Авторизация доступа к Хранилище BLOB-объектов Azure для клиента SFTP

В этой статье показано, как авторизовать доступ к клиентам SFTP, чтобы безопасно подключиться к конечной точке хранилища BLOB-объектов учетной записи служба хранилища Azure с помощью клиента SFTP.

Дополнительную информацию о поддержке SFTP в Хранилище BLOB-объектов Azure см. в разделе Протокол SFTP в Хранилище BLOB-объектов Azure.

Необходимые компоненты

• Включите поддержку SFTP для Хранилище BLOB-объектов Azure. См. раздел "Включение или отключение поддержки SFTP".

Создание локального пользователя

служба хранилища Azure не поддерживает подписанный URL-адрес (SAS) или проверку подлинности Microsoft Entra для доступа к конечной точке SFTP. Вместо этого необходимо использовать идентификатор типа "локальный пользователь", который может быть защищен с помощью созданного в Azure пароля или пары ключей Secure Shell (SSH). Чтобы предоставить доступ подключаемому клиенту, учетная запись хранилища должна иметь идентификатор, связанный с паролем или парой ключей. Этот идентификатор называется локальным пользователем.

В этом разделе вы узнаете, как создать локального пользователя, выбрать способ проверки подлинности и назначить разрешения для этого локального пользователя.

Дополнительные информацию о модели разрешений SFTP см. в разделе Модель разрешений SFTP.

Совет

В этом разделе показано, как настроить локальных пользователей для существующей учетной записи хранения. Шаблон Azure Resource Manager, который позволяет настроить локального пользователя в ходе создания учетной записи, см. в статье Создание учетной записи хранения Azure и контейнера BLOB-объектов, доступных по протоколу SFTP в Azure.

Выбор метода проверки подлинности

Вы можете пройти проверку подлинности локальных пользователей, подключающихся из клиентов SFTP, с помощью пароля или пары открытого закрытого ключа Secure Shell (SSH).

Внимание

Хотя вы можете включить обе формы проверки подлинности, клиенты SFTP могут подключаться только с помощью одной из них. Многофакторная проверка подлинности, при которой для успешной проверки подлинности требуются действительный пароль и действительная пара открытых ключей, не поддерживается.

Портал

1. Войдите в свою учетную запись хранения на портале Azure.

2. В разделе Параметры выберите SFTP, а затем нажмите Добавить локального пользователя.

   

3. В области конфигурации Добавить локального пользователя укажите имя пользователя, а затем выберите методы проверки подлинности, которые вы хотите применить к этому локальному пользователю. Вы можете применить проверку паролем и / или ключом SSH.

   При выборе пароля SSH пароль появляется при выполнении всех действий в области "Добавление локального пользователя ". Пароли SSH создаются в Azure и имеют минимальную длину 32 символов.

   Если вы выбрали Пара ключей SSH, выберите Источник открытого ключа, чтобы указать источник ключа.

   

   В следующей таблице описаны все ключевые источники ключей.

   Вариант	Руководство
   Создание новой пары ключей	Используйте этот параметр, чтобы создать пару открытых / закрытых ключей. Открытый ключ хранится в Azure с именем ключа, которое вы укажите. Закрытый ключ можно загрузить после успешного добавления локального пользователя.
   Использовать существующий ключ, хранимый в Azure	Используйте этот параметр, если хотите использовать открытый ключ, который уже хранится в Azure. Чтобы найти существующие ключи в Azure, см. Список ключей. Когда клиенты SFTP подключаются к хранилищу BLOB-объектов Azure, они должны предоставлять закрытый ключ, связанный с этим открытым ключом.
   Используйте существующий открытый ключ.	Используйте этот параметр, если вы хотите отправить открытый ключ, который хранится за пределами Azure. Если у вас нет открытого ключа, но вы хотите создать его за пределами Azure, см. Создание ключей с помощью ssh-keygen.

   Внимание

   Поддерживаются только открытые ключи в формате OpenSSH. Указанный ключ должен использовать следующий формат: <key type> <key data> Например, ключи RSA будут выглядеть примерно так: ssh-rsa AAAAB3N... Если ключ находится в другом формате, то ssh-keygen для преобразования его в формат OpenSSH можно использовать инструмент.

4. Нажмите кнопку "Рядом", чтобы открыть вкладку "Разрешения" области конфигурации.

PowerShell

В этом разделе показано, как пройти проверку подлинности с помощью ключа SSH или пароля.

Проверка подлинности с помощью ключа SSH (PowerShell)

1. Выберите тип открытого ключа, который требуется использовать.

   • Использовать существующий ключ, хранимый в Azure

     Используйте этот параметр, если хотите использовать открытый ключ, который уже хранится в Azure. Чтобы найти существующие ключи в Azure, см. Список ключей. Когда клиенты SFTP подключаются к хранилищу BLOB-объектов Azure, они должны предоставлять закрытый ключ, связанный с этим открытым ключом.

   • Используйте существующий открытый ключ, хранящийся за пределами Azure.

     Если у вас еще нет открытого ключа, ознакомьтесь с инструкциями по созданию ключей с помощью SSH-keygen . Поддерживаются только открытые ключи в формате OpenSSH. Указанный ключ должен использовать следующий формат: <key type> <key data> Например, ключи RSA будут выглядеть примерно так: ssh-rsa AAAAB3N... Если ключ находится в другом формате, то ssh-keygen для преобразования его в формат OpenSSH можно использовать инструмент.

2. Создайте объект открытого ключа с помощью команды New-AzStorageLocalUserSshPublicKey . Задайте параметр -Key равным строке, которая содержит тип ключа и открытый ключ. В следующем примере тип ключа имеет значение ssh-rsa, а имя — ssh-rsa a2V5....

   $sshkey = "ssh-rsa a2V5..."
   $sshkey = New-AzStorageLocalUserSshPublicKey -Key $sshkey -Description "description for ssh public key"
   

3. Создайте локального пользователя с помощью команды Set-AzStorageLocalUser. Если вы используете ключ SSH, задайте SshAuthorizedKey параметр объекту открытого ключа, созданному на предыдущем шаге.

   В следующем примере создается локальный пользователь, а затем выводится ключ в консоль.

   $UserName = "mylocalusername"
   $localuser = Set-AzStorageLocalUser -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName -SshAuthorizedKey $sshkey -HasSharedKey $true -HasSshKey $true
   
   $localuser
   $localuser.SshAuthorizedKeys | ft
   

   Примечание.

   У локальных пользователей также есть свойство sharedKey, которое используется только для проверки подлинности SMB.

Проверка подлинности с помощью пароля (PowerShell)

1. Создайте локального пользователя с помощью команды Set-AzStorageLocalUser и задайте для -HasSshPassword параметра значение $true.

   В следующем примере создается локальный пользователь, использующий проверку подлинности паролей.

   $UserName = "mylocalusername"
   $localuser = Set-AzStorageLocalUser -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName -HasSshPassword $true
   

2. Вы можете создать пароль с помощью команды New-AzStorageLocalUserSshPassword . Установите параметр -UserName равным имени пользователя.

   В следующем примере создается пароль для пользователя.

   $password = New-AzStorageLocalUserSshPassword -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName
   $password 
   

   Внимание

   Вы не сможете восстановить пароль позже, поэтому обязательно скопируйте его и храните там, где его можно найти. Если вы потеряете пароль, вам придется создать новый. Обратите внимание, что пароли SSH создаются Azure и имеют минимальную длину 32 символов.

Azure CLI

В этом разделе показано, как пройти проверку подлинности с помощью ключа SSH или пароля.

Проверка подлинности с помощью ключа SSH (Azure CLI)

1. Выберите тип открытого ключа, который требуется использовать.

   • Использовать существующий ключ, хранимый в Azure

     Используйте этот параметр, если хотите использовать открытый ключ, который уже хранится в Azure. Чтобы найти существующие ключи в Azure, см. Список ключей. Когда клиенты SFTP подключаются к хранилищу BLOB-объектов Azure, они должны предоставлять закрытый ключ, связанный с этим открытым ключом.

   • Используйте существующий открытый ключ, хранящийся за пределами Azure.

     Если у вас еще нет открытого ключа, ознакомьтесь с инструкциями по созданию ключей с помощью SSH-keygen . Поддерживаются только открытые ключи в формате OpenSSH. Указанный ключ должен использовать следующий формат: <key type> <key data> Например, ключи RSA будут выглядеть примерно так: ssh-rsa AAAAB3N... Если ключ находится в другом формате, то ssh-keygen для преобразования его в формат OpenSSH можно использовать инструмент.

2. Чтобы создать локального пользователя, прошедшего проверку подлинности с помощью ключа SSH, используйте команду az storage account local-user create , а затем задайте --has-ssh-key для параметра строку, содержащую тип ключа и открытый ключ.

   В следующем примере создается локальный пользователь с именем contosouserи используется ключ ssh-rsa со значением ssh-rsa a2V5... ключа для проверки подлинности.

   az storage account local-user create --account-name contosoaccount -g contoso-resource-group -n contosouser --ssh-authorized-key key="ssh-rsa a2V5..." --has-ssh-key true --has-ssh-password true
   

   Примечание.

   У локальных пользователей также есть свойство sharedKey, которое используется только для проверки подлинности SMB.

Проверка подлинности с помощью пароля (Azure CLI)

1. Чтобы создать локального пользователя, прошедшего проверку подлинности с помощью пароля, используйте команду az storage account local-user create , а затем задайте для --has-ssh-password параметра значение true.

   В следующем примере создается локальный пользователь с именем contosouserи задан --has-ssh-password параметр true.

   az storage account local-user create --account-name contosoaccount -g contoso-resource-group -n contosouser --has-ssh-password true
   

2. Создайте пароль с помощью команды az storage account local-user createe-password . Установите параметр -n равным имени локального пользователя.

   В следующем примере создается пароль для пользователя.

   az storage account local-user regenerate-password --account-name contosoaccount -g contoso-resource-group -n contosouser  
   

   Внимание

   Вы не сможете восстановить пароль позже, поэтому обязательно скопируйте его и храните там, где его можно найти. Если вы потеряете пароль, вам придется создать новый. Обратите внимание, что пароли SSH создаются Azure и имеют минимальную длину 32 символов.

Предоставление разрешений контейнерам

Выберите контейнеры, к которым требуется предоставить доступ, и какой уровень доступа вы хотите предоставить. Эти разрешения применяются для всех каталогов и подкаталогов в контейнере. Дополнительные сведения о каждом разрешении контейнера см. в разделе "Разрешения контейнера".

Если вы хотите авторизовать доступ на уровне файла и каталога, можно включить авторизацию ACL. Эта возможность доступна в предварительной версии и может быть включена только с помощью портал Azure.

Портал

1. На вкладке "Разрешения" выберите контейнеры , которые нужно сделать доступными для этого локального пользователя. Затем выберите типы операций, которые должны выполняться локальным пользователем.

   

   Внимание

   Локальный пользователь должен иметь по крайней мере одно разрешение контейнера или ACL для домашнего каталога этого контейнера. В противном случае попытка подключения к контейнеру завершится ошибкой.

2. Если вы хотите авторизовать доступ с помощью списков управления доступом (ACL), связанных с файлами и каталогами в этом контейнере, установите флажок "Разрешить авторизацию ACL". Дополнительные сведения об использовании ACLS для авторизации клиентов SFTP см. в статье ACL.

   Вы также можете добавить этого локального пользователя в группу, назначив этому пользователю идентификатор группы. Этот идентификатор может быть любой нужной схемой чисел или чисел. Группирование пользователей позволяет добавлять и удалять пользователей без необходимости повторно применять списки управления доступом к всей структуре каталогов. Вместо этого можно просто добавить или удалить пользователей из группы.

   

   Примечание.

   Идентификатор пользователя для локального пользователя создается автоматически. Этот идентификатор нельзя изменить, но его можно увидеть после создания локального пользователя, повторно открыв этот пользователь в области "Изменение локального пользователя ".

3. В поле редактирования домашнего каталога введите имя контейнера или пути к каталогу (включая имя контейнера), которое будет расположением по умолчанию, связанному с этим локальным пользователем (например: mycontainer/mydirectory).

   Дополнительную информацию о корневом каталоге см. в разделе Корневой каталог.

4. Нажмите кнопку Добавить, чтобы добавить локального пользователя.

   Если вы включили проверку подлинности с помощью пароля, созданный Azure пароль появится в диалоговом окне после того, как локальный пользователь будет добавлен.

   Внимание

   Вы не сможете восстановить пароль позже, поэтому обязательно скопируйте его и храните там, где его можно найти.

   Если вы создаете новую пару ключей, вам будет предложено загрузить закрытый ключ этой пары после того, как локальный пользователь будет добавлен.

   Примечание.

   У локальных пользователей есть свойство sharedKey, которое используется только для проверки подлинности SMB.

PowerShell

1. Определите, какие контейнеры вы хотите сделать доступными для локального пользователя, и типы операций, которые нужно разрешить этому локальному пользователю. Создайте объект области разрешений с помощью команды New-AzStorageLocalUserPermissionScope и задайте для параметра -Permission этой команды одну или несколько букв, соответствующих уровням доступа. Возможные значения: Read(r), Write (w), Delete (d), List (l), Create (c), Modify Ownership(o), Modify Permissions(p).

   В следующем примере создается объект области разрешений, который дает разрешение на чтение и запись в контейнере mycontainer.

   $permissionScope = New-AzStorageLocalUserPermissionScope -Permission rw -Service blob -ResourceName mycontainer 
   

   Внимание

   Локальный пользователь должен иметь по крайней мере одно разрешение контейнера для контейнера, к которому он подключается, в противном случае попытка подключения завершится ошибкой.

2. Обновите локального пользователя с помощью команды Set-AzStorageLocalUser . Задайте параметр -PermissionScope для объекта области разрешений, созданного ранее.

   Следующий пример обновляет локального пользователя с разрешениями контейнера, а затем выводит области разрешений в консоль.

   $UserName = "mylocalusername"
   $localuser = Set-AzStorageLocalUser -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName -HomeDirectory "mycontainer" -PermissionScope $permissionScope
   
   $localuser
   $localuser.PermissionScopes | ft
   

Azure CLI

Чтобы обновить локального пользователя с разрешением на контейнер, используйте команду az storage account local-user update , а затем задайте permission-scope параметр этой команды на одну или несколько букв, соответствующих уровням разрешений доступа. Возможные значения: Read(r), Write (w), Delete (d), List (l), Create (c), Modify Ownership(o), Modify Permissions(p).

В следующем примере локальное имя пользователя contosouser получает доступ для чтения и записи к контейнеру с именем contosocontainer.

az storage account local-user update --account-name contosoaccount -g contoso-resource-group -n contosouser --home-directory contosocontainer --permission-scope permissions=rw service=blob resource-name=contosocontainer

Следующие шаги

• Подключитесь к Хранилище BLOB-объектов Azure с помощью клиента SFTP. См. статью "Подключение" из клиента SFTP.

Связанный контент

• Поддержка протокола передачи файлов SSH (SFTP) хранилища BLOB-объектов Azure
• Включение или отключение поддержки протокола передачи файлов SSH (SFTP) в Хранилище BLOB-объектов Azure
• Авторизация доступа к Хранилище BLOB-объектов Azure из клиента SFTP
• Ограничения и известные проблемы с поддержкой протокола SFTP в Хранилище BLOB-объектов Azure
• Поддержка ключей хоста для протокола передачи файлов SSH (SFTP) хранилища BLOB-объектов Azure
• Факторы производительности протокола SFTP SSH в хранилище BLOB-объектов Azure