Sdílet prostřednictvím


Autorizace přístupu ke službě Azure Blob Storage pro klienta SFTP (File Transfer Protocol) SSH

V tomto článku se dozvíte, jak autorizovat přístup k klientům SFTP, abyste se mohli bezpečně připojit ke koncovému bodu služby Blob Storage účtu služby Azure Storage pomocí klienta SFTP.

Další informace o podpoře SFTP pro Azure Blob Storage najdete v tématu SSH File Transfer Protocol (SFTP) ve službě Azure Blob Storage.

Požadavky

Vytvoření místního uživatele

Azure Storage nepodporuje sdílený přístupový podpis (SAS) ani ověřování Microsoft Entra pro přístup ke koncovému bodu SFTP. Místo toho musíte použít identitu označovanou jako místní uživatel, kterou je možné zabezpečit pomocí hesla vygenerovaného službou Azure nebo dvojicí klíčů SSH. Pokud chcete udělit přístup k připojenému klientovi, musí mít účet úložiště identitu přidruženou k páru hesel nebo klíčů. Tato identita se nazývá místní uživatel.

V této části se dozvíte, jak vytvořit místního uživatele, zvolit metodu ověřování a přiřadit oprávnění pro tohoto místního uživatele.

Další informace o modelu oprávnění SFTP najdete v tématu Model oprávnění SFTP.

Tip

V této části se dozvíte, jak nakonfigurovat místní uživatele pro existující účet úložiště. Pokud chcete zobrazit šablonu Azure Resource Manageru, která v rámci vytváření účtu konfiguruje místního uživatele, přečtěte si téma Vytvoření účtu služby Azure Storage a kontejneru objektů blob přístupného pomocí protokolu SFTP v Azure.

Volba metody ověřování

Místní uživatele, kteří se připojují z klientů SFTP, můžete ověřit pomocí hesla nebo páru veřejného a privátního klíče SSH (Secure Shell).

Důležité

I když můžete povolit obě formy ověřování, klienti SFTP se můžou připojit pouze jedním z nich. Vícefaktorové ověřování, kdy se pro úspěšné ověření nevyžaduje platné heslo i platný pár veřejného a privátního klíče.

  1. Na webu Azure Portal přejděte ke svému účtu úložiště.

  2. V části Nastavení vyberte SFTP a pak vyberte Přidat místního uživatele.

    Snímek obrazovky s tlačítkem Přidat místní uživatele

  3. V podokně Přidat místní konfiguraci uživatele přidejte jméno uživatele a pak vyberte metody ověřování, které chcete přidružit k tomuto místnímu uživateli. Můžete přidružit heslo nebo klíč SSH.

    Pokud vyberete heslo SSH, po dokončení všech kroků v podokně Přidat místní konfiguraci uživatele se zobrazí vaše heslo. Hesla SSH se generují v Azure a mají délku minimálně 32 znaků.

    Pokud vyberete pár klíčů SSH, vyberte Zdroj veřejného klíče a určete zdroj klíče.

    Snímek obrazovky s podoknem konfigurace místního uživatele

    Následující tabulka popisuje jednotlivé možnosti zdroje klíčů:

    Možnost Pokyny
    Vygenerování nového páru klíčů Tuto možnost použijte k vytvoření nového páru veřejného a privátního klíče. Veřejný klíč je uložený v Azure s názvem klíče, který zadáte. Privátní klíč lze stáhnout po úspěšném přidání místního uživatele.
    Použití existujícího klíče uloženého v Azure Tuto možnost použijte, pokud chcete použít veřejný klíč, který je již uložený v Azure. Pokud chcete najít existující klíče v Azure, přečtěte si téma Seznam klíčů. Když se klienti SFTP připojují ke službě Azure Blob Storage, musí tito klienti poskytnout privátní klíč přidružený k tomuto veřejnému klíči.
    Použití existujícího veřejného klíče Tuto možnost použijte, pokud chcete nahrát veřejný klíč uložený mimo Azure. Pokud nemáte veřejný klíč, ale chcete ho vygenerovat mimo Azure, přečtěte si téma Generování klíčů pomocí nástroje ssh-keygen.

    Důležité

    Podporují se jenom veřejné klíče ve formátu OpenSSH. Zadaný klíč musí používat tento formát: <key type> <key data>. Například klíče RSA by vypadaly nějak takto: ssh-rsa AAAAB3N.... Pokud je klíč v jiném formátu, ssh-keygen můžete ho například použít k převodu do formátu OpenSSH.

  4. Výběrem možnosti Další otevřete kartu Oprávnění v podokně konfigurace.

Udělení oprávnění kontejnerům

Vyberte, ke kterým kontejnerům chcete udělit přístup a jakou úroveň přístupu chcete poskytnout. Tato oprávnění platí pro všechny adresáře a podadresáře v kontejneru. Další informace o jednotlivých oprávněních kontejneru najdete v tématu Oprávnění kontejneru.

Pokud chcete autorizovat přístup na úrovni souboru a adresáře, můžete povolit autorizaci seznamu ACL. Tato funkce je ve verzi Preview a je možné ji povolit jenom pomocí webu Azure Portal.

  1. Na kartě Oprávnění vyberte kontejnery, které chcete zpřístupnit tomuto místnímu uživateli. Pak vyberte, které typy operací chcete povolit, aby tento místní uživatel provedl.

    Snímek obrazovky s kartou Oprávnění

    Důležité

    Místní uživatel musí mít alespoň jedno oprávnění ke kontejneru nebo oprávnění seznamu ACL k domovskému adresáři tohoto kontejneru. Jinak se pokus o připojení k danému kontejneru nezdaří.

  2. Pokud chcete autorizovat přístup pomocí seznamů řízení přístupu (ACL) přidružených k souborům a adresářům v tomto kontejneru, zaškrtněte políčko Povolit autorizaci seznamu ACL. Další informace o použití ACLS k autorizaci klientů SFTP najdete v tématu Seznamy ACL.

    Tento místní uživatel můžete také přidat do skupiny tak, že ho přiřadíte k ID skupiny. Toto ID může být libovolné číselné nebo číselné schéma, které chcete použít. Seskupování uživatelů umožňuje přidávat a odebírat uživatele bez nutnosti znovu použít seznamy ACL pro celou adresářovou strukturu. Místo toho můžete přidávat nebo odebírat uživatele ze skupiny.

    Snímek obrazovky s zaškrtávacím políčkam ID skupiny a autorizací seznamu ACL

    Poznámka:

    Automaticky se vygeneruje ID uživatele pro místního uživatele. Toto ID nemůžete upravit, ale ID můžete zobrazit po vytvoření místního uživatele tak, že ho znovu otevřete v podokně Upravit místního uživatele .

  3. Do textového pole Domovského adresáře zadejte název kontejneru nebo cestu k adresáři (včetně názvu kontejneru), která bude výchozím umístěním přidruženým k tomuto místnímu uživateli (například: mycontainer/mydirectory).

    Další informace o domovském adresáři najdete v tématu Domovský adresář.

  4. Vyberte tlačítko Přidat a přidejte místního uživatele.

    Pokud jste povolili ověřování heslem, po přidání místního uživatele se vygenerované heslo Azure zobrazí v dialogovém okně.

    Důležité

    Toto heslo nebudete moct načíst později, proto ho nezapomeňte zkopírovat a pak ho uložte na místo, kde ho najdete.

    Pokud jste se rozhodli vygenerovat nový pár klíčů, zobrazí se výzva ke stažení privátního klíče tohoto páru klíčů po přidání místního uživatele.

    Poznámka:

    Místní uživatelé mají sharedKey vlastnost, která se používá pouze pro ověřování SMB.

Další kroky