Bagikan melalui

Membawa kunci enkripsi Anda sendiri untuk Power BI

  • Artikel

Secara default, Power BI menggunakan kunci yang dikelola Microsoft untuk mengenkripsi data Anda. Di Power BI Premium, Anda juga bisa menggunakan kunci Anda sendiri untuk data tidak aktif yang diimpor ke dalam model semantik. Pendekatan ini sering dijelaskan sebagai bring your own key (BYOK). Untuk informasi selengkapnya, lihat Pertimbangan sumber data dan penyimpanan.

Mengapa menggunakan BYOK?

BYOK memudahkan untuk memenuhi persyaratan kepatuhan yang menentukan pengaturan utama dengan penyedia layanan cloud, dalam hal ini Microsoft. Dengan BYOK, Anda menyediakan dan mengontrol kunci enkripsi untuk data Power BI Anda yang tersimpan di tingkat aplikasi. Dengan demikian, Anda dapat mengendalikan dan mencabut kunci organisasi Anda, jika Anda memutuskan untuk menghentikan penggunaan layanan. Dengan mencabut kunci, data menjadi tidak dapat dibaca oleh layanan dalam waktu 30 menit.

Pertimbangan data sumber dan penyimpanan

Untuk menggunakan BYOK, Anda harus mengunggah data ke layanan Power BI dari file Power BI Desktop (PBIX). Anda tidak dapat menggunakan BYOK dalam skenario berikut:

BYOK hanya berlaku untuk model semantik. Dorong model semantik, file Excel, dan file CSV yang dapat diunggah pengguna ke layanan ini tidak dienkripsi menggunakan kunci milik Anda. Untuk mengidentifikasi item mana yang disimpan di ruang kerja Anda, gunakan perintah PowerShell berikut:

PS C:\> Get-PowerBIWorkspace -Scope Organization -Include All

Catatan

Cmdlet ini memerlukan modul manajemen Power BI v1.0.840. Anda dapat melihat versi mana yang Anda miliki dengan menjalankan Get-InstalledModule -Name MicrosoftPowerBIMgmt. Instal versi terbaru dengan menjalankan Install-Module -Name MicrosoftPowerBIMgmt. Anda bisa mendapatkan informasi selengkapnya tentang cmdlet Power BI dan parameternya dalam modul cmdlet PowerShell Power BI.

konfigurasikan Azure Key Vault

Bagian ini menjelaskan cara mengonfigurasi Azure Key Vault, alat untuk menyimpan dan mengakses rahasia dengan aman, seperti kunci enkripsi. Anda dapat menggunakan brankas kunci yang ada untuk menyimpan kunci enkripsi, atau Anda dapat membuat yang baru khusus untuk digunakan dengan Power BI.

Instruksi berikut mengasumsikan pengetahuan dasar tentang Azure Key Vault. Untuk informasi selengkapnya, lihat Apa itu Azure Key Vault?

Konfigurasikan brankas kunci Anda dengan cara berikut:

  1. Tambahkan layanan Power BI sebagai perwakilan layanan untuk brankas kunci, dengan izin bungkus dan bongkar.

  2. Buat kunci RSA dengan panjang 4096-bit, atau gunakan kunci yang ada dari jenis ini, dengan izin bungkus dan bongkar.

    Penting

    Power BI BYOK mendukung kunci RSA dan RSA-HSM dengan panjang 4096-bit.

  3. Disarankan: Periksa apakah brankas kunci mengaktifkan opsi penghapusan sementara.

Menambahkan perwakilan layanan

  1. Masuk ke portal Azure dan cari Key Vault.

  2. Di brankas kunci Anda, pilih Kebijakan akses, lalu pilih Buat.

    Cuplikan layar tombol Buat untuk kebijakan akses di portal Azure.

  3. Pada layar Izin, di bawah Izin Kunci, pilih Lepaskan Bungkus Kunci dan Bungkus Kunci, lalu pilih Berikutnya.

    Cuplikan layar izin untuk membuat kebijakan akses baru.

  4. Pada layar Utama, cari dan pilih Microsoft.Azure.AnalysisServices.

    Catatan

    Jika Anda tidak dapat menemukan Microsoft.Azure.AnalysisServices, kemungkinan langganan Azure yang terkait dengan Azure Key Vault Anda tidak pernah memiliki sumber daya Power BI yang terkait dengannya. Coba cari string berikut sebagai gantinya: 00000009-0000-0000-c000-000000000000.

    Cuplikan layar Utama untuk memilih prinsipal baru untuk kebijakan akses.

  5. Pilih Berikutnya, lalu Tinjau + buat>Buat.

Catatan

Untuk mencabut akses Power BI ke data Anda, hapus hak akses ke perwakilan layanan ini dari Azure Key Vault Anda.

Membuat kunci RSA

  1. Di brankas kunci Anda, di bawah Kunci, pilih Buat/Impor.

  2. Pilih Jeniskunci RSA dan ukurankunci RSA 4096.

    Cuplikan layar jenis kunci RSA dan pilihan ukuran.

  3. Pilih Buat.

  4. Di bawah Kunci, pilih kunci yang Anda buat.

  5. Pilih GUID untuk kunci Versi Saat Ini.

  6. Periksa apakah Kunci Bungkus dan Kunci Bongkar keduanya dipilih. Salin Pengidentifikasi Kunci untuk digunakan saat Anda mengaktifkan BYOK di Power BI.

    Tangkapan layar dari properti utama dengan pengidentifikasi dan operasi yang diizinkan.

Opsi penghapusan sementara

Anda harus mengaktifkan penghapusan sementara pada brankas kunci Anda untuk melindungi dari kehilangan data jika terjadi penghapusan kunci, atau brankas kunci, secara tidak sengaja. Untuk mengaktifkan properti penghapusan sementara, Anda harus menggunakan PowerShell karena opsi ini belum tersedia di portal Azure.

Dengan konfigurasi Azure Key Vault yang tepat, Anda siap mengaktifkan BYOK pada tenant Anda.

Mengonfigurasi firewall Azure Key Vault

Bagian ini menjelaskan cara menggunakan firewall layanan Microsoft tepercaya, untuk mengonfigurasi jalan pintas firewall di sekitar Azure Key Vault Anda.

Catatan

Anda dapat memilih untuk mengaktifkan aturan firewall pada brankas kunci Anda. Anda juga dapat memilih untuk membiarkan firewall dinonaktifkan di brankas kunci sesuai pengaturan default.

Power BI adalah layanan Microsoft tepercaya. Anda dapat menginstruksikan firewall brankas kunci untuk mengizinkan akses ke semua layanan Microsoft tepercaya, pengaturan yang memungkinkan Power BI mengakses brankas kunci Anda tanpa menentukan koneksi titik akhir.

Untuk mengonfigurasi Azure Key Vault untuk mengizinkan akses ke layanan Microsoft tepercaya, ikuti langkah-langkah berikut:

  1. Cari Key Vault di portal Azure, lalu pilih brankas kunci yang ingin Anda izinkan aksesnya dari Power BI dan semua layanan Microsoft tepercaya lainnya.

  2. Pilih Jaringan dari panel navigasi sisi kiri.

  3. Di bawah Firewall dan jaringan virtual, pilih Izinkan akses publik dari jaringan virtual dan alamat IP tertentu.

    Cuplikan layar opsi jaringan Azure Key Vault, dengan opsi firewall dan jaringan virtual dipilih.

  4. Gulir ke bawah ke bagian Firewall . Pilih Izinkan layanan Microsoft tepercaya untuk melewati firewall ini.

    Cuplikan layar opsi untuk mengizinkan layanan Microsoft tepercaya melewati firewall ini.

  5. Pilih Terapkan.

Aktifkan BYOK pada penyewa Anda

Anda mengaktifkan BYOK di tingkat penyewa dengan menggunakan PowerShell. Pertama, instal paket administrasi Power BI untuk PowerShell dan perkenalkan kunci enkripsi yang Anda buat dan simpan di Azure Key Vault ke penyewa Power BI Anda. Anda kemudian menetapkan kunci enkripsi ini untuk setiap kapasitas Premium guna mengenkripsi konten tersebut.

Pertimbangan penting

Sebelum Anda mengaktifkan BYOK, perhatikan pertimbangan berikut:

  • Saat ini, Anda tidak dapat menonaktifkan BYOK setelah mengaktifkannya. Bergantung pada bagaimana Anda menentukan parameter untuk Add-PowerBIEncryptionKey, Anda dapat mengontrol bagaimana Anda menggunakan BYOK untuk satu atau beberapa kapasitas Anda. Namun, Anda tidak dapat membatalkan pengantar kunci ke penyewa Anda. Untuk informasi selengkapnya, lihat Aktifkan BYOK.

  • Anda tidak dapat langsung memindahkan ruang kerja yang menggunakan BYOK dari kapasitas di Power BI Premium ke kapasitas bersama. Anda harus terlebih dahulu memindahkan ruang kerja ke kapasitas yang tidak mengaktifkan BYOK.

  • Jika Anda memindahkan ruang kerja yang menggunakan BYOK dari kapasitas di Power BI Premium ke kapasitas bersama, laporan, dan model semantik menjadi tidak dapat diakses karena dienkripsi dengan Kunci. Untuk menghindari situasi ini, Anda harus terlebih dahulu memindahkan ruang kerja ke kapasitas yang tidak mengaktifkan BYOK.

Mengaktifkan BYOK

Untuk mengaktifkan BYOK, Anda harus menjadi admin Power BI, masuk menggunakan cmdlet Connect-PowerBIServiceAccount. Kemudian gunakan Add-PowerBIEncryptionKey untuk mengaktifkan BYOK, seperti yang ditunjukkan dalam contoh berikut:

Add-PowerBIEncryptionKey -Name'Contoso Sales' -KeyVaultKeyUri'https://contoso-vault2.vault.azure.net/keys/ContosoKeyVault/b2ab4ba1c7b341eea5ecaaa2wb54c4d2'

Untuk menambahkan beberapa kunci, jalankan Add-PowerBIEncryptionKey dengan nilai yang berbeda untuk -Name dan -KeyVaultKeyUri.

Cmdlet menerima dua parameter sakelar yang memengaruhi enkripsi untuk kapasitas saat ini dan di masa mendatang. Secara bawaan, tidak ada sakelar yang diaktifkan.

  • -Activate: Menunjukkan bahwa kunci ini digunakan untuk semua kapasitas yang ada di penyewa yang belum dienkripsi.

  • -Default: Menunjukkan bahwa kunci ini sekarang menjadi default untuk seluruh penyewa. Saat Anda membuat kapasitas baru, kapasitas akan otomatis mewarisi kunci ini.

Penting

Jika Anda menentukan -Default, semua kapasitas yang dibuat pada tenant Anda dari saat ini dienkripsi menggunakan kunci yang Anda tentukan, atau kunci default yang diperbarui. Anda tidak dapat membatalkan operasi default, sehingga Anda kehilangan kemampuan untuk membuat kapasitas premium di penyewa Anda yang tidak menggunakan BYOK.

Setelah Anda mengaktifkan BYOK di penyewa Anda, atur kunci enkripsi untuk satu atau beberapa kapasitas Power BI:

  1. Gunakan Get-PowerBICapacity untuk mendapatkan ID kapasitas yang diperlukan untuk langkah berikutnya.

    Get-PowerBICapacity -Scope Individual

    Cmdlet mengembalikan output yang mirip dengan output berikut:

    Id              : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
DisplayName     : Test Capacity
Admins          : adam@sometestdomain.com
Sku             : P1
State           : Active
UserAccessRight : Admin
Region          : North Central US

  2. Gunakan Set-PowerBICapacityEncryptionKey untuk mengatur kunci enkripsi:

    Set-PowerBICapacityEncryptionKey -CapacityId xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx -KeyName 'Contoso Sales'

Anda memiliki kontrol atas cara Anda menggunakan BYOK di seluruh tenant Anda. Misalnya, untuk mengenkripsi satu kapasitas, panggil Add-PowerBIEncryptionKey tanpa -Activate atau -Default. Kemudian panggil Set-PowerBICapacityEncryptionKey untuk kapasitas tempat Anda ingin mengaktifkan BYOK.

Mengelola BYOK

Power BI menyediakan cmdlet tambahan untuk membantu mengelola BYOK di penyewa Anda:

  • Gunakan Get-PowerBICapacity untuk mendapatkan kunci yang sedang digunakan oleh kapasitas saat ini.

    Get-PowerBICapacity -Scope Organization -ShowEncryptionKey

  • Gunakan Get-PowerBIEncryptionKey untuk mendapatkan kunci yang saat ini digunakan penyewa Anda:

    Get-PowerBIEncryptionKey

  • Gunakan Get-PowerBIWorkspaceEncryptionStatus untuk melihat apakah model semantik di ruang kerja dienkripsi dan apakah status enkripsinya sinkron dengan ruang kerja:

    Get-PowerBIWorkspaceEncryptionStatus -Name'Contoso Sales'

    Perhatikan bahwa enkripsi diaktifkan pada tingkat kapasitas, tetapi Anda mendapatkan status enkripsi di tingkat model semantik untuk ruang kerja yang ditentukan.

  • Gunakan Switch-PowerBIEncryptionKey untuk mengalihkan (atau memutar) versi kunci yang digunakan untuk enkripsi. Cmdlet hanya memperbarui -KeyVaultKeyUri untuk kunci -Name:

    Switch-PowerBIEncryptionKey -Name'Contoso Sales' -KeyVaultKeyUri'https://contoso-vault2.vault.azure.net/keys/ContosoKeyVault/b2ab4ba1c7b341eea5ecaaa2wb54c4d2'

    Perhatikan bahwa kunci saat ini harus diaktifkan.

Konten terkait