Compartilhar via


Autorizar o acesso ao Armazenamento de Blobs do Azure para um cliente SFTP SSH (protocolo FTP)

Este artigo mostra como autorizar o acesso a clientes SFTP para que você possa se conectar com segurança ao ponto de extremidade do Armazenamento de Blobs de sua conta de Armazenamento do Microsoft Azure usando um cliente SFTP.

Para saber mais sobre o suporte ao SFTP para Armazenamento de Blobs do Azure, confira Protocolo SFTP no Armazenamento de Blobs do Azure.

Pré-requisitos

Criar um usuário local

O Armazenamento do Microsoft Azure não dá suporte à assinatura de acesso compartilhado (SAS) ou à autenticação do Microsoft Entra para acessar o ponto de extremidade SFTP. Em vez disso, você deve usar uma identidade chamada usuário local que pode ser protegida com uma senha gerada pelo Azure ou um par de chaves SSH (Secure Shell). Para conceder acesso a um cliente que se conecta, a conta de armazenamento deve ter uma identidade associada à senha ou ao par de chaves. Essa identidade é chamada de usuário local.

Nesta seção, você aprenderá a criar um usuário local, escolher um método de autenticação e atribuir permissões para esse usuário local.

Para saber mais sobre o modelo de permissões do SFTP, consulte Modelo de permissões do SFTP.

Dica

Esta seção mostra como configurar usuários locais para uma conta de armazenamento existente. Para exibir um modelo do ARM que configura um usuário local como parte da criação de uma conta, confira Criar uma Conta de Armazenamento do Microsoft Azure e um Contêiner de Blobs acessíveis usando o protocolo SFTP no Azure.

Escolher um método de autenticação

Você pode autenticar usuários locais que se conectam de clientes SFTP usando uma senha ou um par de chaves públicas/privadas SSH (Secure Shell).

Importante

Embora seja possível habilitar ambas as formas de autenticação, os clientes do SFTP podem se conectar usando apenas um deles. Não há suporte para a autenticação multifator, em que uma senha válida e um par de chaves públicas e privadas válido são necessários para uma autenticação bem-sucedida.

  1. No Portal do Azure, navegue até sua conta de armazenamento.

  2. Em Configurações, selecione SFTP e depois clique em Adicionar usuário local .

    Captura de tela do botão Adicionar usuários locais.

  3. No painel de configuração Adicionar usuário local, adicione o nome de um usuário e, em seguida, selecione quais métodos de autenticação você deseja associar a esse usuário local. Você pode associar uma senha e/ou uma chave SSH.

    Se você selecionar Senha SSH, sua senha será exibida quando você concluir todas as etapas no painel de configuração Adicionar usuário local. As senhas SSH são geradas pelo Azure e têm pelo menos 32 caracteres.

    Se você selecionar Par de chave SSH, selecione Origem de chave pública para especificar a fonte da chave.

    Captura de tela do painel de configuração de usuário local.

    A tabela a seguir descreve cada opção de origem de chave:

    Opção Orientação
    Gerar um novo par de chaves Use esta opção para criar um novo par de chaves pública/privada. A chave pública é armazenada no Azure com o nome da chave que você fornece. A chave privada pode ser baixada depois que o usuário local tiver sido adicionado com êxito.
    Usar a chave existente armazenada no Azure Use esta opção se você quiser usar uma chave pública que já esteja armazenada no Azure. Para localizar as chaves existentes no Azure, consulte Listar chaves. Quando os clientes SFTP se conectam ao Armazenamento de Blobs do Azure, esses clientes precisam fornecer a chave privada associada a essa chave pública.
    Usar a chave pública existente Use esta opção se você quiser carregar uma chave pública que é armazenada fora do Azure. Se você não tiver uma chave pública, mas quiser gerar uma fora do Azure, consulte Gerar chaves com ssh-keygen.

    Importante

    Há suporte apenas para chaves públicas formatadas do OpenSSH. A chave que você fornece deve usar este formato: <key type> <key data>. Por exemplo, as chaves RSA precisam ser semelhantes a esta: ssh-rsa AAAAB3N.... Se a chave estiver em outro formato, uma ferramenta como ssh-keygen pode ser usada para convertê-la para o formato OpenSSH.

  4. Selecione Avançar para abrir a guia Permissões do painel de configuração.

Conceder permissão a contêineres

Escolha a quais contêineres deseja conceder acesso e que nível de acesso deseja fornecer. Essas permissões se aplicam a todos os diretórios e subdiretórios no contêiner. Para saber mais sobre cada permissão de contêiner, consulte Permissões de contêiner.

Se você quiser autorizar o acesso no nível de arquivo e diretório, poderá habilitar a autorização de ACL. Essa funcionalidade está em versão prévia e só pode ser habilitada usando o portal do Azure.

  1. Na guia Permissões, selecione os contêineres que você deseja disponibilizar para esse usuário local. Em seguida, selecione quais tipos de operações você deseja permitir que esse usuário local execute.

    Captura de tela da guia Permissões.

    Importante

    O usuário local deve ter pelo menos uma permissão de contêiner ou permissão de ACL para o diretório base desse contêiner. Caso contrário, uma tentativa de conexão com esse contêiner falhará.

  2. Se você quiser autorizar o acesso usando as ACLs (listas de controle de acesso) associadas a arquivos e diretórios nesse contêiner, marque a caixa de seleção Permitir autorização de ACL. Para saber mais sobre como usar ACLs para autorizar clientes SFTP, consulte ACLs.

    Você também pode adicionar esse usuário local a um grupo atribuindo esse usuário a uma ID de grupo. Essa ID pode ser qualquer número ou esquema de número desejado. O agrupamento de usuários permite que você adicione ou remova usuários sem a necessidade de reaplicar ACLs a uma estrutura de diretório inteira. Em vez disso, você pode apenas adicionar ou remover usuários do grupo.

    Captura de tela da caixa de seleção de autorização de ACL e ID de grupo.

    Observação

    Uma ID de usuário para o usuário local é gerada automaticamente. Não é possível modificar essa ID, mas você pode ver a ID depois de criar o usuário local reabrindo esse usuário no painel Editar usuário local.

  3. Na caixa de edição Diretório base, digite o nome do contêiner ou o caminho do diretório (incluindo o nome do contêiner) que será o local padrão associado a esse usuário local (Por exemplo: mycontainer/mydirectory).

    Para saber mais sobre o diretório base, consulte Diretório Base.

  4. Selecione o botão Adicionar para adicionar o usuário local.

    Se você habilitou a autenticação de senha, a senha gerada pelo Azure aparecerá em uma caixa de diálogo depois que o usuário local tiver sido adicionado.

    Importante

    Você não pode recuperar essa senha mais tarde, portanto, certifique-se de copiar a senha e, em seguida, armazená-la em um local onde você possa encontrá-la.

    Se optar por gerar um novo par de chaves, será solicitado que você baixe a chave privada desse par de chaves depois que o usuário local tiver sido adicionado.

    Observação

    Os usuários locais têm uma propriedade sharedKey usada somente para autenticação SMB.

Próximas etapas