SSH Dosya Aktarım Protokolü (SFTP) istemcisi için Azure Blob Depolama erişimi yetkilendirme

Bu makalede, SFTP istemcilerini kullanarak Azure Depolama hesabınızın Blob Depolama uç noktasına güvenli bir şekilde bağlanabilmeniz için SFTP istemcilerine erişimi nasıl yetkilendirebileceğiniz gösterilmektedir.

Azure Blob Depolama için SFTP desteği hakkında daha fazla bilgi edinmek için bkz. Azure Blob Depolama'de SSH Dosya Aktarım Protokolü (SFTP).

Önkoşullar

• Azure Blob Depolama için SFTP desteğini etkinleştirin. Bkz . SFTP desteğini etkinleştirme veya devre dışı bırakma.

Yerel kullanıcı oluşturma

Azure Depolama, SFTP uç noktasına erişmek için paylaşılan erişim imzasını (SAS) veya Microsoft Entra kimlik doğrulamasını desteklemez. Bunun yerine Azure tarafından oluşturulan bir parolayla veya güvenli kabul (SSH) anahtar çiftiyle güvenliği sağlanabilen, local user adlı bir kimlik kullanmalısınız. Bağlanan istemciye erişim vermek için depolama hesabının parola veya anahtar çiftiyle ilişkilendirilmiş bir kimliği olmalıdır. Bu kimlik yerel kullanıcı olarak adlandırılır.

Bu bölümde, yerel kullanıcı oluşturmayı, bir kimlik doğrulama yöntemi seçmeyi ve bu yerel kullanıcı için izinleri atamayı öğreneceksiniz.

SFTP izin modeli hakkında daha fazla bilgi edinmek için bkz . SFTP İzinleri modeli.

İpucu

Bu bölümde, mevcut bir depolama hesabı için yerel kullanıcıları yapılandırma gösterilmektedir. Hesap oluşturmanın bir parçası olarak yerel kullanıcıyı yapılandıran bir Azure Resource Manager şablonunu görüntülemek için bkz. Azure'da SFTP protokolü kullanılarak erişilebilen bir Azure Depolama Hesabı ve Blob Kapsayıcısı oluşturma.

Kimlik doğrulama yöntemini seçme

Parola veya Secure Shell (SSH) ortak-özel anahtar çifti kullanarak SFTP istemcilerinden bağlanan yerel kullanıcıların kimliğini doğrulayabilirsiniz.

Önemli

Her iki kimlik doğrulama türünü de etkinleştirebilirsiniz ancak SFTP istemcileri bunlardan yalnızca birini kullanarak bağlanabilir. Başarılı kimlik doğrulaması için hem geçerli bir parola hem de geçerli bir ortak ve özel anahtar çifti gereken çok faktörlü kimlik doğrulaması desteklenmez.

Portal

1. Azure portalda depolama hesabınıza gidin.

2. Ayarlar altında SFTP'yi ve ardından Yerel kullanıcı ekle'yi seçin.

   

3. Yerel kullanıcı yapılandırması ekle bölmesinde, bir kullanıcının adını ekleyin ve ardından bu yerel kullanıcıyla ilişkilendirmek istediğiniz kimlik doğrulama yöntemlerini seçin. Parolayı ve /veya SSH anahtarını ilişkilendirebilirsiniz.

   SSH Parolası'nı seçerseniz, yerel kullanıcı yapılandırması ekle bölmesindeki tüm adımlar tamamlandığında parolanız görüntülenir. SSH parolaları Azure tarafından oluşturulur ve en az 32 karakter uzunluğundadır.

   SSH Anahtar çifti'ni seçerseniz, bir anahtar kaynağı belirtmek için Ortak anahtar kaynağı'na tıklayın.

   

   Aşağıdaki tabloda her bir anahtar kaynak seçeneği açıklanmaktadır:

   Seçenek	Rehber
   Yeni anahtar çifti oluşturma	Yeni bir ortak /özel anahtar çifti oluşturmak için bu seçeneği kullanın. Ortak anahtar, sağladığınız anahtar adıyla Azure'da depolanır. Özel anahtar, yerel kullanıcı başarıyla eklendikten sonra indirilebilir.
   Azure'da depolanan mevcut anahtarı kullanma	Azure'da zaten depolanmış bir ortak anahtar kullanmak istiyorsanız bu seçeneği kullanın. Azure'da var olan anahtarları bulmak için bkz . Anahtarları listeleme. SFTP istemcileri Azure Blob Depolama bağlandığında, bu istemcilerin bu ortak anahtarla ilişkili özel anahtarı sağlaması gerekir.
   Mevcut ortak anahtarı kullanma	Azure dışında depolanan bir ortak anahtarı karşıya yüklemek istiyorsanız bu seçeneği kullanın. Ortak anahtarınız yoksa ancak Azure dışında bir anahtar oluşturmak istiyorsanız bkz . Ssh-keygen ile anahtar oluşturma.

4. yapılandırma bölmesinin İzinler sekmesini açmak için İleri'yi seçin.

PowerShell

Bu bölümde, SSH anahtarı veya parola kullanarak kimlik doğrulaması yapma işlemi gösterilmektedir.

SSH anahtarı kullanarak kimlik doğrulaması yapma (PowerShell)

1. Kullanmak istediğiniz ortak anahtar türünü seçin.

   • Azure'da depolanan mevcut anahtarı kullanma

     Azure'da zaten depolanmış bir ortak anahtar kullanmak istiyorsanız bu seçeneği kullanın. Azure'da var olan anahtarları bulmak için bkz . Anahtarları listeleme. SFTP istemcileri Azure Blob Depolama bağlandığında, bu istemcilerin bu ortak anahtarla ilişkili özel anahtarı sağlaması gerekir.

   • Azure dışında depolanan mevcut ortak anahtarı kullanın.

     Henüz ortak anahtarınız yoksa, anahtar oluşturma hakkında yönergeler için bkz . Ssh-keygen ile anahtar oluşturma. Yalnızca OpenSSH biçimli ortak anahtarlar desteklenir. Sağladığınız anahtar şu biçimi kullanmalıdır: <key type> <key data>. Örneğin, RSA anahtarları şuna benzer olacaktır: ssh-rsa AAAAB3N.... Anahtarınız başka bir biçimdeyse, bunu OpenSSH biçimine dönüştürmek için gibi ssh-keygen bir araç kullanılabilir.

2. New-Az Depolama LocalUserSshPublicKey komutunu kullanarak ortak anahtar nesnesi oluşturun. parametresini -Key anahtar türünü ve ortak anahtarı içeren bir dize olarak ayarlayın. Aşağıdaki örnekte anahtar türü, ssh-rsa anahtar ise şeklindedir ssh-rsa a2V5....

   $sshkey = "ssh-rsa a2V5..."
   $sshkey = New-AzStorageLocalUserSshPublicKey -Key $sshkey -Description "description for ssh public key"
   

3. Set-Az Depolama LocalUser komutunu kullanarak yerel kullanıcı oluşturun. SSH anahtarı kullanıyorsanız parametresini SshAuthorizedKey önceki adımda oluşturduğunuz ortak anahtar nesnesine ayarlayın.

   Aşağıdaki örnek yerel bir kullanıcı oluşturur ve ardından anahtarı konsola yazdırır.

   $UserName = "mylocalusername"
   $localuser = Set-AzStorageLocalUser -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName -SshAuthorizedKey $sshkey -HasSharedKey $true -HasSshKey $true
   
   $localuser
   $localuser.SshAuthorizedKeys | ft
   

   Not

   Yerel kullanıcıların yalnızca SMB kimlik doğrulaması için kullanılan bir sharedKey özelliği de vardır.

Parola kullanarak kimlik doğrulaması (PowerShell)

1. Set-Az Depolama LocalUser komutunu kullanarak yerel kullanıcı oluşturun ve parametresini -HasSshPassword olarak $trueayarlayın.

   Aşağıdaki örnek, parola kimlik doğrulaması kullanan bir yerel kullanıcı oluşturur.

   $UserName = "mylocalusername"
   $localuser = Set-AzStorageLocalUser -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName -HasSshPassword $true
   

2. New-Az Depolama LocalUserSshPassword komutunu kullanarak parola oluşturabilirsiniz. parametresini -UserName kullanıcı adına ayarlayın.

   Aşağıdaki örnek, kullanıcı için bir parola oluşturur.

   $password = New-AzStorageLocalUserSshPassword -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName
   $password 
   

   Önemli

   Bu parolayı daha sonra alamazsınız, bu nedenle parolayı kopyalamayı ve sonra da bulabileceğiniz bir yerde depolamayı unutmayın. Bu parolayı kaybederseniz yeni bir parola oluşturmanız gerekir. SSH parolalarının Azure tarafından oluşturulduğunu ve en az 32 karakter uzunluğunda olduğunu unutmayın.

Azure CLI

Bu bölümde, SSH anahtarı veya parola kullanarak kimlik doğrulaması yapma işlemi gösterilmektedir.

SSH anahtarı (Azure CLI) kullanarak kimlik doğrulaması yapma

1. Kullanmak istediğiniz ortak anahtar türünü seçin.

   • Azure'da depolanan mevcut anahtarı kullanma

     Azure'da zaten depolanmış bir ortak anahtar kullanmak istiyorsanız bu seçeneği kullanın. Azure'da var olan anahtarları bulmak için bkz . Anahtarları listeleme. SFTP istemcileri Azure Blob Depolama bağlandığında, bu istemcilerin bu ortak anahtarla ilişkili özel anahtarı sağlaması gerekir.

   • Azure dışında depolanan mevcut ortak anahtarı kullanın.

     Henüz ortak anahtarınız yoksa, anahtar oluşturma hakkında yönergeler için bkz . Ssh-keygen ile anahtar oluşturma. Yalnızca OpenSSH biçimli ortak anahtarlar desteklenir. Sağladığınız anahtar şu biçimi kullanmalıdır: <key type> <key data>. Örneğin, RSA anahtarları şuna benzer olacaktır: ssh-rsa AAAAB3N.... Anahtarınız başka bir biçimdeyse, bunu OpenSSH biçimine dönüştürmek için gibi ssh-keygen bir araç kullanılabilir.

2. SSH anahtarı kullanılarak kimliği doğrulanmış bir yerel kullanıcı oluşturmak için az storage account local-user create komutunu kullanın ve ardından parametresini anahtar türünü ve ortak anahtarı içeren bir dize olarak ayarlayın--has-ssh-key.

   Aşağıdaki örnek, adlı contosouserbir yerel kullanıcı oluşturur ve kimlik doğrulaması için anahtar değerine ssh-rsa a2V5... sahip bir ssh-rsa anahtarı kullanır.

   az storage account local-user create --account-name contosoaccount -g contoso-resource-group -n contosouser --ssh-authorized-key key="ssh-rsa a2V5..." --has-ssh-key true --has-ssh-password true
   

   Not

   Yerel kullanıcıların yalnızca SMB kimlik doğrulaması için kullanılan bir sharedKey özelliği de vardır.

Parola kullanarak kimlik doğrulaması (Azure CLI)

1. Parola kullanılarak kimliği doğrulanmış bir yerel kullanıcı oluşturmak için az storage account local-user create komutunu kullanın ve parametresini --has-ssh-password olarak trueayarlayın.

   Aşağıdaki örnek, adlı contosouserbir yerel kullanıcı oluşturur ve parametresini --has-ssh-password olarak trueayarlar.

   az storage account local-user create --account-name contosoaccount -g contoso-resource-group -n contosouser --has-ssh-password true
   

2. az storage account local-user regenerate-password komutunu kullanarak bir parola oluşturun. parametresini -n yerel kullanıcı adı olarak ayarlayın.

   Aşağıdaki örnek, kullanıcı için bir parola oluşturur.

   az storage account local-user regenerate-password --account-name contosoaccount -g contoso-resource-group -n contosouser  
   

   Önemli

   Bu parolayı daha sonra alamazsınız, bu nedenle parolayı kopyalamayı ve sonra da bulabileceğiniz bir yerde depolamayı unutmayın. Bu parolayı kaybederseniz yeni bir parola oluşturmanız gerekir. SSH parolalarının Azure tarafından oluşturulduğunu ve en az 32 karakter uzunluğunda olduğunu unutmayın.

Kapsayıcılara izin verme

Erişim vermek istediğiniz kapsayıcıları ve sağlamak istediğiniz erişim düzeyini seçin. Bu izinler kapsayıcıdaki tüm dizinlere ve alt dizinlere uygulanır. Her kapsayıcı izni hakkında daha fazla bilgi edinmek için bkz . Kapsayıcı izinleri.

Dosya ve dizin düzeyinde erişim yetkisi vermek istiyorsanız, ACL yetkilendirmesini etkinleştirebilirsiniz. Bu özellik önizleme aşamasındadır ve yalnızca Azure portalı kullanılarak etkinleştirilebilir.

Portal

1. İzinler sekmesinde, bu yerel kullanıcının kullanımına açmak istediğiniz kapsayıcıları seçin. Ardından, bu yerel kullanıcının gerçekleştirmesini istediğiniz işlem türlerini seçin.

   

   Önemli

   Yerel kullanıcının bu kapsayıcının giriş dizini için en az bir kapsayıcı iznine veya ACL iznine sahip olması gerekir. Aksi takdirde bu kapsayıcıya bağlantı girişimi başarısız olur.

2. Bu kapsayıcıdaki dosya ve dizinlerle ilişkili erişim denetim listelerini (ACL' ler) kullanarak erişimi yetkilendirmek istiyorsanız, ACL yetkilendirmesine izin ver onay kutusunu seçin. SFTP istemcilerini yetkilendirmek için ACLS kullanma hakkında daha fazla bilgi edinmek için bkz . ACL'ler.

   Bu kullanıcıyı bir grup kimliğine atayarak bu yerel kullanıcıyı bir gruba da ekleyebilirsiniz. Bu kimlik, istediğiniz herhangi bir sayı veya sayı düzeni olabilir. Kullanıcıları gruplandırma, ACL'leri dizin yapısının tamamına yeniden uygulamanıza gerek kalmadan kullanıcıları eklemenize ve kaldırmanıza olanak sağlar. Bunun yerine, yalnızca gruba kullanıcı ekleyebilir veya gruptan kullanıcı kaldırabilirsiniz.

   

   Not

   Yerel kullanıcının kullanıcı kimliği otomatik olarak oluşturulur. Bu kimliği değiştiremezsiniz, ancak yerel kullanıcıyı oluşturduktan sonra yerel kullanıcıyı düzenle bölmesinde yeniden açarak kimliği görebilirsiniz.

3. Giriş dizini düzenleme kutusuna kapsayıcının adını veya bu yerel kullanıcıyla ilişkilendirilmiş varsayılan konum olacak dizin yolunu (kapsayıcı adı dahil) yazın (Örneğin: mycontainer/mydirectory).

   Giriş dizini hakkında daha fazla bilgi edinmek için bkz . Giriş dizini.

4. Yerel kullanıcıyı eklemek için Ekle düğmesini seçin.

   Parola kimlik doğrulamasını etkinleştirdiyseniz azure tarafından oluşturulan parola, yerel kullanıcı eklendikten sonra bir iletişim kutusunda görünür.

   Önemli

   Bu parolayı daha sonra alamazsınız, bu nedenle parolayı kopyalamayı ve sonra da bulabileceğiniz bir yerde depolamayı unutmayın.

   Yeni bir anahtar çifti oluşturmayı seçerseniz, yerel kullanıcı eklendikten sonra bu anahtar çiftinin özel anahtarını indirmeniz istenir.

   Not

   Yerel kullanıcıların yalnızca SMB kimlik doğrulaması için kullanılan bir sharedKey özelliği vardır.

PowerShell

1. Hangi kapsayıcıları yerel kullanıcının kullanımına açmak istediğinize ve bu yerel kullanıcının gerçekleştirmesini sağlamak istediğiniz işlem türlerine karar verin. New-Az Depolama LocalUserPermissionScope komutunu kullanarak ve bu komutun parametresini erişim izin düzeylerine karşılık gelen bir veya daha fazla harfe ayarlayarak -Permission bir izin kapsamı nesnesi oluşturun. Olası değerler Read(r), Write (w), Delete (d), List (l), Create (c), Modify Ownership(o), Modify Permissions(p) değerleridir.

   Aşağıdaki örnek kümesi, kapsayıcıya mycontainer okuma ve yazma izni veren bir izin kapsamı nesnesi oluşturur.

   $permissionScope = New-AzStorageLocalUserPermissionScope -Permission rw -Service blob -ResourceName mycontainer 
   

   Önemli

   Yerel kullanıcının bağlanacağı kapsayıcı için en az bir kapsayıcı izni olmalıdır, aksi takdirde bağlantı girişimi başarısız olur.

2. Set-Az Depolama LocalUser komutunu kullanarak yerel kullanıcıyı güncelleştirin. parametresini -PermissionScope daha önce oluşturduğunuz izin kapsamı nesnesine ayarlayın.

   Aşağıdaki örnek, kapsayıcı izinleri olan bir yerel kullanıcıyı güncelleştirir ve ardından izin kapsamlarını konsola yazdırır.

   $UserName = "mylocalusername"
   $localuser = Set-AzStorageLocalUser -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName -HomeDirectory "mycontainer" -PermissionScope $permissionScope
   
   $localuser
   $localuser.PermissionScopes | ft
   

Azure CLI

Kapsayıcı izni olan bir yerel kullanıcıyı güncelleştirmek için az storage account local-user update komutunu kullanın ve ardından bu komutun parametresini erişim izin düzeylerine karşılık gelen bir veya daha fazla harfe ayarlayınpermission-scope. Olası değerler Read(r), Write (w), Delete (d), List (l), Create (c), Modify Ownership(o), Modify Permissions(p) değerleridir.

Aşağıdaki örnek, adlı contosocontainerbir kapsayıcıya yerel kullanıcı adı contosouser okuma ve yazma erişimi verir.

az storage account local-user update --account-name contosoaccount -g contoso-resource-group -n contosouser --home-directory contosocontainer --permission-scope permissions=rw service=blob resource-name=contosocontainer

Sonraki adımlar

• SFTP istemcisi kullanarak Azure Blob Depolama Bağlan. Bkz. SFTP istemcisinden Bağlan.

İlgili içerik

• Azure Blob Depolama için SSH Dosya Aktarım Protokolü (SFTP) desteği
• Azure Blob Depolama'de SSH Dosya Aktarım Protokolü (SFTP) desteğini etkinleştirme veya devre dışı bırakma
• SSH Dosya Aktarım Protokolü (SFTP) istemcisinden Azure Blob Depolama erişimi yetkilendirme
• Azure Blob Depolama için SSH Dosya Aktarım Protokolü (SFTP) desteğiyle ilgili sınırlamalar ve bilinen sorunlar
• Azure Blob Depolama için SSH Dosya Aktarım Protokolü (SFTP) desteği için konak anahtarları
• Azure Blob depolamada SSH Dosya Aktarım Protokolü (SFTP) performans konuları