通过使用 SSH 文件传输协议 (SFTP) 来连接到 Azure Blob 存储
可以使用 SFTP 客户端安全连接到 Azure 存储帐户的 Blob 存储终结点,然后上传和下载文件。 本文介绍如何启用 SFTP,然后使用 SFTP 客户端连接到 Blob 存储。
若要详细了解 Azure Blob 存储中的 SFTP 支持,请参阅 Azure Blob 存储中的 SSH 文件传输协议 (SFTP)。
先决条件
启用 SFTP 支持
本部分演示如何为现有存储帐户启用 SFTP 支持。 若要查看在创建帐户时启用 SFTP 支持的 Azure 资源管理器模板,请参阅在 Azure 上使用 SFTP 协议创建可访问的 Azure 存储帐户和 Blob 容器。 若要查看本地用户 REST API 和 .NET 引用,请参阅本地用户和 LocalUser 类。
在 Azure 门户中导航到存储帐户。
在“设置”下,选择“SFTP” 。
选择“启用 SFTP”。
注意
如果 SFTP 配置页中未显示任何本地用户,需要添加至少一个本地用户。 若要添加本地用户,请参阅下一部分。
若要启用 SFTP 支持,请调用 Set-AzStorageAccount 命令,将 -EnableSftp 参数设置为 true。 请务必将尖括号中的值替换为你自己的值:
$resourceGroupName = "<resource-group>"
$storageAccountName = "<storage-account>"
Set-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName -EnableSftp $true
若要启用 SFTP 支持,请调用 az storage account update 命令,将 --enable-sftp 参数设置为 true。 请务必将尖括号中的值替换为你自己的值:
az storage account update -g <resource-group> -n <storage-account> --enable-sftp=true
禁用 SFTP 支持
本部分演示如何为现有存储帐户禁用 SFTP 支持。 由于 SFTP 支持会产生每小时成本,因此,当客户端未主动使用 SFTP 传输数据时,请考虑禁用 SFTP 支持。
在 Azure 门户中导航到存储帐户。
在“设置”下,选择“SFTP” 。
选择“禁用 SFTP”。
若要禁用 SFTP 支持,请调用 Set-AzStorageAccount 命令,并将 -EnableSftp 参数设置为 false。 请务必将尖括号中的值替换为你自己的值:
$resourceGroupName = "<resource-group>"
$storageAccountName = "<storage-account>"
Set-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName -EnableSftp $false
若要禁用 SFTP 支持,请调用 az storage account update 命令,将 --enable-sftp 参数设置为 false。 请务必将尖括号中的值替换为你自己的值:
az storage account update -g <resource-group> -n <storage-account> --enable-sftp=false
Azure 存储不支持使用共享访问签名 (SAS) 或 Microsoft Entra 身份验证来访问 SFTP 终结点。 必须改用称作“本地用户”的标识,可以使用 Azure 生成的密码或安全外壳 (SSH) 密钥对来保护该标识。 若要向连接客户端授予访问权限,存储帐户必须具有与该密码或密钥对关联的标识。 该标识称为本地用户。
本部分介绍如何创建本地用户,选择身份验证方法,以及为该本地用户分配权限。
若要详细了解 SFTP 权限模型,请参阅 SFTP 权限模型。
在 Azure 门户中导航到存储帐户。
在“设置”下,依次选择“SFTP”、“添加本地用户” 。
在“添加本地用户”配置窗格中添加用户名,然后选择要与此本地用户关联的身份验证方法。 可以关联密码和/或 SSH 密钥。
重要
虽然可以启用这两种身份验证形式,但 SFTP 客户端只能使用其中的一种形式进行连接。 不支持多重身份验证 - 这种方法需要有效的密码和有效的公钥/私钥对才能成功完成身份验证。
如果选择“SSH 密码”,则在完成“添加本地用户”配置窗格中的所有步骤后,密码就会显示。 SSH 密码由 Azure 生成,长度至少为 32 个字符。
如果选择“SSH 密钥对”,请选择“公钥源”以指定密钥源。
下表描述了每个密钥源选项:
| 选项 |
指南 |
| 生成新的密钥对 |
使用此选项可以创建新的公钥/私钥对。 公钥以你提供的密钥名称存储在 Azure 中。 成功添加本地用户后,可以下载私钥。 |
| 使用 Azure 中存储的现有密钥 |
若要使用已存储在 Azure 中的公钥,请使用此选项。 当 SFTP 客户端连接到 Azure Blob 存储时,这些客户端需要提供与此公钥关联的私钥。 |
| 使用现有公钥 |
若要上传存储在 Azure 外部的公钥,请使用此选项。 如果你没有公钥,但想要在 Azure 外部生成一个公钥,请参阅使用 ssh-keygen 生成密钥。 |
注意
现有公钥选项目前仅支持 OpenSSH 格式的公钥。 提供的密钥必须遵循以下格式:<key type> <key data>。 例如,RSA 密钥类似于:ssh-rsa AAAAB3N...。 如果密钥采用另一种格式,则可以使用 ssh-keygen 等工具将其转换为 OpenSSH 格式。
选择“下一步”打开配置窗格的“容器权限”选项卡 。
在“容器权限”选项卡中,选择要提供给此本地用户使用的容器。 然后,选择要允许此本地用户执行的操作类型。
重要
本地用户必须对要连接到的容器拥有至少一个容器权限,否则连接尝试将失败。
在“主目录”编辑框中,键入容器的名称,或者用作与此本地用户关联的默认位置的目录路径(包括容器名称)。
若要详细了解主目录,请参阅主目录。
选择“添加”按钮以添加本地用户。
如果启用了密码身份验证,则在添加本地用户后,Azure 生成的密码将显示在对话框中。
重要
以后不再可以检索到此密码,因此请务必复制该密码,并将其存储在可以找到的位置。
如果选择生成新的密钥对,则在添加本地用户后,系统会提示你下载该密钥对的私钥。
注意
本地用户具有仅用于 SMB 身份验证的 sharedKey 属性。
确定要向本地用户提供哪些容器,以及希望允许此本地用户执行的操作类型。 使用 New-AzStorageLocalUserPermissionScope 命令并将该命令的 -Permission 参数设置为与访问权限级别对应的一个或多个字母,来创建权限范围对象。 可能的值为 Read(r)、Write (w)、Delete (d)、List (l) 和 Create (c)。
以下示例集创建权限范围对象,该对象为 mycontainer 容器提供读取和写入权限。
$permissionScope = New-AzStorageLocalUserPermissionScope -Permission rw -Service blob -ResourceName mycontainer
重要
本地用户必须对要连接到的容器拥有至少一个容器权限,否则连接尝试将失败。
确定要与此本地用户关联的身份验证方法。 可以关联密码和/或 SSH 密钥。
重要
虽然可以启用这两种身份验证形式,但 SFTP 客户端只能使用其中的一种形式进行连接。 不支持多重身份验证 - 这种方法需要有效的密码和有效的公钥/私钥对才能成功完成身份验证。
如果要使用 SSH 密钥,则需要公钥/私钥对的公钥。 可以使用存储在 Azure 中的现有公钥,或使用 Azure 外部的任何现有公钥。
若要在 Azure 中查找现有密钥,请参阅列出密钥。 当 SFTP 客户端连接到 Azure Blob 存储时,这些客户端需要提供与此公钥关联的私钥。
如果要在 Azure 外部使用公钥,但还没有公钥,请参阅使用 ssh-keygen 生成密钥,了解如何创建密钥。
如果要使用密码对本地用户进行身份验证,可以在创建本地用户后生成一个密码。
若要使用 SSH 密钥,请使用 New-AzStorageLocalUserSshPublicKey 命令创建公钥对象。 将 -Key 参数设置为包含密钥类型和公钥的字符串。 在下面的示例中,密钥类型为 ssh-rsa,密钥为 ssh-rsa a2V5...。
$sshkey = "ssh-rsa a2V5..."
$sshkey = New-AzStorageLocalUserSshPublicKey -Key $sshkey -Description "description for ssh public key"
使用 Set-AzStorageLocalUser 命令创建本地用户。 将 -PermissionScope 参数设置为前面创建的权限范围对象。 如果使用 SSH 密钥,则将 SshAuthorization 参数设置为在上一步中创建的公钥对象。 如果要使用密码对此本地用户进行身份验证,则将 参数 -HasSshPassword 设置为 $true。
以下示例创建一个本地用户,然后将密钥和权限范围输出到控制台。
$UserName = "mylocalusername"
$localuser = Set-AzStorageLocalUser -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName -HomeDirectory "mycontainer" -SshAuthorizedKey $sshkey -PermissionScope $permissionScope -HasSharedKey $true -HasSshKey $true -HasSshPassword $true
$localuser
$localuser.SshAuthorizedKeys | ft
$localuser.PermissionScopes | ft
注意
本地用户还具有仅用于 SMB 身份验证的 sharedKey 属性。
若要使用密码对用户进行身份验证,可以使用 New-AzStorageLocalUserSshPassword 命令创建密码。 将 -UserName 参数设置为用户名。
以下示例为用户生成密码。
$password = New-AzStorageLocalUserSshPassword -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName
$password
重要
以后不再可以检索到此密码,因此请务必复制该密码,并将其存储在可以找到的位置。 如果丢失了密码,则必须生成一个新密码。 请注意,SSH 密码由 Azure 生成,长度至少为 32 个字符。
首先,确定要与此本地用户关联的身份验证方法。 可以关联密码和/或 SSH 密钥。
重要
虽然可以启用这两种身份验证形式,但 SFTP 客户端只能使用其中的一种形式进行连接。 不支持多重身份验证 - 这种方法需要有效的密码和有效的公钥/私钥对才能成功完成身份验证。
如果要使用 SSH 密钥,则需要公钥/私钥对的公钥。 可以使用存储在 Azure 中的现有公钥,或使用 Azure 外部的任何现有公钥。
若要在 Azure 中查找现有密钥,请参阅列出密钥。 当 SFTP 客户端连接到 Azure Blob 存储时,这些客户端需要提供与此公钥关联的私钥。
如果要在 Azure 外部使用公钥,但还没有公钥,请参阅使用 ssh-keygen 生成密钥,了解如何创建密钥。
如果要使用密码对本地用户进行身份验证,可以在创建本地用户后生成一个密码。
使用 az storage account local-user create 命令创建本地用户。 使用此命令的参数指定容器和权限级别。 如果要使用 SSH 密钥,则将 --has-ssh-key 参数设置为包含密钥类型和公钥的字符串。 如果要使用密码对此本地用户进行身份验证,则将 参数 --has-ssh-password 设置为 true。
以下示例为本地用户名 contosouser 提供对名为 contosocontainer 的容器的读取和写入访问权限。 密钥值为 ssh-rsa a2V5... 的 ssh-rsa 密钥用于身份验证。
az storage account local-user create --account-name contosoaccount -g contoso-resource-group -n contosouser --home-directory contosocontainer --permission-scope permissions=rw service=blob resource-name=contosocontainer --ssh-authorized-key key="ssh-rsa a2V5..." --has-ssh-key true --has-ssh-password true
注意
本地用户还具有仅用于 SMB 身份验证的 sharedKey 属性。
若要使用密码对用户进行身份验证,可以使用 az storage account local-user regenerate-password 命令创建密码。 将 -n 参数设置为本地用户名。
以下示例为用户生成密码。
az storage account local-user regenerate-password --account-name contosoaccount -g contoso-resource-group -n contosouser
重要
以后不再可以检索到此密码,因此请务必复制该密码,并将其存储在可以找到的位置。 如果丢失了密码,则必须生成一个新密码。 请注意,SSH 密码由 Azure 生成,长度至少为 32 个字符。
连接 SFTP 客户端
可以使用任何 SFTP 客户端安全进行连接,然后传输文件。 以下屏幕截图显示了一个 Windows PowerShell 会话,该会话使用 Open SSH 和密码身份验证进行连接,然后上传名为 logfile.txt 的文件。
注意
SFTP 用户名为 storage_account_name.username。 在上面的示例中,storage_account_name 为“contoso4”,username 为“contosouser”。对于 SFTP 命令,合并的用户名变为 contoso4.contosouser。
注意
系统可能会提示你信任主机密钥。 有效主机密钥在此处发布。
传输完成后,可以在 Azure 门户中查看和管理该文件。
注意
Azure 门户使用 Blob REST API 和 Data Lake Storage Gen2 REST API。 能够在 Azure 门户中与上传的文件进行交互体现了 SFTP 和 REST 之间的互操作性。
有关如何进行连接和传输文件的指导,请参阅 SFTP 客户端的文档。
使用自定义域进行连接
使用自定义域时,连接字符串为 myaccount.myuser@customdomain.com。 如果尚未为用户指定主目录,则它是 myaccount.mycontainer.myuser@customdomain.com。
重要
确保 DNS 提供程序不代理请求。 代理可能会导致连接尝试超时。
使用专用终结点进行连接
使用专用终结点时,连接字符串为 myaccount.myuser@myaccount.privatelink.blob.core.chinacloudapi.cn。 如果尚未为用户指定主目录,则它是 myaccount.mycontainer.myuser@myaccount.privatelink.blob.core.chinacloudapi.cn。
注意
确保将网络配置更改为“从所选虚拟网络和 IP 地址启用”并选择专用终结点,否则仍可公开访问常规 SFTP 终结点。
网络注意事项
SFTP 是平台级服务,因此即使帐户选项已禁用,端口 22 也会打开。 如果未配置 SFTP 访问,则所有请求都将与服务断开连接。 使用 SFTP 时,可能需要通过配置防火墙、虚拟网络或专用终结点来限制公共访问。 这些设置在应用程序层强制执行,这意味着它们不特定于 SFTP,并且会影响与所有 Azure 存储终结点的连接。 有关防火墙和网络配置的详细信息,请参阅配置 Azure 存储防火墙和虚拟网络。
另请参阅
