Megosztás a következőn keresztül:

Saját titkosítási kulcsok használata a Power BI-hoz

  • Cikk

A Power BI alapértelmezés szerint a Microsoft által felügyelt kulcsokkal titkosítja az adatokat. A Power BI Premiumban a saját kulcsait is használhatja a szemantikai modellbe importált inaktív adatokhoz. Ezt a megközelítést gyakran a saját kulcs használatának (BYOK) hívják. További információkért tekintse meg az adatforrással és a tárolással kapcsolatos szempontokat.

Miért érdemes használni a BYOK-ot?

A BYOK megkönnyíti azoknak a megfelelőségi követelményeknek való megfelelést, amelyek a felhőszolgáltatóval, ebben az esetben a Microsofttal kapcsolatos legfontosabb szabályokat határozzák meg. A BYOK használatával az alkalmazás szintjén megadhatja és szabályozhatja a Power BI-adatok inaktív állapotban lévő titkosítási kulcsait. Ennek eredményeképpen gyakorolhatja az irányítást, és visszavonhatja a szervezet kulcsait, ha úgy dönt, hogy kilép a szolgáltatásból. A kulcsok visszavonásával az adatok 30 percen belül olvashatatlanná válnak a szolgáltatás számára.

Adatforrás- és tárolási szempontok

A BYOK használatához adatokat kell feltöltenie a Power BI szolgáltatásba egy Power BI Desktop (PBIX) fájlból. A BYOK nem használható a következő esetekben:

A BYOK csak szemantikai modellekre vonatkozik. A felhasználók által a szolgáltatásba feltölthető szemantikai modellek, Excel-fájlok és CSV-fájlok nem titkosítva lesznek saját kulccsal. A munkaterületeken tárolt elemek azonosításához használja a következő PowerShell-parancsot:

PS C:\> Get-PowerBIWorkspace -Scope Organization -Include All

Feljegyzés

Ehhez a parancsmaghoz a Power BI 1.0.840-s verziós felügyeleti modulja szükséges. A Get-InstalledModule -Name MicrosoftPowerBIMgmt futtatásával láthatja, hogy melyik verzióval rendelkezik. Telepítse a legújabb verziót a futtatással Install-Module -Name MicrosoftPowerBIMgmt. A Power BI-parancsmagról és annak paramétereiről a Power BI PowerShell-parancsmag moduljában talál további információt.

Az Azure Key Vault konfigurálása

Ez a szakasz bemutatja, hogyan konfigurálhatja az Azure Key Vaultot, amely egy olyan eszköz, amely biztonságosan tárolja és éri el a titkos kulcsokat, például a titkosítási kulcsokat. Használhat egy meglévő kulcstartót a titkosítási kulcsok tárolására, vagy létrehozhat egy újat kifejezetten a Power BI-hoz.

Az alábbi utasítások feltételezik az Azure Key Vault alapszintű ismeretét. További információ: Mi az Az Azure Key Vault?

Konfigurálja a kulcstartót a következő módon:

  1. Adja hozzá a Power BI szolgáltatást szolgáltatásként regisztrálva a kulcstartóhoz, titkosítási és visszafejtési engedélyekkel.

  2. Hozzon létre egy 4096 bites RSA-kulcsot , vagy használjon egy ilyen típusú meglévő kulcsot körbefuttatási és feloldó engedélyekkel.

    Fontos

    A Power BI BYOK támogatja a 4096 bites RSA és RSA-HSM kulcsokat.

  3. Ajánlott: Ellenőrizze, hogy a kulcstárban engedélyezve van-e a soft delete opció.

A szolgáltatási főszereplő hozzáadása

  1. Jelentkezzen be az Azure Portalra , és keressen a Key Vaultokra.

  2. A kulcstartóban válassza a hozzáférési szabályzatok, majd a Létrehozás.

    Képernyőkép a Hozzáférési szabályzatok létrehozása gombjáról az Azure Portalon.

  3. Az Engedélyek képernyőn, a Kulcsengedélyek alatt válassza a Kulcs feloldása és Kulcs csomagolása lehetőséget, majd válassza a Tovább lehetőséget.

    Képernyőkép az új hozzáférési szabályzat létrehozásához szükséges jogosultsági képernyőről.

  4. Az képernyőn keresse meg és válassza ki a Microsoft.Azure.AnalysisServices szolgáltatást.

    Megjegyzés

    Ha nem találja a Microsoft.Azure.AnalysisServices szolgáltatást, valószínű, hogy az Azure Key Vaulthoz társított Azure-előfizetéshez soha nem volt power BI-erőforrás társítva. Próbálja meg inkább a következő karakterláncot keresni: 00000009-0000-0000-c000-000000000000.

    Képernyőkép a Fő képernyőről, amelyen új felelőst választhatunk a hozzáférési szabályzathoz.

  5. Válassza a Tovább lehetőséget, majd a Áttekintés + létrehozás>Létrehozás.

Feljegyzés

Az adatokhoz való Power BI-hozzáférés visszavonásához távolítsa el a szolgáltatási megbízó hozzáférési jogosultságait az Azure Key Vaultból.

RSA-kulcs létrehozása

  1. A kulcstartóban a Kulcsok alatt válassza a Létrehozás/Importálás lehetőséget.

  2. Válassza ki az RSA kulcstípusát és a 4096-os RSA-kulcsméretet.

    Képernyőkép az RSA-kulcs típusáról és méretkijelöléséről.

  3. Válassza a Létrehozás lehetőséget.

  4. A Kulcsok csoportban válassza ki a létrehozott kulcsot.

  5. Válassza ki a kulcs aktuális verziójának GUID azonosítóját.

  6. Ellenőrizze, hogy a Wrap Key és a Unwrap Key is ki van-e jelölve. Másolja ki a kulcsazonosítót a BYOK Power BI-ban való engedélyezéséhez.

    Képernyőkép a kulcstulajdonságokról az azonosítóval és az engedélyezett műveletekkel.

Helyreállítható törlési lehetőség

A "soft-delete" funkciót engedélyeznie kell a kulcstárolójában, hogy védelmet nyújthasson az adatvesztés ellen véletlen kulcs- vagy kulcstároló-törlés esetén. A helyreállítható törlés tulajdonság engedélyezéséhez a PowerShellt kell használnia, mert ez a lehetőség még nem érhető el az Azure Portalon.

Az Azure Key Vault megfelelő konfigurálásával készen áll a bérlői környezetben a saját kulcs használatának (BYOK) engedélyezésére.

Az Azure Key Vault tűzfalának konfigurálása

Ez a szakasz a megbízható Microsoft-szolgáltatás tűzfalának megkerülését ismerteti az Azure Key Vault körüli tűzfal konfigurálásához.

Feljegyzés

Engedélyezheti a tűzfalszabályokat a kulcstárban. Azt is választhatja, hogy az alapértelmezett beállítás szerint kikapcsolva hagyja a tűzfalat a kulcstárban.

A Power BI egy megbízható Microsoft-szolgáltatás. Utasíthatja a kulcstár tűzfalát, hogy engedélyezze az összes megbízható Microsoft-szolgáltatáshoz való hozzáférést. Ez a beállítás lehetővé teszi, hogy a Power BI végpontkapcsolatok megadása nélkül elérje a kulcstárat.

Ha az Azure Key Vaultot úgy szeretné konfigurálni, hogy engedélyezze a megbízható Microsoft-szolgáltatások való hozzáférést, kövesse az alábbi lépéseket:

  1. Keresse meg a Key Vaultokat az Azure Portalon, majd válassza ki azt a kulcstartót, amelyhez engedélyezni szeretne hozzáférést a Power BI-ból és az összes többi megbízható Microsoft-szolgáltatás számára.

  2. A bal oldali navigációs panelen válassza a Hálózatkezelés lehetőséget.

  3. A Tűzfalak és virtuális hálózatok csoportban válassza a Nyilvános hozzáférés engedélyezése adott virtuális hálózatokról és IP-címekről lehetőséget.

    Képernyőkép az Azure Key Vault hálózatkezelési lehetőségéről, amelyen a tűzfalak és a virtuális hálózatok lehetőség van kiválasztva.

  4. Görgessen le a Tűzfal szakaszhoz. Válassza a Megbízható Microsoft-szolgáltatások engedélyezése lehetőséget a tűzfal megkerüléséhez.

    Képernyőkép arról a beállításról, amely lehetővé teszi, hogy a megbízható Microsoft-szolgáltatások megkerülje ezt a tűzfalat.

  5. Válassza az Alkalmazás lehetőséget.

BYOK engedélyezése a bérlőnél

A BYOK-ot bérlői szinten a PowerShell használatával engedélyezheti. Először telepítse a PowerShellhez készült Power BI felügyeleti csomagot, és mutassa be az Azure Key Vaultban létrehozott és tárolt titkosítási kulcsokat a Power BI-bérlőnek. Ezt követően prémium szintű kapacitásonként hozzárendelheti ezeket a titkosítási kulcsokat a kapacitásban lévő tartalom titkosításához.

Fontos tényezők

A BYOK engedélyezése előtt tartsa szem előtt az alábbi szempontokat:

  • Az engedélyezés után jelenleg nem tilthatja le a BYOK-ot. Attól függően, hogy hogyan adja meg a Add-PowerBIEncryptionKeyparamétereket, szabályozhatja, hogyan használja a BYOK-ot egy vagy több kapacitásához. Azonban nem vonhatja vissza a kulcsok bevezetését a bérlőjéhez. További információ: BYOK engedélyezése.

  • A BYOK-ot használó munkaterületeket nem helyezheti át közvetlenül a Power BI Premium egyik kapacitásából egy megosztott kapacitásba. Először arra a kapacitásra kell áthelyeznie a munkaterületet, amelynél nincs engedélyezve a BYOK.

  • Ha a BYOK-ot használó munkaterületet a Power BI Premium egyik kapacitásából egy megosztott kapacitásba helyezi át, a jelentések és szemantikai modellek elérhetetlenné válnak, mivel titkosítva vannak a kulccsal. A helyzet elkerülése érdekében először olyan kapacitásba kell áthelyeznie a munkaterületet, amely nem rendelkezik byok-kompatibilis kapacitással.

BYOK engedélyezése

A BYOK engedélyezéséhez Power BI-rendszergazdának kell lennie, és a Connect-PowerBIServiceAccount parancsmag használatával kell bejelentkeznie. Ezután használja az Add-PowerBIEncryptionKey parancsot a BYOK engedélyezéséhez, ahogyan az alábbi példában látható:

Add-PowerBIEncryptionKey -Name'Contoso Sales' -KeyVaultKeyUri'https://contoso-vault2.vault.azure.net/keys/ContosoKeyVault/b2ab4ba1c7b341eea5ecaaa2wb54c4d2'

Több kulcs hozzáadásához futtassa Add-PowerBIEncryptionKey a különböző értékeket a következőhöz -Name : és -KeyVaultKeyUri.

A parancsmag két kapcsolóparamétert fogad el, amelyek befolyásolják a jelenlegi és jövőbeli kapacitások titkosítását. Alapértelmezés szerint egyik kapcsoló sem van beállítva:

  • -Activate: Azt jelzi, hogy a rendszer ezt a kulcsot használja a bérlő összes meglévő kapacitásához, amely még nincs titkosítva.

  • -Default: Azt jelzi, hogy ez a kulcs az alapértelmezett a teljes bérlő esetében. Új kapacitás létrehozásakor a kapacitás örökli ezt a kulcsot.

Fontos

Ha megadja -Default, a bérlőn ezen a ponton létrehozott összes kapacitás titkosítva lesz a megadott kulccsal vagy egy frissített alapértelmezett kulccsal. Az alapértelmezett műveletet nem vonhatja vissza, így nem hozhat létre prémium szintű kapacitást a bérlőjében, amely nem használja a BYOK-ot.

Miután engedélyezte a BYOK-ot a bérlőn, állítsa be a titkosítási kulcsot egy vagy több Power BI-kapacitáshoz:

  1. A Get-PowerBICapacity használatával kérje le a következő lépéshez szükséges kapacitásazonosítót.

    Get-PowerBICapacity -Scope Individual

    A parancsmag a következő kimenethez hasonló kimenetet ad vissza:

    Id              : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
DisplayName     : Test Capacity
Admins          : adam@sometestdomain.com
Sku             : P1
State           : Active
UserAccessRight : Admin
Region          : North Central US

  2. A set-PowerBICapacityEncryptionKey használatával állítsa be a titkosítási kulcsot:

    Set-PowerBICapacityEncryptionKey -CapacityId xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx -KeyName 'Contoso Sales'

Ön szabályozhatja, hogyan használja a BYOK-ot a bérlői környezetében. Ha például egyetlen kapacitást szeretne titkosítani, hívja meg a Add-PowerBIEncryptionKey-t -Activate vagy -Default nélkül. Ezután hívja meg Set-PowerBICapacityEncryptionKey azon kapacitást, ahol engedélyezni szeretné a BYOK-ot.

BYOK kezelése

A Power BI további parancsmagokkal segíti a BYOK kezelését a bérlőben:

  • A Get-PowerBICapacity használatával lekérheti a kapacitás által jelenleg használt kulcsot:

    Get-PowerBICapacity -Scope Organization -ShowEncryptionKey

  • A Get-PowerBIEncryptionKey használatával kérje le a bérlő által jelenleg használt kulcsot:

    Get-PowerBIEncryptionKey

  • A Get-PowerBIWorkspaceEncryptionStatus használatával ellenőrizheti, hogy a munkaterület szemantikai modelljei titkosítva vannak-e, és hogy a titkosítási állapotuk szinkronban van-e a munkaterülettel:

    Get-PowerBIWorkspaceEncryptionStatus -Name'Contoso Sales'

    Vegye figyelembe, hogy a titkosítás kapacitásszinten engedélyezve van, de a titkosítás állapota a megadott munkaterület szemantikai modell szintjén történik.

  • A Switch-PowerBIEncryptionKey használatával válthatja (vagy elforgathatja) a titkosításhoz használt kulcs verzióját. A parancsmag egyszerűen frissíti a -KeyVaultKeyUri kulcsot -Name:

    Switch-PowerBIEncryptionKey -Name'Contoso Sales' -KeyVaultKeyUri'https://contoso-vault2.vault.azure.net/keys/ContosoKeyVault/b2ab4ba1c7b341eea5ecaaa2wb54c4d2'

    Vegye figyelembe, hogy az aktuális kulcsot engedélyezni kell.

Kapcsolódó tartalom