Autoriser l'accès à Azure Blob Storage pour un client SSH File Transfer Protocol (SFTP)

Cet article explique comment autoriser l’accès aux clients SFTP afin que vous puissiez vous connecter en toute sécurité au point de terminaison Stockage Blob de votre compte stockage Azure à l’aide d’un client SFTP.

Pour en savoir plus sur la prise en charge du protocole SFTP SSH dans Stockage Blob Azure, consultez Protocole SSH SFTP (File Transfer Protocol) dans Stockage Blob Azure.

Prérequis

• Activez la prise en charge de SFTP pour stockage Blob Azure. Consultez Activer ou désactiver la prise en charge SFTP.

Créer un utilisateur local

Stockage Azure ne prend pas en charge la signature d’accès partagé (SAS) ni l’authentification Microsoft Entra pour accéder au point de terminaison SFTP. Au lieu de cela, vous devez utiliser une identité appelée « utilisateur local » qui peut être sécurisée à l’aide d’un mot de passe généré par Azure ou d’une paire de clés Secure Shell (SSH). Pour accorder l’accès à un client de connexion, le compte de stockage doit avoir une identité associée au mot de passe ou à la paire de clés. Cette identité est appelée utilisateur local.

Dans cette section, vous allez apprendre à créer un utilisateur local, à choisir une méthode d’authentification et à attribuer des autorisations pour cet utilisateur local.

Pour en savoir plus sur le modèle d’autorisations SFTP, consultez la section Modèle d’autorisations SFTP.

Conseil

Cette section vous montre comment configurer des utilisateurs locaux pour un compte de stockage existant. Pour afficher un modèle Azure Resource Manager qui configure un utilisateur local dans le cadre de la création d’un compte, consultez Créer un compte stockage Azure et un conteneur d’objets blob accessible à l’aide du protocole SFTP sur Azure.

Choisir une méthode d’authentification

Vous pouvez authentifier les utilisateurs locaux qui se connectent à partir de clients SFTP à l’aide d’un mot de passe ou d’une paire de clés publique-privée SSH (Secure Shell).

Important

Bien que vous puissiez activer les deux formes d’authentification, les clients SFTP peuvent se connecter en utilisant une seule d’entre elles. L’authentification multifacteur, qui requiert à la fois un mot de passe valide et une paire de clés publique et privée valide pour une authentification réussie, n’est pas prise en charge.

Portail

1. Dans le Portail Azure, accédez à votre compte de stockage.

2. Sous Paramètres, sélectionnez SFTP, puis Ajouter un utilisateur local.

   

3. Dans le volet de configuration Ajouter un utilisateur local, ajoutez le nom d’un utilisateur, puis sélectionnez les méthodes d’authentification que vous souhaitez associer à cet utilisateur local. Vous pouvez associer un mot de passe ou une clé SSH.

   Si vous sélectionnez mot de passe SSH, votre mot de passe s’affiche lorsque vous effectuez toutes les étapes décrites dans le volet Ajouter un utilisateur local volet de configuration. Les mots de passe SSH sont générés par Azure et sont de 32 caractères minimum.

   Si vous sélectionnez Paire de clés SSH, sélectionnez Source de clé publique pour spécifier une source de clé.

   

   Le tableau suivant décrit chaque option de source de clé :

   Option	Guidance
   Générer une nouvelle paire de clés	Utilisez cette option pour créer une paire de clés publique-privée. La clé publique est stockée dans Azure avec le nom de clé que vous avez fourni. La clé privée peut être téléchargée une fois que l’utilisateur local a été ajouté.
   Utiliser la clé existante stockée dans Azure	Utilisez cette option si vous souhaitez utiliser une clé publique déjà stockée dans Azure. Pour rechercher les clés existantes dans Azure, consultez Répertorier les clés. Lorsque les clients SFTP se connectent à Stockage Blob Azure, ces clients doivent fournir la clé privée associée à cette clé publique.
   Utiliser la clé publique existante	Utilisez cette option si vous souhaitez charger une clé publique qui est stockée en dehors d’Azure. Si vous n’avez pas de clé publique, mais que vous souhaitez en générer une en dehors d’Azure, consultez Générer des clés avec ssh-keygen.

4. Sélectionnez Suivant pour ouvrir l'onglet Autorisations du volet de configuration.

PowerShell

Cette section vous montre comment vous authentifier à l’aide d’une clé SSH ou d’un mot de passe.

S’authentifier à l’aide d’une clé SSH (PowerShell)

1. Choisissez le type de clé publique que vous souhaitez utiliser.

   • Utiliser la clé existante stockée dans Azure

     Utilisez cette option si vous souhaitez utiliser une clé publique déjà stockée dans Azure. Pour rechercher les clés existantes dans Azure, consultez Répertorier les clés. Lorsque les clients SFTP se connectent à Stockage Blob Azure, ces clients doivent fournir la clé privée associée à cette clé publique.

   • Utilisez une clé publique existante stockée en dehors d’Azure.

     Si vous n’avez pas encore de clé publique, consultez Générer des clés avec ssh-keygen pour obtenir des conseils sur la création d’une clé. Seules les clés publiques mises en forme OpenSSH sont prises en charge. La clé que vous fournissez doit utiliser ce format : <key type> <key data>. Par exemple, les clés RSA ressemblent à ceci : ssh-rsa AAAAB3N.... Si votre clé est dans un autre format, un outil tel que ssh-keygen peut être utilisé pour le convertir au format OpenSSH.

2. Créez un objet de clé publique à l’aide de la commande New-AzStorageLocalUserSshPublicKey . Définissez le paramètre -Key sur une chaîne contenant le type de clé et la clé publique. Dans l’exemple suivant, le type de clé est ssh-rsa et la clé est ssh-rsa a2V5....

   $sshkey = "ssh-rsa a2V5..."
   $sshkey = New-AzStorageLocalUserSshPublicKey -Key $sshkey -Description "description for ssh public key"
   

3. Créez un utilisateur local avec la commande Set-AzStorageLocalUser. Si vous utilisez une clé SSH, définissez le paramètre SshAuthorizedKey sur l’objet de clé publique que vous avez créé à l’étape précédente.

   L’exemple suivant crée un utilisateur local, puis imprime la clé dans la console.

   $UserName = "mylocalusername"
   $localuser = Set-AzStorageLocalUser -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName -SshAuthorizedKey $sshkey -HasSharedKey $true -HasSshKey $true
   
   $localuser
   $localuser.SshAuthorizedKeys | ft
   

   Remarque

   Les utilisateurs locaux ont également une propriété sharedKey qui est utilisée uniquement pour l’authentification SMB.

S’authentifier à l’aide d’un mot de passe (PowerShell)

1. Créez un utilisateur local à l’aide de la commande Set-AzStorageLocalUser et définissez le paramètre -HasSshPassword sur $true.

   L’exemple suivant crée un utilisateur local qui utilise l’authentification par mot de passe.

   $UserName = "mylocalusername"
   $localuser = Set-AzStorageLocalUser -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName -HasSshPassword $true
   

2. Vous pouvez créer un mot de passe à l’aide de la commande New-AzStorageLocalUserSshPassword. Définissez le paramètre -UserName sur le nom d’utilisateur.

   L’exemple suivant génère un mot de passe pour l’utilisateur.

   $password = New-AzStorageLocalUserSshPassword -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName
   $password 
   

   Important

   Vous ne pouvez pas récupérer ce mot de passe ultérieurement. Veillez donc à le copier, puis à le stocker dans un endroit où vous pouvez le retrouver. Si vous perdez ce mot de passe, vous devrez en générer un nouveau. Notez que les mots de passe SSH sont générés par Azure et qu’ils sont de 32 caractères minimum.

Azure CLI

Cette section vous montre comment vous authentifier à l’aide d’une clé SSH ou d’un mot de passe.

S’authentifier à l’aide d’une clé SSH (Azure CLI)

1. Choisissez le type de clé publique que vous souhaitez utiliser.

   • Utiliser la clé existante stockée dans Azure

     Utilisez cette option si vous souhaitez utiliser une clé publique déjà stockée dans Azure. Pour rechercher les clés existantes dans Azure, consultez Répertorier les clés. Lorsque les clients SFTP se connectent à Stockage Blob Azure, ces clients doivent fournir la clé privée associée à cette clé publique.

   • Utilisez une clé publique existante stockée en dehors d’Azure.

     Si vous n’avez pas encore de clé publique, consultez Générer des clés avec ssh-keygen pour obtenir des conseils sur la création d’une clé. Seules les clés publiques mises en forme OpenSSH sont prises en charge. La clé que vous fournissez doit utiliser ce format : <key type> <key data>. Par exemple, les clés RSA ressemblent à ceci : ssh-rsa AAAAB3N.... Si votre clé est dans un autre format, un outil tel que ssh-keygen peut être utilisé pour le convertir au format OpenSSH.

2. Pour créer un utilisateur local authentifié à l’aide d’une clé SSH, utilisez l' az storage account local-user create command, puis définissez le paramètre --has-ssh-key sur une chaîne qui contient le type de clé et la clé publique.

   L’exemple suivant crée un utilisateur local nommé contosouseret utilise une clé ssh-rsa avec une valeur de clé de ssh-rsa a2V5... pour l’authentification.

   az storage account local-user create --account-name contosoaccount -g contoso-resource-group -n contosouser --ssh-authorized-key key="ssh-rsa a2V5..." --has-ssh-key true --has-ssh-password true
   

   Remarque

   Les utilisateurs locaux ont également une propriété sharedKey qui est utilisée uniquement pour l’authentification SMB.

S’authentifier à l’aide d’un mot de passe (Azure CLI)

1. Pour créer un utilisateur local authentifié à l’aide d’un mot de passe, utilisez l' az storage account local-user create command, puis définissez le paramètre --has-ssh-password sur true.

   L’exemple suivant crée un utilisateur local nommé contosouseret définit le paramètre --has-ssh-password sur true.

   az storage account local-user create --account-name contosoaccount -g contoso-resource-group -n contosouser --has-ssh-password true
   

2. Créez un mot de passe à l’aide de la commande az storage account local-user regenerate-password. Définissez le paramètre -n sur le nom d’utilisateur local.

   L’exemple suivant génère un mot de passe pour l’utilisateur.

   az storage account local-user regenerate-password --account-name contosoaccount -g contoso-resource-group -n contosouser  
   

   Important

   Vous ne pouvez pas récupérer ce mot de passe ultérieurement. Veillez donc à le copier, puis à le stocker dans un endroit où vous pouvez le retrouver. Si vous perdez ce mot de passe, vous devrez en générer un nouveau. Notez que les mots de passe SSH sont générés par Azure et qu’ils sont de 32 caractères minimum.

Accorder l’autorisation aux conteneurs

Choisissez les conteneurs auxquels vous souhaitez accorder l’accès et le niveau d’accès que vous souhaitez fournir. Ces autorisations s’appliquent à tous les répertoires et sous-répertoires du conteneur. Pour en savoir plus sur chaque autorisation de conteneur, consultez autorisations de conteneur.

Si vous souhaitez autoriser l’accès au niveau du fichier et du répertoire, vous pouvez activer l’autorisation ACL. Cette fonctionnalité est en préversion et peut être activée uniquement à l’aide du Portail Microsoft Azure.

Portail

1. Sous l’onglet Autorisations, sélectionnez les conteneurs que vous souhaitez mettre à la disposition de cet utilisateur local. Ensuite, sélectionnez les types d’opérations que vous voulez permettre à cet utilisateur local d’effectuer.

   

   Important

   L’utilisateur local doit disposer d’au moins une autorisation de conteneur ou d’autorisation ACL sur le répertoire de base de ce conteneur. Sinon, une tentative de connexion à ce conteneur échoue.

2. Si vous souhaitez autoriser l’accès à l’aide des listes de contrôle d’accès associées aux fichiers et répertoires de ce conteneur, cochez la case Autoriser l’autorisation ACL. Pour en savoir plus sur l’utilisation d’ACLS pour autoriser les clients SFTP, consultez ACL.

   Vous pouvez également ajouter cet utilisateur local à un groupe en affectant cet utilisateur à un ID de groupe. Cet ID peut être n’importe quel nombre ou schéma de nombre souhaité. Le regroupement d’utilisateurs vous permet d’ajouter et de supprimer des utilisateurs sans avoir à réappliquer des listes de contrôle d’accès à une structure de répertoires entière. Au lieu de cela, vous pouvez simplement ajouter ou supprimer des utilisateurs du groupe.

   

   Remarque

   Un ID d’utilisateur pour l’utilisateur local est généré automatiquement. Vous ne pouvez pas modifier cet ID, mais vous pouvez voir l’ID après avoir créé l’utilisateur local en rouvertant cet utilisateur dans le volet Modifier l’utilisateur local.

3. Dans la zone d'édition Répertoire personnel, saisissez le nom du conteneur ou le chemin du répertoire (y compris le nom du conteneur) qui sera l'emplacement par défaut associé à cet utilisateur local (Par exemple : mycontainer/mydirectory).

   Pour en savoir plus sur le répertoire de base, consultez Répertoire de base.

4. Sélectionnez le bouton Ajouter pour ajouter l’utilisateur local.

   Si vous avez activé l’authentification par mot de passe, le mot de passe généré par Azure s’affiche dans une boîte de dialogue une fois que l’utilisateur local a été ajouté.

   Important

   Vous ne pouvez pas récupérer ce mot de passe ultérieurement. Veillez donc à le copier, puis à le stocker dans un endroit où vous pouvez le retrouver.

   Si vous avez choisi de générer une nouvelle paire de clés, vous êtes invité à télécharger la clé privée de cette paire de clés une fois que l’utilisateur local a été ajouté.

   Notes

   Les utilisateurs locaux ont une propriété sharedKey qui est utilisée uniquement pour l’authentification SMB.

PowerShell

1. Déterminez les conteneurs que vous voulez mettre à la disposition de l’utilisateur local et les types d’opérations que vous voulez lui permettre d’effectuer. Créez un objet d’étendue d’autorisation avec la commande New-AzStorageLocalUserPermissionScope et en définissant le paramètre -Permission de cette commande sur une ou plusieurs lettres correspondant aux niveaux d’autorisation d’accès. Les valeurs possibles sont Read(r), Write (w), Delete (d), List (l), Create (c), Modify Ownership(o), Modify Permissions(p).

   L’exemple de jeu suivant crée un objet d’étendue d’autorisation qui autorise les opérations de lecture et d’écriture sur le conteneur mycontainer.

   $permissionScope = New-AzStorageLocalUserPermissionScope -Permission rw -Service blob -ResourceName mycontainer 
   

   Important

   L’utilisateur local doit disposer d’au moins une autorisation de conteneur pour le conteneur auquel il se connecte, sinon la tentative de connexion échouera.

2. Mettez à jour l’utilisateur local à l’aide de la commande Set-AzStorageLocalUser. Définissez le paramètre -PermissionScope sur l’objet d’étendue d’autorisation que vous avez créé.

   L’exemple suivant met à jour un utilisateur local avec des autorisations de conteneur, puis imprime les étendues d’autorisation dans la console.

   $UserName = "mylocalusername"
   $localuser = Set-AzStorageLocalUser -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName -HomeDirectory "mycontainer" -PermissionScope $permissionScope
   
   $localuser
   $localuser.PermissionScopes | ft
   

Azure CLI

Pour mettre à jour un utilisateur local avec l’autorisation d’un conteneur, utilisez la az storage account local-user update commande, puis définissez le paramètre permission-scope de cette commande sur une ou plusieurs lettres correspondant aux niveaux d’autorisation d’accès. Les valeurs possibles sont Read(r), Write (w), Delete (d), List (l), Create (c), Modify Ownership(o), Modify Permissions(p).

L’exemple suivant donne à un nom d’utilisateur local contosouser un accès en lecture et en écriture à un conteneur nommé contosocontainer.

az storage account local-user update --account-name contosoaccount -g contoso-resource-group -n contosouser --home-directory contosocontainer --permission-scope permissions=rw service=blob resource-name=contosocontainer

Étapes suivantes

• Connectez-vous au Stockage Blob Azure à l’aide d’un client SFTP. Consultez Se connecter à partir d’un client SFTP.

Contenu connexe

• Prise en charge du protocole SFTP SSH pour Stockage Blob Azure
• Activer ou désactiver la prise en charge du protocole SFTP (SSH File Transfer Protocol) dans le stockage Blob Azure
• Autoriser l'accès à Azure Blob Storage à partir d'un client SSH File Transfer Protocol (SFTP)
• Limitations et problèmes connus avec la prise en charge du protocole SSH SFTP (Secure File Transfer Protocol) dans le service Stockage Blob Azure
• Clés d’hôte pour la prise en charge du protocole SSH SFTP (Secure File Transfer Protocol) pour le Stockage Blob Azure
• Considérations relatives aux performances du protocole SFTP (SSH File Transfer Protocol) dans le Stockage Blob Azure