Autorizzare l'accesso a Archiviazione BLOB di Azure per un client SFTP (SSH File Transfer Protocol)

Questo articolo illustra come autorizzare l'accesso ai client SFTP in modo che sia possibile connettersi in modo sicuro all'endpoint di archiviazione BLOB dell'account Archiviazione di Azure usando un client SFTP.

Per altre informazioni sul supporto SFTP per Archiviazione BLOB di Azure, vedere SSH File Transfer Protocol (SFTP) in Archiviazione BLOB di Azure.

Prerequisiti

Abilitare il supporto SFTP per Archiviazione BLOB di Azure. Vedere Abilitare o disabilitare il supporto SFTP.

Creare un utente locale

Archiviazione di Azure non supporta la firma di accesso condiviso per l'accesso all'endpoint SFTP. È invece necessario usare un'identità utente locale o un'identità Microsoft Entra ID. Gli utenti locali possono essere protetti con una password generata Azure o una coppia di chiavi SSH (Secure Shell). Per concedere l'accesso a un client di connessione, l'account di archiviazione deve avere un'identità associata alla password o alla coppia di chiavi. Tale identità viene chiamata utente locale. Per informazioni sull'uso di Microsoft Entra ID, vedere Autorizzare l'accesso SFTP ai BLOB tramite Microsoft Entra ID.

In questa sezione viene illustrato come creare un utente locale, scegliere un metodo di autenticazione e assegnare le autorizzazioni per l'utente locale.

Per altre informazioni sul modello di autorizzazioni SFTP, vedere Modello di autorizzazioni SFTP.

Suggerimento

Questa sezione illustra come configurare gli utenti locali per un account di archiviazione esistente. Per visualizzare un modello di Azure Resource Manager che configura un utente locale come parte della creazione di un account, vedere Creare un account di archiviazione di Azure e un contenitore BLOB accessibile usando il protocollo SFTP in Azure.

Scegliere un metodo di autenticazione

È possibile autenticare gli utenti locali che si connettono dai client SFTP usando una password o una coppia di chiavi pubblica-privata Secure Shell (SSH).

Importante

Sebbene sia possibile abilitare entrambe le forme di autenticazione, i client SFTP possono connettersi usando solo una di esse. L'autenticazione a più fattori, in cui sia una password valida che una coppia di chiavi pubblica e privata valida sono necessarie per l'autenticazione corretta, non è supportata.

Nel portale di Azure passare all'account di archiviazione.
In Impostazioni selezionare SFTP, quindi selezionare Aggiungi utente locale.

Nel riquadro Aggiungi configurazione utente locale immettere il nome di un utente e quindi selezionare i metodi di autenticazione da associare all'utente locale. È possibile associare una password e/o una chiave SSH.

Se si seleziona Password SSH, la password viene visualizzata quando si completano tutti i passaggi nel riquadro Aggiungi configurazione utente locale . Azure genera password SSH e hanno una lunghezza di almeno 32 caratteri.

Se si seleziona Coppia di chiavi SSH, selezionare Origine chiave pubblica per specificare un'origine chiave.

Schermata del riquadro di configurazione dell’utente locale.

La tabella seguente descrive ogni opzione dell'origine della chiave:

Opzione	Linee guida
Generare una nuova coppia di chiavi	Usare questa opzione per creare una nuova coppia di chiavi pubblica/privata. La chiave pubblica viene archiviata in Azure con il nome della chiave specificato. È possibile scaricare la chiave privata dopo aver aggiunto l'utente locale.
Usa la chiave esistente archiviata in Azure	Usare questa opzione se si vuole usare una chiave pubblica già archiviata in Azure. Per trovare le chiavi esistenti in Azure, vedere Elencare le chiavi. Quando i client SFTP si connettono ad Archiviazione BLOB di Azure, questi client devono fornire la chiave privata associata a questa chiave pubblica.
Usa chiave pubblica esistente	Usare questa opzione se si vuole caricare una chiave pubblica archiviata all'esterno di Azure. Se non si ha una chiave pubblica, ma si vuole generare una chiave esterna a Azure, vedere Generate keys with ssh-keygen.

Importante

Sono supportate solo le chiavi pubbliche in formato OpenSSH. La chiave specificata deve usare questo formato: <key type> <key data>. Ad esempio, le chiavi RSA hanno un aspetto simile al seguente: ssh-rsa AAAAB3N.... Se la chiave è in un altro formato, usare uno strumento come ssh-keygen per convertirlo in formato OpenSSH.

Selezionare Avanti per aprire la scheda Autorizzazioni del riquadro di configurazione.

Questa sezione illustra come eseguire l'autenticazione usando una chiave SSH o una password.

Eseguire l'autenticazione con una chiave SSH (PowerShell)

Scegliere il tipo di chiave pubblica da usare.
- Usa la chiave esistente archiviata in Azure
  
  Usare questa opzione se si vuole usare una chiave pubblica già archiviata in Azure. Per trovare le chiavi esistenti in Azure, vedere Elencare le chiavi. Quando i client SFTP si connettono ad Archiviazione BLOB di Azure, questi client devono fornire la chiave privata associata a questa chiave pubblica.
- Usare la chiave pubblica esistente archiviata all'esterno di Azure.
  
  Se non si ha ancora una chiave pubblica, vedere Generare chiavi con ssh-keygen per indicazioni su come crearne uno. Sono supportate solo le chiavi pubbliche in formato OpenSSH. La chiave specificata deve usare questo formato: <key type> <key data>. Ad esempio, le chiavi RSA hanno un aspetto simile al seguente: ssh-rsa AAAAB3N.... Se la chiave è in un altro formato, usare uno strumento come ssh-keygen per convertirlo in formato OpenSSH.
Creare un oggetto chiave pubblica usando il comando New-AzStorageLocalUserSshPublicKey . Impostare il parametro -Key su una stringa contenente il tipo di chiave e la chiave pubblica. Nell'esempio seguente il tipo di chiave è ssh-rsa e la chiave è ssh-rsa a2V5....
```
$sshkey = "ssh-rsa a2V5..."
$sshkey = New-AzStorageLocalUserSshPublicKey -Key $sshkey -Description "description for ssh public key"
```
Creare un utente locale usando il comando Set-AzStorageLocalUser. Se si usa una chiave SSH, impostare il SshAuthorizedKey parametro sull'oggetto chiave pubblica creato nel passaggio precedente.

L'esempio seguente crea un utente locale e quindi stampa la chiave nella console.
```
$UserName = "mylocalusername"
$localuser = Set-AzStorageLocalUser -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName -SshAuthorizedKey $sshkey -HasSharedKey $true -HasSshKey $true

$localuser
$localuser.SshAuthorizedKeys | ft
```
Nota

Gli utenti locali hanno anche una proprietà sharedKey usata solo per l'autenticazione SMB.

Eseguire l'autenticazione usando una password (PowerShell)

Creare un utente locale usando il comando Set-AzStorageLocalUser e impostare il -HasSshPassword parametro su $true.

Nell'esempio seguente viene creato un utente locale che usa l'autenticazione della password.
```
$UserName = "mylocalusername"
$localuser = Set-AzStorageLocalUser -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName -HasSshPassword $true
```
Creare una password usando il comando New-AzStorageLocalUserSshPassword . Impostare il parametro -UserName sul nome utente.

Nell'esempio seguente viene generata una password per l'utente.
```
$password = New-AzStorageLocalUserSshPassword -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName
$password 
```
Importante

Non sarà possibile recuperare questa password in un secondo momento, quindi assicurarsi di copiarla e archiviarla in una posizione in cui sia possibile trovarla. Se si perde questa password, sarà necessario generarne una nuova. Azure genera password SSH e hanno una lunghezza di almeno 32 caratteri.

Questa sezione illustra come eseguire l'autenticazione usando una chiave SSH o una password.

Eseguire l'autenticazione con una chiave SSH (interfaccia della riga di comando di Azure)

Scegliere il tipo di chiave pubblica da usare.
- Usa la chiave esistente archiviata in Azure
  
  Usare questa opzione se si vuole usare una chiave pubblica già archiviata in Azure. Per trovare le chiavi esistenti in Azure, vedere Elencare le chiavi. Quando i client SFTP si connettono ad Archiviazione BLOB di Azure, questi client devono fornire la chiave privata associata a questa chiave pubblica.
- Usare la chiave pubblica esistente archiviata all'esterno di Azure.
  
  Se non si ha ancora una chiave pubblica, vedere Generare chiavi con ssh-keygen per indicazioni su come crearne uno. Sono supportate solo le chiavi pubbliche in formato OpenSSH. La chiave specificata deve usare questo formato: <key type> <key data>. Ad esempio, le chiavi RSA hanno un aspetto simile al seguente: ssh-rsa AAAAB3N.... Se la chiave è in un altro formato, usare uno strumento come ssh-keygen per convertirlo in formato OpenSSH.
Per creare un utente locale che esegue l'autenticazione usando una chiave SSH, usare il comando az storage account local-user create e impostare il --has-ssh-key parametro su una stringa contenente il tipo di chiave e la chiave pubblica.

Nell'esempio seguente viene creato un utente locale denominato contosousere viene usata una chiave ssh-rsa con un valore di chiave per ssh-rsa a2V5... l'autenticazione.
```
az storage account local-user create --account-name contosoaccount -g contoso-resource-group -n contosouser --ssh-authorized-key key="ssh-rsa a2V5..." --has-ssh-key true --has-ssh-password true
```
Nota

Gli utenti locali hanno anche una proprietà sharedKey usata solo per l'autenticazione SMB.

Eseguire l'autenticazione usando una password (interfaccia della riga di comando di Azure)

Per creare un utente locale che esegue l'autenticazione usando una password, usare il comando az storage account local-user create e impostare il --has-ssh-password parametro su true.

Nell'esempio seguente viene creato un utente locale denominato contosousere viene impostato il --has-ssh-password parametro su true.
```
az storage account local-user create --account-name contosoaccount -g contoso-resource-group -n contosouser --has-ssh-password true
```
Creare una password usando il comando az storage account local-user regenerate-password. Impostare il parametro -n sul nome utente locale.

Nell'esempio seguente viene generata una password per l'utente.
```
az storage account local-user regenerate-password --account-name contosoaccount -g contoso-resource-group -n contosouser  
```
Importante

Non sarà possibile recuperare questa password in un secondo momento, quindi assicurarsi di copiarla e archiviarla in una posizione in cui sia possibile trovarla. Se si perde questa password, sarà necessario generarne una nuova. Azure genera password SSH e hanno una lunghezza di almeno 32 caratteri.

Concedere l'autorizzazione ai contenitori

Scegliere i contenitori a cui si vuole concedere l'accesso e a quale livello di accesso si vuole fornire. Queste autorizzazioni si applicano a tutte le directory e le sottodirectory nel contenitore. Per ulteriori informazioni su ogni autorizzazione del contenitore, vedi Autorizzazioni del contenitore.

Se si vuole autorizzare l'accesso a livello di file e directory, è possibile abilitare l'autorizzazione ACL.

Nella scheda Autorizzazioni selezionare i contenitori che si desidera rendere disponibili all'utente locale. Selezionare quindi i tipi di operazioni che si desidera consentire all'utente locale di eseguire.

Importante

L'utente locale deve disporre di almeno un'autorizzazione per il contenitore o di un'autorizzazione ACL sulla directory home di quel contenitore. In caso contrario, un tentativo di connessione a tale contenitore non riesce.
Per autorizzare l'accesso usando gli elenchi di controllo di accesso (ACL) associati a file e directory in questo contenitore, selezionare la casella di controllo Consenti autorizzazione ACL . Per altre informazioni sull'uso degli elenchi di controllo di accesso per autorizzare i client SFTP, vedere ACL.

È anche possibile aggiungere questo utente locale a un gruppo assegnando tale utente a un ID gruppo. Questo ID può essere qualsiasi numero o schema di numerazione che si desidera. Il raggruppamento degli utenti consente di aggiungere e rimuovere utenti senza la necessità di riapplicare gli elenchi di controllo di accesso a un'intera struttura di directory. È invece possibile aggiungere o rimuovere utenti dal gruppo.

Nota

Viene generato automaticamente un ID utente per l'utente locale. Non è possibile modificare questo ID, ma è possibile visualizzare l'ID dopo aver creato l'utente locale riaprendo tale utente nel riquadro Modifica utente locale.
Nella casella di modifica Home directory digitare il nome del contenitore o il percorso della directory (incluso il nome del contenitore) che rappresenta il percorso predefinito associato all'utente locale, ad esempio mycontainer/mydirectory.

Per altre informazioni sulla home directory, vedere Home directory.
Selezionare il pulsante Aggiungi per aggiungere l'utente locale.

Se è stata abilitata l'autenticazione della password, la Azure password generata viene visualizzata in una finestra di dialogo dopo l'aggiunta dell'utente locale.

Importante

Non sarà possibile recuperare questa password in un secondo momento, quindi assicurarsi di copiarla e archiviarla in una posizione in cui sia possibile trovarla.

Se si sceglie di generare una nuova coppia di chiavi, viene richiesto di scaricare la chiave privata della coppia di chiavi dopo l'aggiunta dell'utente locale.

Nota

Gli utenti locali hanno una proprietà sharedKey usata solo per l'autenticazione SMB.

Decidere quali contenitori rendere disponibili per l'utente locale e i tipi di operazioni che si desidera consentire all'utente locale di eseguire. Creare un oggetto ambito di autorizzazione usando il comando New-AzStorageLocalUserPermissionScope e impostare il -Permission parametro di tale comando su una o più lettere corrispondenti ai livelli di autorizzazione di accesso. I valori possibili sono Lettura (r), Scrittura (w), Eliminazione (d), Elenco (l), Creazione (c), Modifica proprietario (o), Modifica autorizzazioni (p).

Nell'esempio seguente viene creato un oggetto ambito di autorizzazione che concede l'autorizzazione di lettura e scrittura al mycontainer contenitore.
```
$permissionScope = New-AzStorageLocalUserPermissionScope -Permission rw -Service blob -ResourceName mycontainer 
```
Importante

L'utente locale deve disporre almeno di un'autorizzazione contenitore per il contenitore a cui si connette in caso contrario il tentativo di connessione non riesce.
Aggiornare l'utente locale usando il comando Set-AzStorageLocalUser . Impostare il parametro -PermissionScope sull'oggetto ambito di autorizzazione creato in precedenza.

L'esempio seguente aggiorna un utente locale con autorizzazioni contenitore e quindi stampa gli ambiti di autorizzazione nella console.
```
$UserName = "mylocalusername"
$localuser = Set-AzStorageLocalUser -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName -HomeDirectory "mycontainer" -PermissionScope $permissionScope

$localuser
$localuser.PermissionScopes | ft
```

Per aggiornare un utente locale con l'autorizzazione a un contenitore, usare il comando az storage account local-user update e quindi impostare il permission-scope parametro di tale comando su una o più lettere che corrispondono ai livelli di autorizzazione di accesso. I valori possibili sono Lettura (r), Scrittura (w), Eliminazione (d), Elenco (l), Creazione (c), Modifica proprietario (o), Modifica autorizzazioni (p).

Nell'esempio seguente viene concesso a un nome contosouser utente locale l'accesso in lettura e scrittura a un contenitore denominato contosocontainer.

az storage account local-user update --account-name contosoaccount -g contoso-resource-group -n contosouser --home-directory contosocontainer --permission-scope permissions=rw service=blob resource-name=contosocontainer

Passaggi successivi

Connettersi all'archiviazione BLOB di Azure tramite un client SFTP. Consulta Connettersi da un client SFTP.

Commenti e suggerimenti

Questa pagina è stata utile?

Last updated on 2026-06-03