosocontainer

Próximos passos

• Conecte-se ao Armazenamento de Blobs do Azure usando um cliente SFTP. Consulte Conectar a partir de um cliente SFTP.

Conteúdos relacionados

• Suporte do SSH File Transfer Protocol (SFTP) para o Armazenamento de Blobs do Azure
• Habilitar ou desabilitar o suporte ao SSH File Transfer Protocol (SFTP) no Armazenamento de Blobs do Azure
• Autorizar o acesso ao Armazenamento de Blobs do Azure a partir de um cliente SFTP (SSH File Transfer Protocol)
• Limitações e problemas conhecidos com o suporte do SSH File Transfer Protocol (SFTP) para o Armazenamento de Blobs do Azure
• Chaves de host para suporte do SSH File Transfer Protocol (SFTP) para o Armazenamento de Blobs do Azure
• Considerações de desempenho do SSH File Transfer Protocol (SFTP) no armazenamento de Blob do Azure