SSH Dosya Aktarım Protokolü (SFTP) kullanarak Azure Blob Depolama Bağlan

SFTP istemcisi kullanarak Azure Depolama hesabının Blob Depolama uç noktasına güvenli bir şekilde bağlanabilir ve ardından dosyaları karşıya yükleyip indirebilirsiniz. Bu makalede SFTP'yi etkinleştirme ve ardından SFTP istemcisi kullanarak Blob Depolama bağlanma adımları gösterilmektedir.

Azure Blob Depolama için SFTP desteği hakkında daha fazla bilgi edinmek için bkz. Azure Blob Depolama'de SSH Dosya Aktarım Protokolü (SFTP).

Ön koşullar

• Standart bir genel amaçlı v2 veya premium blok blob depolama hesabı. Hesabı oluştururken SFTP'yi de etkinleştirebilirsiniz. Bu tür depolama hesapları hakkında daha fazla bilgi için bkz. Depolama hesaba genel bakış.

• Hesabın hiyerarşik ad alanı özelliği etkinleştirilmelidir. Hiyerarşik ad alanı özelliğini etkinleştirmek için bkz. Azure Data Lake Storage 2. Nesil özellikleriyle Azure Blob Depolama yükseltme.

• Şirket içi bir ağdan bağlanıyorsanız, istemcinizin SFTP tarafından kullanılan 22 numaralı bağlantı noktası üzerinden giden iletişime izin verdiğinden emin olun.

SFTP desteğini etkinleştirme

Bu bölümde, mevcut bir depolama hesabı için SFTP desteğini etkinleştirme gösterilmektedir. Hesabı oluşturmanın bir parçası olarak SFTP desteğini etkinleştiren bir Azure Resource Manager şablonunu görüntülemek için bkz. Azure'da SFTP protokolü kullanılarak erişilebilen bir Azure Depolama Hesabı ve Blob Kapsayıcısı oluşturma. Yerel Kullanıcı REST API'lerini ve .NET başvurularını görüntülemek için bkz . Yerel Kullanıcılar ve LocalUser Sınıfı.

Portal

1. Azure portalda depolama hesabınıza gidin.

2. Ayarlar altında SFTP'yi seçin.

   Dekont

   Bu seçenek yalnızca hesabın hiyerarşik ad alanı özelliği etkinleştirildiğinde görüntülenir. Hiyerarşik ad alanı özelliğini etkinleştirmek için bkz. Azure Data Lake Storage 2. Nesil özellikleriyle Azure Blob Depolama yükseltme.

3. SFTP'yi Etkinleştir'i seçin.

   

   Dekont

   SFTP yapılandırma sayfasında hiçbir yerel kullanıcı görünmüyorsa, bunlardan en az birini eklemeniz gerekir. Yerel kullanıcılar eklemek için sonraki bölüme bakın.

PowerShell

SFTP desteğini etkinleştirmek için Set-Az Depolama Account komutunu çağırın ve parametresini -EnableSftp true olarak ayarlayın. Açılı ayraçlardaki değerleri kendi değerlerinizle değiştirmeyi unutmayın:

$resourceGroupName = "<resource-group>"
$storageAccountName = "<storage-account>"

Set-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName -EnableSftp $true 

Azure CLI

SFTP desteğini etkinleştirmek için az storage account update komutunu çağırın ve parametresini --enable-sftp true olarak ayarlayın. Açılı ayraçlardaki değerleri kendi değerlerinizle değiştirmeyi unutmayın:

az storage account update -g <resource-group> -n <storage-account> --enable-sftp=true

SFTP desteğini devre dışı bırakma

Bu bölümde, mevcut bir depolama hesabı için SFTP desteğini nasıl devre dışı bırakabileceğiniz gösterilmektedir. SFTP desteği saatlik maliyet doğurduğundan, istemciler verileri aktarmak için SFTP'yi etkin olarak kullanmadığında SFTP desteğini devre dışı bırakmayı göz önünde bulundurun.

Portal

1. Azure portalda depolama hesabınıza gidin.

2. Ayarlar altında SFTP'yi seçin.

3. SFTP'yi Devre Dışı Bırak'ı seçin.

   

PowerShell

SFTP desteğini devre dışı bırakmak için Set-Az Depolama Account komutunu çağırın ve parametresini -EnableSftp false olarak ayarlayın. Açılı ayraçlardaki değerleri kendi değerlerinizle değiştirmeyi unutmayın:

$resourceGroupName = "<resource-group>"
$storageAccountName = "<storage-account>"

Set-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName -EnableSftp $false 

Azure CLI

SFTP desteğini devre dışı bırakmak için az storage account update komutunu çağırın ve parametresini --enable-sftp false olarak ayarlayın. Açılı ayraçlardaki değerleri kendi değerlerinizle değiştirmeyi unutmayın:

az storage account update -g <resource-group> -n <storage-account> --enable-sftp=false

İzinleri yapılandırma

Azure Depolama, SFTP uç noktasına erişmek için paylaşılan erişim imzasını (SAS) veya Microsoft Entra kimlik doğrulamasını desteklemez. Bunun yerine Azure tarafından oluşturulan bir parolayla veya güvenli kabul (SSH) anahtar çiftiyle güvenliği sağlanabilen, local user adlı bir kimlik kullanmalısınız. Bağlanan istemciye erişim vermek için depolama hesabının parola veya anahtar çiftiyle ilişkilendirilmiş bir kimliği olmalıdır. Bu kimlik yerel kullanıcı olarak adlandırılır.

Bu bölümde, yerel kullanıcı oluşturmayı, bir kimlik doğrulama yöntemi seçmeyi ve bu yerel kullanıcı için izinleri atamayı öğreneceksiniz.

SFTP izin modeli hakkında daha fazla bilgi edinmek için bkz . SFTP İzinleri modeli.

Bahşiş

Bu bölümde, mevcut bir depolama hesabı için yerel kullanıcıları yapılandırma gösterilmektedir. Hesap oluşturmanın bir parçası olarak yerel kullanıcıyı yapılandıran bir Azure Resource Manager şablonunu görüntülemek için bkz. Azure'da SFTP protokolü kullanılarak erişilebilen bir Azure Depolama Hesabı ve Blob Kapsayıcısı oluşturma.

Portal

1. Azure portalda depolama hesabınıza gidin.

2. Ayarlar altında SFTP'yi ve ardından Yerel kullanıcı ekle'yi seçin.

   

3. Yerel kullanıcı yapılandırması ekle bölmesinde, bir kullanıcının adını ekleyin ve ardından bu yerel kullanıcıyla ilişkilendirmek istediğiniz kimlik doğrulama yöntemlerini seçin. Parolayı ve /veya SSH anahtarını ilişkilendirebilirsiniz.

   Önemli

   Her iki kimlik doğrulama türünü de etkinleştirebilirsiniz ancak SFTP istemcileri bunlardan yalnızca birini kullanarak bağlanabilir. Başarılı kimlik doğrulaması için hem geçerli bir parola hem de geçerli bir ortak ve özel anahtar çifti gereken çok faktörlü kimlik doğrulaması desteklenmez.

   SSH Parolası'nı seçerseniz, Yerel kullanıcı yapılandırması ekle bölmesindeki tüm adımları tamamladığınızda parolanız görüntülenir. SSH parolaları Azure tarafından oluşturulur ve en az 32 karakter uzunluğundadır.

   SSH Anahtar çifti'ni seçerseniz, bir anahtar kaynağı belirtmek için Ortak anahtar kaynağı'na tıklayın.

   

   Aşağıdaki tabloda her bir anahtar kaynak seçeneği açıklanmaktadır:

   Seçenek	Rehber
   Yeni anahtar çifti oluşturma	Yeni bir ortak /özel anahtar çifti oluşturmak için bu seçeneği kullanın. Ortak anahtar, sağladığınız anahtar adıyla Azure'da depolanır. Özel anahtar, yerel kullanıcı başarıyla eklendikten sonra indirilebilir.
   Azure'da depolanan mevcut anahtarı kullanma	Azure'da zaten depolanmış bir ortak anahtar kullanmak istiyorsanız bu seçeneği kullanın. Azure'da var olan anahtarları bulmak için bkz . Anahtarları listeleme. SFTP istemcileri Azure Blob Depolama bağlandığında, bu istemcilerin bu ortak anahtarla ilişkili özel anahtarı sağlaması gerekir.
   Mevcut ortak anahtarı kullanma	Azure dışında depolanan bir ortak anahtarı karşıya yüklemek istiyorsanız bu seçeneği kullanın. Ortak anahtarınız yoksa ancak Azure dışında bir anahtar oluşturmak istiyorsanız bkz . Ssh-keygen ile anahtar oluşturma.

   Dekont

   Mevcut ortak anahtar seçeneği şu anda yalnızca OpenSSH biçimli ortak anahtarları destekler. Sağlanan anahtar şu biçimde olmalıdır: <key type> <key data>. Örneğin, RSA anahtarları şuna benzer olacaktır: ssh-rsa AAAAB3N.... Anahtarınız başka bir biçimdeyse, bunu OpenSSH biçimine dönüştürmek için gibi ssh-keygen bir araç kullanılabilir.

4. Yapılandırma bölmesinin Kapsayıcı izinleri sekmesini açmak için İleri'yi seçin.

5. Kapsayıcı izinleri sekmesinde, bu yerel kullanıcının kullanımına açmak istediğiniz kapsayıcıları seçin. Ardından, bu yerel kullanıcının gerçekleştirmesini istediğiniz işlem türlerini seçin.

   

   Önemli

   Yerel kullanıcının bağlanacağı kapsayıcı için en az bir kapsayıcı izni olmalıdır, aksi takdirde bağlantı girişimi başarısız olur.

6. Giriş dizini düzenleme kutusuna kapsayıcının adını veya bu yerel kullanıcıyla ilişkilendirilmiş varsayılan konum olacak dizin yolunu (kapsayıcı adı dahil) yazın.

   Giriş dizini hakkında daha fazla bilgi edinmek için bkz . Giriş dizini.

7. Yerel kullanıcıyı eklemek için Ekle düğmesini seçin.

   Parola kimlik doğrulamasını etkinleştirdiyseniz azure tarafından oluşturulan parola, yerel kullanıcı eklendikten sonra bir iletişim kutusunda görünür.

   Önemli

   Bu parolayı daha sonra alamazsınız, bu nedenle parolayı kopyalamayı ve sonra da bulabileceğiniz bir yerde depolamayı unutmayın.

   Yeni bir anahtar çifti oluşturmayı seçerseniz, yerel kullanıcı eklendikten sonra bu anahtar çiftinin özel anahtarını indirmeniz istenir.

   Dekont

   Yerel kullanıcıların yalnızca SMB kimlik doğrulaması için kullanılan bir sharedKey özelliği vardır.

PowerShell

1. Hangi kapsayıcıları yerel kullanıcının kullanımına açmak istediğinize ve bu yerel kullanıcının gerçekleştirmesini sağlamak istediğiniz işlem türlerine karar verin. New-Az Depolama LocalUserPermissionScope komutunu kullanarak ve bu komutun parametresini erişim izin düzeylerine karşılık gelen bir veya daha fazla harfe ayarlayarak -Permission bir izin kapsamı nesnesi oluşturun. Olası değerler Read(r), Write (w), Delete (d), List (l) ve Create (c) değerleridir.

   Aşağıdaki örnek kümesi, kapsayıcıya mycontainer okuma ve yazma izni veren bir izin kapsamı nesnesi oluşturur.

   $permissionScope = New-AzStorageLocalUserPermissionScope -Permission rw -Service blob -ResourceName mycontainer 
   

   Önemli

   Yerel kullanıcının bağlanacağı kapsayıcı için en az bir kapsayıcı izni olmalıdır, aksi takdirde bağlantı girişimi başarısız olur.

2. Bu yerel kullanıcıyla ilişkilendirmek istediğiniz kimlik doğrulama yöntemlerini belirleyin. Parolayı ve /veya SSH anahtarını ilişkilendirebilirsiniz.

   Önemli

   Her iki kimlik doğrulama türünü de etkinleştirebilirsiniz ancak SFTP istemcileri bunlardan yalnızca birini kullanarak bağlanabilir. Başarılı kimlik doğrulaması için hem geçerli bir parola hem de geçerli bir ortak ve özel anahtar çifti gereken çok faktörlü kimlik doğrulaması desteklenmez.

   SSH anahtarı kullanmak istiyorsanız ortak /özel anahtar çiftinin ortak anahtarını kullanmanız gerekir. Azure'da depolanan mevcut ortak anahtarları kullanabilir veya Azure dışındaki mevcut ortak anahtarları kullanabilirsiniz.

   Azure'da var olan anahtarları bulmak için bkz . Anahtarları listeleme. SFTP istemcileri Azure Blob Depolama bağlandığında, bu istemcilerin bu ortak anahtarla ilişkili özel anahtarı sağlaması gerekir.

   Azure dışında bir ortak anahtar kullanmak istiyorsanız ancak henüz anahtarınız yoksa, nasıl oluşturulacağı konusunda rehberlik için bkz . Ssh-keygen ile anahtar oluşturma.

   Yerel kullanıcının kimliğini doğrulamak için parola kullanmak istiyorsanız, yerel kullanıcı oluşturulduktan sonra bir parola oluşturabilirsiniz.

3. SSH anahtarı kullanmak istiyorsanız New-Az Depolama LocalUserSshPublicKey komutunu kullanarak bir ortak anahtar nesnesi oluşturun. parametresini -Key anahtar türünü ve ortak anahtarı içeren bir dize olarak ayarlayın. Aşağıdaki örnekte anahtar türü, ssh-rsa anahtar ise şeklindedir ssh-rsa a2V5....

   $sshkey = "ssh-rsa a2V5..."
   $sshkey = New-AzStorageLocalUserSshPublicKey -Key $sshkey -Description "description for ssh public key"
   

4. Set-Az Depolama LocalUser komutunu kullanarak yerel kullanıcı oluşturun. parametresini -PermissionScope daha önce oluşturduğunuz izin kapsamı nesnesine ayarlayın. SSH anahtarı kullanıyorsanız parametresini SshAuthorization önceki adımda oluşturduğunuz ortak anahtar nesnesine ayarlayın. Bu yerel kullanıcının kimliğini doğrulamak için parola kullanmak istiyorsanız parametresini -HasSshPassword olarak $trueayarlayın.

   Aşağıdaki örnek yerel bir kullanıcı oluşturur ve ardından anahtarı ve izin kapsamlarını konsola yazdırır.

   $UserName = "mylocalusername"
   $localuser = Set-AzStorageLocalUser -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName -HomeDirectory "mycontainer" -SshAuthorizedKey $sshkey -PermissionScope $permissionScope -HasSharedKey $true -HasSshKey $true -HasSshPassword $true
   
    $localuser
    $localuser.SshAuthorizedKeys | ft
    $localuser.PermissionScopes | ft
   

   Dekont

   Yerel kullanıcıların yalnızca SMB kimlik doğrulaması için kullanılan bir sharedKey özelliği de vardır.

5. Kullanıcının kimliğini doğrulamak için parola kullanmak istiyorsanız, New-Az Depolama LocalUserSshPassword komutunu kullanarak parola oluşturabilirsiniz. parametresini -UserName kullanıcı adına ayarlayın.

   Aşağıdaki örnek, kullanıcı için bir parola oluşturur.

   $password = New-AzStorageLocalUserSshPassword -ResourceGroupName $resourceGroupName -StorageAccountName $storageAccountName -UserName $UserName
   $password 
   

   Önemli

   Bu parolayı daha sonra alamazsınız, bu nedenle parolayı kopyalamayı ve sonra da bulabileceğiniz bir yerde depolamayı unutmayın. Bu parolayı kaybederseniz yeni bir parola oluşturmanız gerekir. SSH parolalarının Azure tarafından oluşturulduğunu ve en az 32 karakter uzunluğunda olduğunu unutmayın.

Azure CLI

1. İlk olarak, bu yerel kullanıcıyla hangi kimlik doğrulama yöntemlerini ilişkilendirmek istediğinize karar verin. Parolayı ve /veya SSH anahtarını ilişkilendirebilirsiniz.

   Önemli

   Her iki kimlik doğrulama türünü de etkinleştirebilirsiniz ancak SFTP istemcileri bunlardan yalnızca birini kullanarak bağlanabilir. Başarılı kimlik doğrulaması için hem geçerli bir parola hem de geçerli bir ortak ve özel anahtar çifti gereken çok faktörlü kimlik doğrulaması desteklenmez.

   SSH anahtarı kullanmak istiyorsanız ortak /özel anahtar çiftinin ortak anahtarını kullanmanız gerekir. Azure'da depolanan mevcut ortak anahtarları kullanabilir veya Azure dışındaki mevcut ortak anahtarları kullanabilirsiniz.

   Azure'da var olan anahtarları bulmak için bkz . Anahtarları listeleme. SFTP istemcileri Azure Blob Depolama bağlandığında, bu istemcilerin bu ortak anahtarla ilişkili özel anahtarı sağlaması gerekir.

   Azure dışında bir ortak anahtar kullanmak istiyorsanız ancak henüz anahtarınız yoksa, nasıl oluşturulacağı konusunda rehberlik için bkz . Ssh-keygen ile anahtar oluşturma.

   Yerel kullanıcının kimliğini doğrulamak için parola kullanmak istiyorsanız, yerel kullanıcı oluşturulduktan sonra bir parola oluşturabilirsiniz.

2. az storage account local-user create komutunu kullanarak yerel kullanıcı oluşturun . Kapsayıcıyı ve izin düzeyini belirtmek için bu komutun parametrelerini kullanın. SSH anahtarı kullanmak istiyorsanız, parametresini --has-ssh-key anahtar türünü ve ortak anahtarı içeren bir dize olarak ayarlayın. Bu yerel kullanıcının kimliğini doğrulamak için parola kullanmak istiyorsanız parametresini --has-ssh-password olarak trueayarlayın.

   Aşağıdaki örnek, adlı contosocontainerbir kapsayıcıya yerel kullanıcı adı contosouser okuma ve yazma erişimi verir. Kimlik doğrulaması için anahtar değerine ssh-rsa a2V5... sahip bir ssh-rsa anahtarı kullanılır.

   az storage account local-user create --account-name contosoaccount -g contoso-resource-group -n contosouser --home-directory contosocontainer --permission-scope permissions=rw service=blob resource-name=contosocontainer --ssh-authorized-key key="ssh-rsa a2V5..." --has-ssh-key true --has-ssh-password true
   

   Dekont

   Yerel kullanıcıların yalnızca SMB kimlik doğrulaması için kullanılan bir sharedKey özelliği de vardır.

3. Kullanıcının kimliğini doğrulamak için parola kullanmak istiyorsanız az storage account local-user regenerate-password komutunu kullanarak parola oluşturabilirsiniz. parametresini -n yerel kullanıcı adı olarak ayarlayın.

   Aşağıdaki örnek, kullanıcı için bir parola oluşturur.

   az storage account local-user regenerate-password --account-name contosoaccount -g contoso-resource-group -n contosouser  
   

   Önemli

   Bu parolayı daha sonra alamazsınız, bu nedenle parolayı kopyalamayı ve sonra da bulabileceğiniz bir yerde depolamayı unutmayın. Bu parolayı kaybederseniz yeni bir parola oluşturmanız gerekir. SSH parolalarının Azure tarafından oluşturulduğunu ve en az 32 karakter uzunluğunda olduğunu unutmayın.

SFTP istemcisini Bağlan

Dosyaları güvenli bir şekilde bağlamak ve aktarmak için herhangi bir SFTP istemcisini kullanabilirsiniz. Aşağıdaki ekran görüntüsünde, bağlanmak ve ardından adlı logfile.txtbir dosyayı karşıya yüklemek için Açık SSH ve parola kimlik doğrulaması kullanan bir Windows PowerShell oturumu gösterilmektedir.

Dekont

SFTP kullanıcı adı.storage_account_nameusername. Yukarıdaki storage_account_name örnekte "contoso4" ve username "contosouser" ifadesi yer alır. Birleştirilmiş kullanıcı adı SFTP komutu için olur contoso4.contosouser .

Dekont

Bir konak anahtarına güvenmeniz istenebilir. Geçerli konak anahtarları burada yayımlanır.

Aktarım tamamlandıktan sonra dosyayı Azure portalında görüntüleyebilir ve yönetebilirsiniz.

Dekont

Azure portalı Blob REST API'sini ve Data Lake Storage 2. Nesil REST API'sini kullanır. Azure portalında karşıya yüklenen bir dosyayla etkileşim kurabilmek, SFTP ile REST arasındaki birlikte çalışabilirliği gösterir.

Dosyaları bağlama ve aktarma hakkında yönergeler için SFTP istemcinizin belgelerine bakın.

Özel etki alanı kullanarak Bağlan

Özel etki alanları kullanılırken bağlantı dizesi myaccount.myuser@customdomain.com şeklindedir. Kullanıcının giriş dizini belirtilmediyse myaccount.mycontainer.myuser@customdomain.com olur.

Önemli

DNS sağlayıcınızda ara sunucu istekleri olmadığından emin olun. Ara sunucu oluşturma, bağlantı girişiminin zaman aşımına uğramasına neden olabilir.

Özel uç nokta kullanarak Bağlan

Özel uç nokta kullanırken bağlantı dizesi.myaccount.myuser@myaccount.privatelink.blob.core.windows.net Kullanıcının giriş dizini belirtilmediyse myaccount.mycontainer.myuser@myaccount.privatelink.blob.core.windows.net olur.

Dekont

Ağ yapılandırmasını "Seçili sanal ağlardan ve IP adreslerinden etkinleştirildi" olarak değiştirdiğinizden ve özel uç noktanızı seçtiğinizden emin olun; aksi takdirde normal SFTP uç noktasına genel erişim sağlanabilir.

Ağ konusunda dikkat edilmesi gerekenler

SFTP platform düzeyinde bir hizmet olduğundan, hesap seçeneği devre dışı bırakılsa bile 22 numaralı bağlantı noktası açılır. SFTP erişimi yapılandırılmamışsa, tüm istekler hizmetle bağlantıyı keser. SFTP kullanırken güvenlik duvarı, sanal ağ veya özel uç nokta yapılandırması aracılığıyla genel erişimi sınırlamak isteyebilirsiniz. Bu ayarlar uygulama katmanında zorunlu kılındığından SFTP'ye özgü değildir ve tüm Azure Depolama Uç Noktalarına bağlantıyı etkiler. Güvenlik duvarları ve ağ yapılandırması hakkında daha fazla bilgi için bkz. Azure Depolama güvenlik duvarlarını ve sanal ağları yapılandırma.

Dekont

Protokol katmanında TLS desteğini belirlemeye çalışan denetim araçları, depolama hesabı uç noktasında doğrudan çalıştırıldığında gereken en düşük sürüme ek olarak TLS sürümlerini döndürebilir. Daha fazla bilgi için bkz . Depolama hesabına yönelik istekler için Aktarım Katmanı Güvenliği'nin (TLS) en düşük sürümünü zorunlu kılma.

Ayrıca bkz.

• Azure Blob Depolama için SSH Dosya Aktarım Protokolü (SFTP) desteği
• Azure Blob Depolama için SSH Dosya Aktarım Protokolü (SFTP) desteğiyle ilgili sınırlamalar ve bilinen sorunlar
• Azure Blob Depolama için SSH Dosya Aktarım Protokolü (SFTP) desteği için konak anahtarları
• Azure Blob depolamada SSH Dosya Aktarım Protokolü (SFTP) performans konuları