Autorizar o acesso ao Armazenamento de Blobs do Azure para um cliente do protocolo SSH File Transfer Protocol (SFTP)

Este artigo mostra como autorizar o acesso a clientes SFTP para que você possa se conectar com segurança ao ponto de extremidade do Armazenamento de Blobs de sua conta de Armazenamento do Microsoft Azure usando um cliente SFTP.

Para saber mais sobre o suporte a SFTP no Armazenamento de Blobs do Azure, consulte SSH File Transfer Protocol (SFTP) no Armazenamento de Blobs do Azure.

Pré-requisitos

Habilitar o suporte a SFTP para o Armazenamento de Blobs do Azure. Consulte Habilitar ou desabilitar o suporte a SFTP.

Criar um usuário local

O Armazenamento do Azure não oferece suporte a SAS (assinatura de acesso compartilhado) nem à autenticação do Microsoft Entra para acesso ao ponto de extremidade SFTP. Em vez disso, você deve usar uma identidade chamada usuário local que você protege com uma senha Azure gerada ou um par de chaves SSH (secure shell). Para conceder acesso a um cliente que se conecta, a conta de armazenamento deve ter uma identidade associada à senha ou ao par de chaves. Essa identidade é chamada de usuário local.

Nesta seção, você aprenderá a criar um usuário local, escolher um método de autenticação e atribuir permissões para esse usuário local.

Para saber mais sobre o modelo de permissões do SFTP, consulte Modelo de permissões do SFTP.

Dica

Esta seção mostra como configurar usuários locais para uma conta de armazenamento existente. Para ver um modelo do Azure Resource Manager que configura um usuário local durante a criação de uma conta, consulte Criar uma conta de armazenamento do Azure e um contêiner de blobs acessível usando o protocolo SFTP no Azure.

Escolher um método de autenticação

Você pode autenticar usuários locais que se conectam de clientes SFTP usando uma senha ou um par de chaves públicas/privadas SSH (Secure Shell).

Importante

Embora seja possível habilitar ambas as formas de autenticação, os clientes do SFTP podem se conectar usando apenas um deles. A autenticação multifator, pela qual uma senha válida e um par de chaves públicas e privadas válidas são necessários para autenticação bem-sucedida, não tem suporte.

No portal do Azure, acesse sua conta de armazenamento.
Em Configurações, selecione SFTP e depois clique em Adicionar usuário local .

No painel Adicionar configuração do usuário local , insira o nome de um usuário e selecione quais métodos de autenticação você deseja associar a esse usuário local. Você pode associar uma senha e/ou uma chave SSH.

Se você selecionar Senha SSH, sua senha será exibida quando você concluir todas as etapas no painel Adicionar configuração do usuário local . Azure gera senhas SSH e elas têm pelo menos 32 caracteres de comprimento.

Se você selecionar o par chave SSH, selecione a origem da chave pública para especificar uma fonte de chave.

Captura de tela do painel de configuração de usuário local.

A tabela a seguir descreve cada opção de origem de chave:

Opção	Orientação
Gerar um novo par de chaves	Use esta opção para criar um novo par de chaves pública/privada. A chave pública é armazenada no Azure com o nome da chave que você fornece. Você pode baixar a chave privada depois de adicionar o usuário local.
Usar a chave existente armazenada no Azure	Use essa opção se você quiser usar uma chave pública que já esteja armazenada no Azure. Para localizar as chaves existentes no Azure, consulte Listar chaves. Quando os clientes SFTP se conectam ao Armazenamento de Blobs do Azure, esses clientes precisam fornecer a chave privada associada a essa chave pública.
Usar a chave pública existente	Use essa opção se quiser carregar uma chave pública armazenada fora do Azure. Se você não tiver uma chave pública, mas quiser gerar uma fora de Azure, consulte Generate keys with ssh-keygen.

Importante

Há suporte apenas para chaves públicas formatadas do OpenSSH. A chave que você fornece deve usar este formato: <key type> <key data>. Por exemplo, as chaves RSA são semelhantes a esta: ssh-rsa AAAAB3N.... Se a chave estiver em outro formato, use uma ferramenta como ssh-keygen para convertê-la no formato OpenSSH.

Selecione Avançar para abrir a guia Permissões do painel de configuração.

Esta seção mostra como se autenticar usando uma chave SSH ou senha.

Autenticação com uma chave SSH (PowerShell)

Escolha o tipo de chave pública que você deseja usar.
- Usar a chave existente armazenada no Azure
  
  Use essa opção se você quiser usar uma chave pública que já esteja armazenada no Azure. Para localizar as chaves existentes no Azure, consulte Listar chaves. Quando os clientes SFTP se conectam ao Armazenamento de Blobs do Azure, esses clientes precisam fornecer a chave privada associada a essa chave pública.
- Use a chave pública existente armazenada fora do Azure.
  
  Se você ainda não tiver uma chave pública, consulte Gerar chaves com ssh-keygen para obter orientação sobre como criar uma. Há suporte apenas para chaves públicas formatadas do OpenSSH. A chave que você fornece deve usar este formato: <key type> <key data>. Por exemplo, as chaves RSA são semelhantes a esta: ssh-rsa AAAAB3N.... Se a chave estiver em outro formato, use uma ferramenta como ssh-keygen para convertê-la para o formato OpenSSH.
Crie um objeto de chave pública usando o comando New-AzStorageLocalUserSshPublicKey. Defina o parâmetro -Key como uma cadeia de caracteres que contenha o tipo de chave e a chave pública. No exemplo a seguir, o tipo de chave é ssh-rsa e a chave é ssh-rsa a2V5....
```
$sshkey = "ssh-rsa a2V5..."
$sshkey = New-AzStorageLocalUserSshPublicKey -Key $sshkey -Description "description for ssh public key"
```
Crie um usuário local usando o comando Set-AzStorageLocalUser. Se você estiver usando uma chave SSH, defina o SshAuthorizedKey parâmetro para o objeto de chave pública que você criou na etapa anterior.

O exemplo a seguir cria um usuário local e imprime a chave no console.
```
$UserName = "mylocalusername"
$localuser = Set-AzStorageLocalUser -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName -SshAuthorizedKey $sshkey -HasSharedKey $true -HasSshKey $true

$localuser
$localuser.SshAuthorizedKeys | ft
```
Observação

Os usuários locais também têm uma propriedade sharedKey usada somente para autenticação SMB.

Autenticação com uma senha (PowerShell)

Crie um usuário local usando o comando Set-AzStorageLocalUser e defina o parâmetro -HasSshPassword como $true.

O exemplo a seguir cria um usuário local que usa autenticação de senha.

$UserName = "mylocalusername"
$localuser = Set-AzStorageLocalUser -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName -HasSshPassword $true

Crie uma senha usando o comando New-AzStorageLocalUserSshPassword . Defina o parâmetro -UserName como o nome de usuário.

O exemplo a seguir gera uma senha para o usuário.
```
$password = New-AzStorageLocalUserSshPassword -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName
$password 
```
Importante

Você não pode recuperar essa senha mais tarde, portanto, certifique-se de copiar a senha e, em seguida, armazená-la em um local onde você possa encontrá-la. Se você perder essa senha, terá que gerar outra. Azure gera senhas SSH e elas têm pelo menos 32 caracteres.

Esta seção mostra como se autenticar usando uma chave SSH ou senha.

Autenticação com uma chave SSH (CLI do Azure)

Escolha o tipo de chave pública que você deseja usar.
- Usar a chave existente armazenada no Azure
  
  Use essa opção se você quiser usar uma chave pública que já esteja armazenada no Azure. Para localizar as chaves existentes no Azure, consulte Listar chaves. Quando os clientes SFTP se conectam ao Armazenamento de Blobs do Azure, esses clientes precisam fornecer a chave privada associada a essa chave pública.
- Use a chave pública existente armazenada fora do Azure.
  
  Se você ainda não tiver uma chave pública, consulte Gerar chaves com ssh-keygen para obter orientação sobre como criar uma. Há suporte apenas para chaves públicas formatadas do OpenSSH. A chave que você fornece deve usar este formato: <key type> <key data>. Por exemplo, as chaves RSA são semelhantes a esta: ssh-rsa AAAAB3N.... Se a chave estiver em outro formato, use uma ferramenta, como ssh-keygen, para convertê-la para o formato OpenSSH.
Para criar um usuário local que se autentica usando uma chave SSH, use o comando az storage account local-user create e defina o --has-ssh-key parâmetro como uma cadeia de caracteres que contém o tipo de chave e a chave pública.

O exemplo a seguir cria um usuário local chamado contosouser e use uma chave ssh-rsa com uma valor de chave de ssh-rsa a2V5... para autenticação.
```
az storage account local-user create --account-name contosoaccount -g contoso-resource-group -n contosouser --ssh-authorized-key key="ssh-rsa a2V5..." --has-ssh-key true --has-ssh-password true
```
Observação

Os usuários locais também têm uma propriedade sharedKey usada somente para autenticação SMB.

Autenticação com uma senha (CLI do Azure)

Para criar um usuário local que se autentica usando uma senha, use o comando az storage account local-user create e defina o --has-ssh-password parâmetro como true.

O exemplo a seguir cria um usuário local chamado contosouser e define o parâmetro --has-ssh-password como true.
```
az storage account local-user create --account-name contosoaccount -g contoso-resource-group -n contosouser --has-ssh-password true
```
Crie uma senha usando o comando az storage account local-user regenerate-password. Defina o parâmetro -n como o nome de usuário local.

O exemplo a seguir gera uma senha para o usuário.
```
az storage account local-user regenerate-password --account-name contosoaccount -g contoso-resource-group -n contosouser  
```
Importante

Você não pode recuperar essa senha mais tarde, portanto, certifique-se de copiar a senha e, em seguida, armazená-la em um local onde você possa encontrá-la. Se você perder essa senha, terá que gerar outra. Azure gera senhas SSH e elas têm pelo menos 32 caracteres.

Conceder permissão a contêineres

Escolha a quais contêineres deseja conceder acesso e que nível de acesso deseja fornecer. Essas permissões se aplicam a todos os diretórios e subdiretórios no contêiner. Para saber mais sobre cada permissão de contêiner, consulte Permissões de contêiner.

Se você quiser autorizar o acesso no nível de arquivo e diretório, poderá habilitar a autorização de ACL.

Na guia Permissões, selecione os contêineres que você deseja disponibilizar para esse usuário local. Em seguida, selecione quais tipos de operações você deseja permitir que esse usuário local execute.

Importante

O usuário local deve ter pelo menos uma permissão de contêiner ou permissão de ACL para o diretório base desse contêiner. Caso contrário, uma tentativa de conexão com esse contêiner falhará.
Se você quiser autorizar o acesso usando as listas de controle de acesso (ACLs) associadas a arquivos e diretórios deste contêiner, marque a caixa de seleção Permitir autorização por ACL. Para saber mais sobre como usar ACLs para autorizar clientes SFTP, consulte ACLs.

Você também pode adicionar esse usuário local a um grupo atribuindo esse usuário a uma ID de grupo. Essa ID pode ser qualquer número ou esquema de número desejado. Agrupar usuários permite adicionar e remover usuários sem a necessidade de reaplicar ACLs a uma estrutura de diretório inteira. Em vez disso, você pode apenas adicionar ou remover usuários do grupo.

Observação

Uma ID de usuário para o usuário local é gerada automaticamente. Não é possível modificar essa ID, mas você pode ver a ID depois de criar o usuário local reabrindo esse usuário no painel Editar usuário local.
Na caixa de edição do diretório Home , digite o nome do contêiner ou o caminho do diretório (incluindo o nome do contêiner) que é o local padrão associado a esse usuário local (por exemplo: mycontainer/mydirectory).

Para saber mais sobre o diretório base, consulte Diretório Base.
Selecione o botão Adicionar para adicionar o usuário local.

Se você habilitou a autenticação por senha, a senha gerada pelo Azure aparece em uma caixa de diálogo após a adição do usuário local.

Importante

Você não pode recuperar essa senha mais tarde, portanto, certifique-se de copiar a senha e, em seguida, armazená-la em um local onde você possa encontrá-la.

Se você optar por gerar um novo par de chaves, será solicitado que você baixe a chave privada desse par de chaves depois que o usuário local for adicionado.

Observação

Os usuários locais têm uma propriedade sharedKey usada somente para autenticação SMB.

Decida quais contêineres quer disponibilizar ao usuário local e os tipos de operações que quer habilitar para esse usuário local executar. Crie um objeto de escopo de permissão usando o comando New-AzStorageLocalUserPermissionScope e defina o -Permission parâmetro desse comando como uma ou mais letras que correspondem aos níveis de permissão de acesso. Os valores possíveis são Leitura (r), Gravação (w), Exclusão (d), Listagem (l), Criação (c), Modificar propriedade (o), Modificar permissões (p).

O exemplo a seguir cria um objeto de escopo de permissão que fornece permissão de leitura e gravação para o mycontainer contêiner.
```
$permissionScope = New-AzStorageLocalUserPermissionScope -Permission rw -Service blob -ResourceName mycontainer 
```
Importante

O usuário local deve ter pelo menos uma permissão de contêiner para o contêiner ao qual está se conectando caso contrário, a tentativa de conexão falhará.
Atualize o usuário local usando o comando Set-AzStorageLocalUser. Defina o parâmetro -PermissionScope para o objeto de escopo de permissão que você já criou.

O exemplo a seguir atualiza um usuário local com permissões de contêiner e imprime os escopos de permissão no console.
```
$UserName = "mylocalusername"
$localuser = Set-AzStorageLocalUser -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName -HomeDirectory "mycontainer" -PermissionScope $permissionScope

$localuser
$localuser.PermissionScopes | ft
```

Para atualizar um usuário local com permissão para um contêiner, use o comando az storage account local-user update e defina o parâmetro permission-scope desse comando como uma ou mais letras que correspondam aos níveis de permissão de acesso. Os valores possíveis são Leitura (r), Gravação (w), Exclusão (d), Listagem (l), Criação (c), Modificar propriedade (o), Modificar permissões (p).

O exemplo a seguir concede a um nome contosouser de usuário local acesso de leitura e gravação a um contêiner chamado contosocontainer.

az storage account local-user update --account-name contosoaccount -g contoso-resource-group -n contosouser --home-directory contosocontainer --permission-scope permissions=rw service=blob resource-name=contosocontainer

Próximas etapas

Conectar-se ao Armazenamento de Blobs do Azure usando um cliente SFTP. Consulte Conectar-se usando um cliente SFTP.

Comentários

Esta página foi útil?

Last updated on 2026-06-03