Авторизация доступа к Хранилище BLOB-объектов Azure для клиента SFTP

1. Войдите в свою учетную запись хранения на портале Azure.

2. В разделе Параметры выберите SFTP, а затем нажмите Добавить локального пользователя.

   

3. В области конфигурации Добавить локального пользователя укажите имя пользователя, а затем выберите методы проверки подлинности, которые вы хотите применить к этому локальному пользователю. Вы можете связать пароль и/или ключ SSH.

   При выборе пароля SSH ваш пароль появится после завершения всех шагов в области "Добавление локального пользователя". Пароли SSH создаются в Azure и имеют минимальную длину 32 символов.

   Если вы выбрали Пара ключей SSH, выберите Источник открытого ключа, чтобы указать источник ключа.

   

   В следующей таблице описан каждый ключевой параметр источника.

   Вариант	Руководство
   Создание новой пары ключей	Используйте этот параметр, чтобы создать пару открытых / закрытых ключей. Открытый ключ хранится в Azure с именем ключа, которое вы укажите. Закрытый ключ можно загрузить после успешного добавления локального пользователя.
   Использовать существующий ключ, хранимый в Azure	Используйте этот параметр, если хотите использовать открытый ключ, который уже хранится в Azure. Чтобы найти существующие ключи в Azure, см. Список ключей. Когда клиенты SFTP подключаются к хранилищу BLOB-объектов Azure, они должны предоставлять закрытый ключ, связанный с этим открытым ключом.
   Используйте существующий открытый ключ.	Используйте этот параметр, если вы хотите отправить открытый ключ, который хранится за пределами Azure. Если у вас нет открытого ключа, но вы хотите создать его за пределами Azure, см. Создание ключей с помощью ssh-keygen.

   Внимание

   Поддерживаются только открытые ключи в формате OpenSSH. Указанный ключ должен использовать следующий формат: <key type> <key data> Например, ключи RSA будут выглядеть примерно так: ssh-rsa AAAAB3N... Если ваш ключ находится в другом формате, инструмент, такой как ssh-keygen, можно использовать для преобразования его в формат OpenSSH.

4. Чтобы открыть вкладку "Разрешения" в области конфигурации, выберите Далее.

В этом разделе показано, как пройти проверку подлинности с помощью ключа SSH или пароля.

Проверка подлинности с помощью ключа SSH (PowerShell)

1. Выберите тип открытого ключа, который требуется использовать.

   • Использовать существующий ключ, хранимый в Azure

     Используйте этот параметр, если хотите использовать открытый ключ, который уже хранится в Azure. Чтобы найти существующие ключи в Azure, см. Список ключей. Когда клиенты SFTP подключаются к хранилищу BLOB-объектов Azure, они должны предоставлять закрытый ключ, связанный с этим открытым ключом.

   • Используйте существующий открытый ключ, хранящийся за пределами Azure.

     Если у вас еще нет открытого ключа, ознакомьтесь с инструкциями по созданию ключей с помощью SSH-keygen . Поддерживаются только открытые ключи в формате OpenSSH. Указанный ключ должен использовать следующий формат: <key type> <key data> Например, ключи RSA будут выглядеть примерно так: ssh-rsa AAAAB3N... Если ваш ключ находится в другом формате, инструмент, такой как ssh-keygen, можно использовать для преобразования его в формат OpenSSH.

2. Создайте объект открытого ключа с помощью команды New-AzStorageLocalUserSshPublicKey . Задайте параметр -Key равным строке, которая содержит тип ключа и открытый ключ. В следующем примере тип ключа — ssh-rsa, а ключ — ssh-rsa a2V5....

   $sshkey = "ssh-rsa a2V5..."
   $sshkey = New-AzStorageLocalUserSshPublicKey -Key $sshkey -Description "description for ssh public key"
   

3. Создайте локального пользователя с помощью команды Set-AzStorageLocalUser. Если вы используете ключ SSH, задайте SshAuthorizedKey параметр объекту открытого ключа, созданному на предыдущем шаге.

   В следующем примере создается локальный пользователь, а затем выводится ключ в консоль.

   $UserName = "mylocalusername"
   $localuser = Set-AzStorageLocalUser -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName -SshAuthorizedKey $sshkey -HasSharedKey $true -HasSshKey $true
   
   $localuser
   $localuser.SshAuthorizedKeys | ft
   

   Примечание.

   У локальных пользователей также есть свойство sharedKey, которое используется только для проверки подлинности SMB.

Проверка подлинности с помощью пароля (PowerShell)

1. Создайте локального пользователя с помощью команды Set-AzStorageLocalUser и задайте для -HasSshPassword параметра значение $true.

   В следующем примере создается локальный пользователь, использующий проверку подлинности паролей.

   $UserName = "mylocalusername"
   $localuser = Set-AzStorageLocalUser -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName -HasSshPassword $true
   

2. Вы можете создать пароль с помощью команды New-AzStorageLocalUserSshPassword . Установите параметр -UserName равным имени пользователя.

   В следующем примере создается пароль для пользователя.

   $password = New-AzStorageLocalUserSshPassword -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName
   $password 
   

   Внимание

   Вы не сможете восстановить пароль позже, поэтому обязательно скопируйте его и храните там, где его можно найти. Если вы потеряете пароль, вам придется создать новый. Обратите внимание, что пароли SSH создаются Azure и имеют минимальную длину 32 символов.

В этом разделе показано, как пройти проверку подлинности с помощью ключа SSH или пароля.

Проверка подлинности с помощью ключа SSH (Azure CLI)

1. Выберите тип открытого ключа, который требуется использовать.

   • Использовать существующий ключ, хранимый в Azure

     Используйте этот параметр, если хотите использовать открытый ключ, который уже хранится в Azure. Чтобы найти существующие ключи в Azure, см. Список ключей. Когда клиенты SFTP подключаются к хранилищу BLOB-объектов Azure, они должны предоставлять закрытый ключ, связанный с этим открытым ключом.

   • Используйте существующий открытый ключ, хранящийся за пределами Azure.

     Если у вас еще нет открытого ключа, ознакомьтесь с инструкциями по созданию ключей с помощью SSH-keygen . Поддерживаются только открытые ключи в формате OpenSSH. Указанный ключ должен использовать следующий формат: <key type> <key data> Например, ключи RSA будут выглядеть примерно так: ssh-rsa AAAAB3N... Если ваш ключ находится в другом формате, инструмент, такой как ssh-keygen, можно использовать для преобразования его в формат OpenSSH.

2. Чтобы создать локального пользователя, прошедшего проверку подлинности с помощью ключа SSH, используйте команду az storage account local-user create , а затем задайте --has-ssh-key для параметра строку, содержащую тип ключа и открытый ключ.

   В следующем примере создается локальный пользователь с именем contosouserи используется ключ ssh-rsa со значением ssh-rsa a2V5... ключа для проверки подлинности.

   az storage account local-user create --account-name contosoaccount -g contoso-resource-group -n contosouser --ssh-authorized-key key="ssh-rsa a2V5..." --has-ssh-key true --has-ssh-password true
   

   Примечание.

   У локальных пользователей также есть свойство sharedKey, которое используется только для проверки подлинности SMB.

Проверка подлинности с помощью пароля (Azure CLI)

1. Чтобы создать локального пользователя, прошедшего проверку подлинности с помощью пароля, используйте команду az storage account local-user create , а затем задайте для --has-ssh-password параметра значение true.

   В следующем примере создается локальный пользователь с именем contosouserи задан --has-ssh-password параметр true.

   az storage account local-user create --account-name contosoaccount -g contoso-resource-group -n contosouser --has-ssh-password true
   

2. Создайте пароль с помощью az storage account local-user regenerate-password команды. Установите параметр -n равным имени локального пользователя.

   В следующем примере создается пароль для пользователя.

   az storage account local-user regenerate-password --account-name contosoaccount -g contoso-resource-group -n contosouser  
   

   Внимание

   Вы не сможете восстановить пароль позже, поэтому обязательно скопируйте его и храните там, где его можно найти. Если вы потеряете пароль, вам придется создать новый. Обратите внимание, что пароли SSH создаются Azure и имеют минимальную длину 32 символов.

1. На вкладке "Разрешения" выберите контейнеры , которые нужно сделать доступными для этого локального пользователя. Затем выберите типы операций, которые должны выполняться локальным пользователем.

   

   Внимание

   Локальный пользователь должен иметь по крайней мере одно разрешение контейнера или ACL для домашнего каталога этого контейнера. В противном случае попытка подключения к контейнеру завершится ошибкой.

2. Если вы хотите авторизовать доступ с помощью списков управления доступом (ACL), связанных с файлами и каталогами в этом контейнере, установите флажок "Разрешить авторизацию ACL". Дополнительные сведения об использовании списков управления доступом для авторизации клиентов SFTP см. в статье ACL.

   Вы также можете добавить этого локального пользователя в группу, назначив этому пользователю идентификатор группы. Этот идентификатор может быть любым числом или схемой чисел, какой вы хотите. Группирование пользователей позволяет добавлять и удалять пользователей без необходимости повторно применять списки управления доступом к всей структуре каталогов. Вместо этого можно просто добавить или удалить пользователей из группы.

   

   Примечание.

   Идентификатор пользователя для локального пользователя создается автоматически. Этот идентификатор нельзя изменить, но его можно увидеть после создания локального пользователя, повторно открыв этот пользователь в области "Изменение локального пользователя ".

3. В поле редактирования домашнего каталога введите имя контейнера или пути к каталогу (включая имя контейнера), которое будет расположением по умолчанию, связанному с этим локальным пользователем (например: mycontainer/mydirectory).

   Дополнительную информацию о корневом каталоге см. в разделе Корневой каталог.

4. Нажмите кнопку Добавить, чтобы добавить локального пользователя.

   Если вы включили проверку подлинности с помощью пароля, созданный Azure пароль появится в диалоговом окне после того, как локальный пользователь будет добавлен.

   Внимание

   Вы не сможете восстановить пароль позже, поэтому обязательно скопируйте его и храните там, где его можно найти.

   Если вы создаете новую пару ключей, вам будет предложено загрузить закрытый ключ этой пары после того, как локальный пользователь будет добавлен.

   Примечание.

   У локальных пользователей есть свойство sharedKey, которое используется только для проверки подлинности SMB.

1. Определите, какие контейнеры вы хотите сделать доступными для локального пользователя, и типы операций, которые нужно разрешить этому локальному пользователю. Создайте объект области разрешений с помощью команды New-AzStorageLocalUserPermissionScope и задайте для параметра -Permission этой команды одну или несколько букв, соответствующих уровням доступа. Возможные значения: Чтение (r), Запись (w), Удаление (d), Список (l), Создание (c), Изменение владельца (o), Изменение разрешений (p).

   В следующем примере создается объект области разрешений, который дает разрешение на чтение и запись в контейнере mycontainer.

   $permissionScope = New-AzStorageLocalUserPermissionScope -Permission rw -Service blob -ResourceName mycontainer 
   

   Внимание

   Локальный пользователь должен иметь по крайней мере одно разрешение контейнера для контейнера, к которому он подключается, в противном случае попытка подключения завершится ошибкой.

2. Обновите локального пользователя с помощью команды Set-AzStorageLocalUser . Задайте параметр -PermissionScope для объекта области разрешений, созданного ранее.

   Следующий пример обновляет локального пользователя с разрешениями контейнера, а затем выводит области разрешений в консоль.

   $UserName = "mylocalusername"
   $localuser = Set-AzStorageLocalUser -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName -HomeDirectory "mycontainer" -PermissionScope $permissionScope
   
   $localuser
   $localuser.PermissionScopes | ft
   

Чтобы обновить локального пользователя с разрешением на контейнер, используйте команду az storage account local-user update , а затем задайте permission-scope параметр этой команды на одну или несколько букв, соответствующих уровням разрешений доступа. Возможные значения: Чтение (r), Запись (w), Удаление (d), Список (l), Создание (c), Изменение владельца (o), Изменение разрешений (p).

В следующем примере локальное имя пользователя contosouser получает доступ для чтения и записи к контейнеру с именем contosocontainer.

az storage account local-user update --account-name contosoaccount -g contoso-resource-group -n contosouser --home-directory contosocontainer --permission-scope permissions=rw service=blob resource-name=contosocontainer