Autorizace přístupu ke službě Azure Blob Storage pro klienta SFTP (File Transfer Protocol) SSH

1. Na webu Azure Portal přejděte ke svému účtu úložiště.

2. V části Nastavení vyberte SFTP a pak vyberte Přidat místního uživatele.

   

3. V podokně Přidat místní konfiguraci uživatele přidejte jméno uživatele a pak vyberte metody ověřování, které chcete přidružit k tomuto místnímu uživateli. Můžete přidružit heslo nebo klíč SSH.

   Pokud vyberete heslo SSH, po dokončení všech kroků v podokně Přidat místní konfiguraci uživatele se zobrazí vaše heslo. Hesla SSH se generují v Azure a mají délku minimálně 32 znaků.

   Pokud vyberete pár klíčů SSH, vyberte Zdroj veřejného klíče a určete zdroj klíče.

   

   Následující tabulka popisuje jednotlivé možnosti zdroje klíčů:

   Možnost	Pokyny
   Vygenerování nového páru klíčů	Tuto možnost použijte k vytvoření nového páru veřejného a privátního klíče. Veřejný klíč je uložený v Azure s názvem klíče, který zadáte. Privátní klíč lze stáhnout po úspěšném přidání místního uživatele.
   Použití existujícího klíče uloženého v Azure	Tuto možnost použijte, pokud chcete použít veřejný klíč, který je již uložený v Azure. Pokud chcete najít existující klíče v Azure, přečtěte si téma Seznam klíčů. Když se klienti SFTP připojují ke službě Azure Blob Storage, musí tito klienti poskytnout privátní klíč přidružený k tomuto veřejnému klíči.
   Použití existujícího veřejného klíče	Tuto možnost použijte, pokud chcete nahrát veřejný klíč uložený mimo Azure. Pokud nemáte veřejný klíč, ale chcete ho vygenerovat mimo Azure, přečtěte si téma Generování klíčů pomocí nástroje ssh-keygen.

   Důležité

   Podporují se jenom veřejné klíče ve formátu OpenSSH. Zadaný klíč musí používat tento formát: <key type> <key data>. Například klíče RSA by vypadaly nějak takto: ssh-rsa AAAAB3N.... Pokud je klíč v jiném formátu, ssh-keygen můžete ho například použít k převodu do formátu OpenSSH.

4. Výběrem možnosti Další otevřete kartu Oprávnění v podokně konfigurace.

V této části se dozvíte, jak provést ověření pomocí klíče SSH nebo hesla.

Ověřování pomocí klíče SSH (PowerShell)

1. Zvolte typ veřejného klíče, který chcete použít.

   • Použití existujícího klíče uloženého v Azure

     Tuto možnost použijte, pokud chcete použít veřejný klíč, který je již uložený v Azure. Pokud chcete najít existující klíče v Azure, přečtěte si téma Seznam klíčů. Když se klienti SFTP připojují ke službě Azure Blob Storage, musí tito klienti poskytnout privátní klíč přidružený k tomuto veřejnému klíči.

   • Použijte existující veřejný klíč, který je uložený mimo Azure.

     Pokud ještě nemáte veřejný klíč, přečtěte si téma Generování klíčů pomocí nástroje ssh-keygen , kde najdete pokyny k jeho vytvoření. Podporují se jenom veřejné klíče ve formátu OpenSSH. Zadaný klíč musí používat tento formát: <key type> <key data>. Například klíče RSA by vypadaly nějak takto: ssh-rsa AAAAB3N.... Pokud je klíč v jiném formátu, ssh-keygen můžete ho například použít k převodu do formátu OpenSSH.

2. Vytvořte objekt veřejného klíče pomocí příkazu New-AzStorageLocalUserSshPublicKey . -Key Nastavte parametr na řetězec, který obsahuje typ klíče a veřejný klíč. V následujícím příkladu je ssh-rsa typ klíče a klíč je ssh-rsa a2V5....

   $sshkey = "ssh-rsa a2V5..."
   $sshkey = New-AzStorageLocalUserSshPublicKey -Key $sshkey -Description "description for ssh public key"
   

3. Vytvořte místního uživatele pomocí příkazu Set-AzStorageLocalUser . Pokud používáte klíč SSH, nastavte SshAuthorizedKey parametr na objekt veřejného klíče, který jste vytvořili v předchozím kroku.

   Následující příklad vytvoří místního uživatele a pak vypíše klíč do konzoly.

   $UserName = "mylocalusername"
   $localuser = Set-AzStorageLocalUser -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName -SshAuthorizedKey $sshkey -HasSharedKey $true -HasSshKey $true
   
   $localuser
   $localuser.SshAuthorizedKeys | ft
   

   Poznámka:

   Místní uživatelé mají sharedKey také vlastnost, která se používá pouze pro ověřování SMB.

Ověřování pomocí hesla (PowerShell)

1. Vytvořte místního uživatele pomocí příkazu Set-AzStorageLocalUser a nastavte -HasSshPassword parametr na $true.

   Následující příklad vytvoří místního uživatele, který používá ověřování heslem.

   $UserName = "mylocalusername"
   $localuser = Set-AzStorageLocalUser -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName -HasSshPassword $true
   

2. Heslo můžete vytvořit pomocí příkazu New-AzStorageLocalUserSshPassword . -UserName Nastavte parametr na uživatelské jméno.

   Následující příklad vygeneruje heslo pro uživatele.

   $password = New-AzStorageLocalUserSshPassword -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName
   $password 
   

   Důležité

   Toto heslo nebudete moct načíst později, proto ho nezapomeňte zkopírovat a pak ho uložte na místo, kde ho najdete. Pokud toto heslo ztratíte, budete muset vygenerovat nové heslo. Všimněte si, že Azure generuje hesla SSH a mají délku minimálně 32 znaků.

V této části se dozvíte, jak provést ověření pomocí klíče SSH nebo hesla.

Ověřování pomocí klíče SSH (Azure CLI)

1. Zvolte typ veřejného klíče, který chcete použít.

   • Použití existujícího klíče uloženého v Azure

     Tuto možnost použijte, pokud chcete použít veřejný klíč, který je již uložený v Azure. Pokud chcete najít existující klíče v Azure, přečtěte si téma Seznam klíčů. Když se klienti SFTP připojují ke službě Azure Blob Storage, musí tito klienti poskytnout privátní klíč přidružený k tomuto veřejnému klíči.

   • Použijte existující veřejný klíč, který je uložený mimo Azure.

     Pokud ještě nemáte veřejný klíč, přečtěte si téma Generování klíčů pomocí nástroje ssh-keygen , kde najdete pokyny k jeho vytvoření. Podporují se jenom veřejné klíče ve formátu OpenSSH. Zadaný klíč musí používat tento formát: <key type> <key data>. Například klíče RSA by vypadaly nějak takto: ssh-rsa AAAAB3N.... Pokud je klíč v jiném formátu, ssh-keygen můžete ho například použít k převodu do formátu OpenSSH.

2. Pokud chcete vytvořit místního uživatele, který je ověřený pomocí klíče SSH, použijte příkaz az storage account local-user create a pak nastavte --has-ssh-key parametr na řetězec, který obsahuje typ klíče a veřejný klíč.

   Následující příklad vytvoří místního uživatele s názvem contosousera použije klíč ssh-rsa s hodnotou ssh-rsa a2V5... klíče pro ověřování.

   az storage account local-user create --account-name contosoaccount -g contoso-resource-group -n contosouser --ssh-authorized-key key="ssh-rsa a2V5..." --has-ssh-key true --has-ssh-password true
   

   Poznámka:

   Místní uživatelé mají sharedKey také vlastnost, která se používá pouze pro ověřování SMB.

Ověřování pomocí hesla (Azure CLI)

1. Pokud chcete vytvořit místního uživatele, který je ověřený pomocí hesla, použijte příkaz az storage account local-user create a pak nastavte --has-ssh-password parametr na true.

   Následující příklad vytvoří místního uživatele s názvem contosousera nastaví --has-ssh-password parametr na true.

   az storage account local-user create --account-name contosoaccount -g contoso-resource-group -n contosouser --has-ssh-password true
   

2. Vytvořte heslo pomocí příkazu az storage account local-user regenerate-password . -n Nastavte parametr na místní uživatelské jméno.

   Následující příklad vygeneruje heslo pro uživatele.

   az storage account local-user regenerate-password --account-name contosoaccount -g contoso-resource-group -n contosouser  
   

   Důležité

   Toto heslo nebudete moct načíst později, proto ho nezapomeňte zkopírovat a pak ho uložte na místo, kde ho najdete. Pokud toto heslo ztratíte, budete muset vygenerovat nové heslo. Všimněte si, že Azure generuje hesla SSH a mají délku minimálně 32 znaků.

1. Na kartě Oprávnění vyberte kontejnery, které chcete zpřístupnit tomuto místnímu uživateli. Pak vyberte, které typy operací chcete povolit, aby tento místní uživatel provedl.

   

   Důležité

   Místní uživatel musí mít alespoň jedno oprávnění ke kontejneru nebo oprávnění seznamu ACL k domovskému adresáři tohoto kontejneru. Jinak se pokus o připojení k danému kontejneru nezdaří.

2. Pokud chcete autorizovat přístup pomocí seznamů řízení přístupu (ACL) přidružených k souborům a adresářům v tomto kontejneru, zaškrtněte políčko Povolit autorizaci seznamu ACL. Další informace o použití ACLS k autorizaci klientů SFTP najdete v tématu Seznamy ACL.

   Tento místní uživatel můžete také přidat do skupiny tak, že ho přiřadíte k ID skupiny. Toto ID může být libovolné číselné nebo číselné schéma, které chcete použít. Seskupování uživatelů umožňuje přidávat a odebírat uživatele bez nutnosti znovu použít seznamy ACL pro celou adresářovou strukturu. Místo toho můžete přidávat nebo odebírat uživatele ze skupiny.

   

   Poznámka:

   Automaticky se vygeneruje ID uživatele pro místního uživatele. Toto ID nemůžete upravit, ale ID můžete zobrazit po vytvoření místního uživatele tak, že ho znovu otevřete v podokně Upravit místního uživatele .

3. Do textového pole Domovského adresáře zadejte název kontejneru nebo cestu k adresáři (včetně názvu kontejneru), která bude výchozím umístěním přidruženým k tomuto místnímu uživateli (například: mycontainer/mydirectory).

   Další informace o domovském adresáři najdete v tématu Domovský adresář.

4. Vyberte tlačítko Přidat a přidejte místního uživatele.

   Pokud jste povolili ověřování heslem, po přidání místního uživatele se vygenerované heslo Azure zobrazí v dialogovém okně.

   Důležité

   Toto heslo nebudete moct načíst později, proto ho nezapomeňte zkopírovat a pak ho uložte na místo, kde ho najdete.

   Pokud jste se rozhodli vygenerovat nový pár klíčů, zobrazí se výzva ke stažení privátního klíče tohoto páru klíčů po přidání místního uživatele.

   Poznámka:

   Místní uživatelé mají sharedKey vlastnost, která se používá pouze pro ověřování SMB.

1. Rozhodněte se, které kontejnery chcete zpřístupnit místnímu uživateli, a typy operací, které chcete tomuto místnímu uživateli povolit. Vytvořte objekt oboru oprávnění pomocí příkazu New-AzStorageLocalUserPermissionScope a nastavením -Permission parametru tohoto příkazu na jedno nebo více písmen, která odpovídají úrovním oprávnění přístupu. Možné hodnoty jsou Read(r), Write (w), Delete (d), List (l), Create (c), Modify Ownership(o), Modify Permissions(p).

   Následující příklad set vytvoří objekt oboru oprávnění, který dává oprávnění ke čtení a zápisu kontejneru mycontainer .

   $permissionScope = New-AzStorageLocalUserPermissionScope -Permission rw -Service blob -ResourceName mycontainer 
   

   Důležité

   Místní uživatel musí mít alespoň jedno oprávnění ke kontejneru, ke kterému se připojuje, jinak pokus o připojení selže.

2. Aktualizujte místního uživatele pomocí příkazu Set-AzStorageLocalUser . -PermissionScope Nastavte parametr na objekt oboru oprávnění, který jste vytvořili dříve.

   Následující příklad aktualizuje místního uživatele s oprávněními kontejneru a pak vytiskne obory oprávnění do konzoly.

   $UserName = "mylocalusername"
   $localuser = Set-AzStorageLocalUser -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName -HomeDirectory "mycontainer" -PermissionScope $permissionScope
   
   $localuser
   $localuser.PermissionScopes | ft
   

Pokud chcete aktualizovat místního uživatele s oprávněním ke kontejneru, použijte příkaz az storage account local-user update a potom nastavte permission-scope parametr tohoto příkazu na jedno nebo více písmen, která odpovídají úrovním oprávnění přístupu. Možné hodnoty jsou Read(r), Write (w), Delete (d), List (l), Create (c), Modify Ownership(o), Modify Permissions(p).

Následující příklad dává místnímu uživatelskému jménu contosouser přístup ke čtení a zápisu do kontejneru s názvem contosocontainer.

az storage account local-user update --account-name contosoaccount -g contoso-resource-group -n contosouser --home-directory contosocontainer --permission-scope permissions=rw service=blob resource-name=contosocontainer