Autorizar o acesso ao Armazenamento de Blobs do Azure para um cliente SFTP (SSH File Transfer Protocol)

Este artigo mostra como autorizar o acesso a clientes SFTP para que você possa se conectar com segurança ao ponto de extremidade de Armazenamento de Blob da sua conta de Armazenamento do Azure usando um cliente SFTP.

Para saber mais sobre o suporte SFTP para o Armazenamento de Blobs do Azure, consulte Protocolo de Transferência de Arquivos SSH (SFTP) no Armazenamento de Blobs do Azure.

Pré-requisitos

Habilite o suporte a SFTP para o Armazenamento de Blobs do Azure. Consulte Ativar ou desativar o suporte a SFTP.

Criar um usuário local

O Armazenamento do Azure não suporta assinatura de acesso partilhado (SAS) nem autenticação Microsoft Entra para aceder ao endpoint SFTP. Em vez disso, tem de usar uma identidade denominada utilizador local, que deve proteger com uma palavra-passe gerada pelo Azure ou com um par de chaves SSH. Para conceder acesso a um cliente de conexão, a conta de armazenamento deve ter uma identidade associada à senha ou ao par de chaves. Essa identidade é chamada de usuário local.

Nesta secção, aprende como criar um utilizador local, escolher um método de autenticação e atribuir permissões a esse utilizador local.

Para saber mais sobre o modelo de permissões SFTP, consulte Modelo de permissões SFTP.

Sugestão

Esta seção mostra como configurar usuários locais para uma conta de armazenamento existente. Para exibir um modelo do Azure Resource Manager que configura um usuário local como parte da criação de uma conta, consulte Criar uma Conta de Armazenamento do Azure e Contêiner de Blob acessível usando o protocolo SFTP no Azure.

Escolha um método de autenticação

Você pode autenticar usuários locais que se conectam a partir de clientes SFTP usando uma senha ou um par de chaves público-privadas do Secure Shell (SSH).

Importante

Embora você possa habilitar ambas as formas de autenticação, os clientes SFTP podem se conectar usando apenas uma delas. A autenticação multifator, em que tanto uma palavra-passe válida como um par de chaves públicas e privadas válidas são necessárias para uma autenticação bem-sucedida, não é suportada.

Portais
PowerShell
CLI do Azure

No portal do Azure, vá para sua conta de armazenamento.
Em Configurações, selecione SFTP e, em seguida, selecione Adicionar usuário local.

No painel de configuração Adicionar utilizador local , introduza o nome de um utilizador e depois selecione quais os métodos de autenticação que pretende associar a esse utilizador local. Pode associar uma palavra-passe e/ou uma chave SSH.

Se selecionar Palavra-passe SSH, a sua palavra-passe aparece quando completar todos os passos no painel de configuração de Adicionar utilizador local . O Azure gera palavras-passe SSH e têm pelo menos 32 caracteres de comprimento.

Se selecionar par de chaves SSH, selecione a fonte de chave pública para especificar uma fonte de chave.

Captura de tela do painel de configuração do usuário local.

A tabela a seguir descreve cada opção de fonte de chave:

Opção	Orientações
Gerar um novo par de chaves	Use esta opção para criar um novo par de chaves públicas/privadas. A chave pública é armazenada no Azure com o nome da chave que você fornece. Podes descarregar a chave privada depois de adicionares o utilizador local.
Usar chave existente armazenada no Azure	Use esta opção se quiser usar uma chave pública que já esteja armazenada no Azure. Para localizar chaves existentes no Azure, consulte Listar chaves. Quando os clientes SFTP se conectam ao Armazenamento de Blobs do Azure, esses clientes precisam fornecer a chave privada associada a essa chave pública.
Usar chave pública existente	Use esta opção se quiser carregar uma chave pública armazenada fora do Azure. Se não tens uma chave pública, mas quiseres gerar uma fora da Azure, vê Gerar chaves com ssh-keygen.

Importante

Apenas chaves públicas formatadas OpenSSH são suportadas. A chave fornecida deve usar este formato: <key type> <key data>. Por exemplo, as chaves RSA são semelhantes a isto: ssh-rsa AAAAB3N.... Se a sua chave estiver noutro formato, use uma ferramenta como ssh-keygen para a converter para o formato OpenSSH.

Selecione Avançar para abrir a guia Permissões do painel de configuração.

Esta seção mostra como autenticar usando uma chave SSH ou uma senha.

Autenticar usando uma chave SSH (PowerShell)

Escolha o tipo de chave pública que pretende utilizar.
- Usar chave existente armazenada no Azure
  
  Use esta opção se quiser usar uma chave pública que já esteja armazenada no Azure. Para localizar chaves existentes no Azure, consulte Listar chaves. Quando os clientes SFTP se conectam ao Armazenamento de Blobs do Azure, esses clientes precisam fornecer a chave privada associada a essa chave pública.
- Use a chave pública existente armazenada fora do Azure.
  
  Se ainda não tens uma chave pública, consulta Generar chaves com ssh-keygen para orientações sobre como criar uma. Apenas chaves públicas formatadas OpenSSH são suportadas. A chave fornecida deve usar este formato: <key type> <key data>. Por exemplo, as chaves RSA são semelhantes a isto: ssh-rsa AAAAB3N.... Se a sua chave estiver noutro formato, use uma ferramenta como ssh-keygen para a converter para o formato OpenSSH.
Crie um objeto de chave pública usando o comando New-AzStorageLocalUserSshPublicKey . Defina o -Key parâmetro como uma cadeia de caracteres que contenha o tipo de chave e a chave pública. No exemplo a seguir, o tipo de chave é ssh-rsa e a chave é ssh-rsa a2V5....
```
$sshkey = "ssh-rsa a2V5..."
$sshkey = New-AzStorageLocalUserSshPublicKey -Key $sshkey -Description "description for ssh public key"
```
Crie um usuário local usando o comando Set-AzStorageLocalUser . Se estiveres a usar uma chave SSH, define o SshAuthorizedKey parâmetro para o objeto de chave pública que criaste no passo anterior.

O exemplo a seguir cria um usuário local e, em seguida, imprime a chave no console.
```
$UserName = "mylocalusername"
$localuser = Set-AzStorageLocalUser -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName -SshAuthorizedKey $sshkey -HasSharedKey $true -HasSshKey $true

$localuser
$localuser.SshAuthorizedKeys | ft
```
Observação

Os usuários locais também têm uma sharedKey propriedade que é usada apenas para autenticação SMB.

Autenticar usando uma senha (PowerShell)

Crie um usuário local usando o comando Set-AzStorageLocalUser e defina o -HasSshPassword parâmetro como $true.

O exemplo a seguir cria um usuário local que usa autenticação de senha.

$UserName = "mylocalusername"
$localuser = Set-AzStorageLocalUser -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName -HasSshPassword $true

Crie uma palavra-passe usando o comando New-AzStorageLocalUserSshPassword . Defina o -UserName parâmetro como o nome de usuário.

O exemplo a seguir gera uma senha para o usuário.
```
$password = New-AzStorageLocalUserSshPassword -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName
$password 
```
Importante

Não é possível recuperar esta palavra-passe mais tarde, por isso certifique-se de que copia a palavra-passe e, em seguida, armazena-a num local onde a possa encontrar. Se perder esta palavra-passe, terá de gerar uma nova. O Azure gera palavras-passe SSH e têm pelo menos 32 caracteres.

Esta seção mostra como autenticar usando uma chave SSH ou uma senha.

Autenticar usando uma chave SSH (CLI do Azure)

Escolha o tipo de chave pública que pretende utilizar.
- Usar chave existente armazenada no Azure
  
  Use esta opção se quiser usar uma chave pública que já esteja armazenada no Azure. Para localizar chaves existentes no Azure, consulte Listar chaves. Quando os clientes SFTP se conectam ao Armazenamento de Blobs do Azure, esses clientes precisam fornecer a chave privada associada a essa chave pública.
- Use a chave pública existente armazenada fora do Azure.
  
  Se ainda não tens uma chave pública, consulta Generar chaves com ssh-keygen para orientações sobre como criar uma. Apenas chaves públicas formatadas OpenSSH são suportadas. A chave fornecida deve usar este formato: <key type> <key data>. Por exemplo, as chaves RSA são semelhantes a isto: ssh-rsa AAAAB3N.... Se a sua chave estiver noutro formato, utilize uma ferramenta como ssh-keygen para a converter para o formato OpenSSH.
Para criar um utilizador local que se autentique com uma chave SSH, utilize o comando az storage account local-user create e defina o parâmetro --has-ssh-key como uma cadeia de caracteres que contenha o tipo de chave e a chave pública.

O exemplo a seguir cria um usuário local chamado contosouser, e usa uma chave ssh-rsa com um valor de chave de ssh-rsa a2V5... para autenticação.
```
az storage account local-user create --account-name contosoaccount -g contoso-resource-group -n contosouser --ssh-authorized-key key="ssh-rsa a2V5..." --has-ssh-key true --has-ssh-password true
```
Observação

Os usuários locais também têm uma sharedKey propriedade que é usada apenas para autenticação SMB.

Autenticar usando uma senha (CLI do Azure)

Para criar um utilizador local que se autentique usando uma palavra-passe, use o comando local-user create da conta de armazenamento az e defina o --has-ssh-password parâmetro para true.

O exemplo a seguir cria um usuário local chamado contosouser, e define o --has-ssh-password parâmetro como true.
```
az storage account local-user create --account-name contosoaccount -g contoso-resource-group -n contosouser --has-ssh-password true
```
Crie uma senha usando o comando az storage account local-user regenerate-password . Defina o -n parâmetro para o nome de usuário local.

O exemplo a seguir gera uma senha para o usuário.
```
az storage account local-user regenerate-password --account-name contosoaccount -g contoso-resource-group -n contosouser  
```
Importante

Não é possível recuperar esta palavra-passe mais tarde, por isso certifique-se de que copia a palavra-passe e, em seguida, armazena-a num local onde a possa encontrar. Se perder esta palavra-passe, terá de gerar uma nova. O Azure gera palavras-passe SSH e têm pelo menos 32 caracteres.

Conceder permissão aos contentores

Escolha a quais contêineres você deseja conceder acesso e qual nível de acesso você deseja fornecer. Estas permissões aplicam-se a todos os diretórios e subdiretórios no contentor. Para saber mais sobre cada permissão de contêiner, consulte Permissões de contêiner.

Se quiser autorizar o acesso no nível de arquivo e diretório, você pode habilitar a autorização de ACL.

Portais
PowerShell
CLI do Azure

Na guia Permissões , selecione os contêineres que você deseja disponibilizar para esse usuário local. Em seguida, selecione quais tipos de operações você deseja permitir que esse usuário local execute.

Importante

O usuário local deve ter pelo menos uma permissão de contêiner ou permissão de ACL para o diretório base desse contêiner. Caso contrário, uma tentativa de ligação a esse contentor falha.
Se quiser autorizar o acesso utilizando as listas de controlo de acesso (ACLs) associadas a ficheiros e diretórios neste contentor, selecione a caixa de seleção Permitir autorização ACL . Para saber mais sobre como usar ACLs para autorizar clientes SFTP, consulte ACLs.

Você também pode adicionar esse usuário local a um grupo atribuindo esse usuário a uma ID de grupo. Esse ID pode ser qualquer número ou esquema de números que você desejar. Agrupar utilizadores permite adicionar e remover utilizadores sem necessidade de reaplicar ACLs a toda a estrutura de diretórios. Em vez disso, você pode simplesmente adicionar ou remover usuários do grupo.

Observação

Um ID de usuário para o usuário local é gerado automaticamente. Não é possível modificar essa ID, mas você pode vê-la depois de criar o usuário local reabrindo esse usuário no painel Editar usuário local .
Na caixa de edição do diretório Home , escreva o nome do contentor ou do caminho do diretório (incluindo o nome do contentor) que é a localização padrão associada a este utilizador local (por exemplo: mycontainer/mydirectory).

Para saber mais sobre o diretório base, consulte Diretório base.
Selecione o botão Adicionar para adicionar o utilizador local.

Se ativaste a autenticação por palavra-passe, a palavra-passe gerada pelo Azure aparece numa caixa de diálogo após a adição do utilizador local.

Importante

Não é possível recuperar esta palavra-passe mais tarde, por isso certifique-se de que copia a palavra-passe e, em seguida, armazena-a num local onde a possa encontrar.

Se optar por gerar um novo par de chaves, é solicitado a descarregar a chave privada desse par depois de o utilizador local ser adicionado.

Observação

Os usuários locais têm uma sharedKey propriedade que é usada apenas para autenticação SMB.

Decida quais contêineres você deseja disponibilizar para o usuário local e os tipos de operações que você deseja permitir que esse usuário local execute. Crie um objeto de âmbito de permissões com o comando New-AzStorageLocalUserPermissionScope e defina o parâmetro -Permission desse comando como uma ou mais letras que correspondam aos níveis de permissão de acesso. Os valores possíveis são Ler (r), Escrever (w), Apagar (d), Listar (l), Criar (c), Modificar Propriedade (o), Modificar Permissões (p).

O exemplo seguinte cria um objeto de escopo de permissão que dá permissão de leitura e escrita ao mycontainer contentor.
```
$permissionScope = New-AzStorageLocalUserPermissionScope -Permission rw -Service blob -ResourceName mycontainer 
```
Importante

O utilizador local deve ter pelo menos uma permissão de contentor para o contentor ao qual está a ligar-se, caso contrário a tentativa de ligação falha.
Atualize o usuário local usando o comando Set-AzStorageLocalUser . Defina o -PermissionScope parâmetro para o objeto de escopo de permissão que você criou anteriormente.

O exemplo a seguir atualiza um usuário local com permissões de contêiner e, em seguida, imprime os escopos de permissão no console.
```
$UserName = "mylocalusername"
$localuser = Set-AzStorageLocalUser -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName -HomeDirectory "mycontainer" -PermissionScope $permissionScope

$localuser
$localuser.PermissionScopes | ft
```

Para atualizar um usuário local com permissão para um contêiner, use o comando az storage account local-user update e defina o permission-scope parâmetro desse comando para uma ou mais letras que correspondam aos níveis de permissão de acesso. Os valores possíveis são Ler (r), Escrever (w), Apagar (d), Listar (l), Criar (c), Modificar Propriedade (o), Modificar Permissões (p).

O exemplo seguinte concede ao nome de utilizador local contosouser acesso de leitura e escrita ao contentor denominado contosocontainer.

az storage account local-user update --account-name contosoaccount -g contoso-resource-group -n contosouser --home-directory contosocontainer --permission-scope permissions=rw service=blob resource-name=contosocontainer

Próximos passos

Conecte-se ao Armazenamento de Blobs do Azure usando um cliente SFTP. Consulte Conectar a partir de um cliente SFTP.

Comentários

Esta página foi útil?

Last updated on 2026-06-03