Aracılığıyla paylaş

Power BI için kendi şifreleme anahtarlarınızı getirme

  • Makale

Power BI, verilerinizi şifrelemek için varsayılan olarak Microsoft tarafından yönetilen anahtarları kullanır. Power BI Premium'da, semantik modele aktarılan bekleyen veriler için kendi anahtarlarınızı da kullanabilirsiniz. Bu yaklaşım genellikle kendi anahtarını getir (KAG) olarak tanımlanır. Daha fazla bilgi için bkz . Veri kaynağı ve depolama konuları.

BYOK neden kullanılmalı?

BYOK, bulut hizmeti sağlayıcısıyla (bu örnekte Microsoft) önemli düzenlemeleri belirten uyumluluk gereksinimlerini karşılamayı kolaylaştırır. BYOK ile, Power BI verilerinizin durağan haldeki şifreleme anahtarlarını uygulama düzeyinde sağlarsınız ve denetlersiniz. Sonuç olarak, hizmetten çekilmeye karar verirseniz kuruluşunuzun anahtarlarını kontrol edebilir ve iptal edebilirsiniz. Anahtarlar iptal edilerek veriler 30 dakika içinde hizmet tarafından okunamaz hale gelir.

Veri kaynağı ve depolama ile ilgili dikkat edilmesi gerekenler

KAG'yi kullanmak için Power BI Desktop (PBIX) dosyasından Power BI hizmetine verilerinizi yüklemeniz gerekir. Aşağıdaki senaryolarda BYOK'u kullanamazsınız:

BYOK yalnızca anlamsal modeller için geçerlidir. Kullanıcıların hizmete yükleyebileceği anında iletme semantik modelleri, Excel dosyaları ve CSV dosyaları kendi anahtarınız kullanılarak şifrelenmez. Çalışma alanlarınızda hangi öğelerin depolandığını belirlemek için aşağıdaki PowerShell komutunu kullanın:

PS C:\> Get-PowerBIWorkspace -Scope Organization -Include All

Not

Bu cmdlet, Power BI yönetim modülü v1.0.840 gerektirir. komutunu çalıştırarak Get-InstalledModule -Name MicrosoftPowerBIMgmthangi sürüme sahip olduğunuzu görebilirsiniz. komutunu çalıştırarak Install-Module -Name MicrosoftPowerBIMgmten son sürümü yükleyin. Power BI cmdlet'i ve parametreleri hakkında daha fazla bilgiyi Power BI PowerShell cmdlet modülünde bulabilirsiniz.

Azure Key Vault'u yapılandırma

Bu bölümde, şifreleme anahtarları gibi gizli dizileri güvenli bir şekilde depolamaya ve bunlara erişmeye yönelik bir araç olan Azure Key Vault'un nasıl yapılandırılma adımları açıklanmaktadır. Şifreleme anahtarlarını depolamak için mevcut bir anahtar kasasını kullanabilir veya özellikle Power BI ile kullanmak üzere yeni bir anahtar oluşturabilirsiniz.

Aşağıdaki yönergelerde Azure Key Vault hakkında temel bilgiler varsayılır. Daha fazla bilgi için bkz. Azure Key Vault nedir?

Anahtar kasanızı aşağıdaki şekilde yapılandırın:

  1. Power BI hizmeti sarmalama ve kaldırma izinleriyle anahtar kasası için hizmet sorumlusu olarak ekleyin.

  2. 4096 bit uzunluğunda bir RSA anahtarı oluşturun veya sarmalama ve açma izinleriyle bu türde mevcut bir anahtarı kullanın.

    Önemli

    Power BI BYOK, 4096 bit uzunluğunda RSA ve RSA-HSM anahtarlarını destekler.

  3. Önerilen: Anahtar kasasında geçici silme seçeneğinin etkinleştirilip etkinleştirilmediğini denetleyin.

Hizmet sorumlusunu ekleme

  1. Azure portalında oturum açın ve Key Vaults araması yapın.

  2. Anahtar kasanızda Erişim ilkeleri'ni ve ardından Oluştur'u seçin.

    Azure portalında erişim ilkeleri için Oluştur düğmesinin ekran görüntüsü.

  3. İzinler ekranında, Anahtar izinleri altında Anahtarı Aç ve Anahtarı Sar'ı seçin, ardından İleri'yi seçin.

    Yeni erişim ilkesi oluşturmak için izin ekranının ekran görüntüsü.

  4. Ana Ekran üzerinde Microsoft.Azure.AnalysisServices'i arayıp seçin.

    Not

    Microsoft.Azure.AnalysisServices'i bulamıyorsanız, Büyük olasılıkla Azure Key Vault'unuzla ilişkili Azure aboneliğinde kendisiyle ilişkilendirilmiş bir Power BI kaynağı yoktur. Bunun yerine şu dizeyi aramayı deneyin: 00000009-0000-0000-c000-0000000000000.

    Erişim ilkesi için yeni bir sorumlu seçmek için Sorumlu ekranının ekran görüntüsü.

  5. İleri'yi seçin, ardından Gözden geçir + oluştur ve >Oluştur.

Not

Verilerinize Power BI erişimini iptal etmek için Azure Key Vault'unuzdan bu hizmet sorumlusuna erişim haklarını kaldırın.

RSA anahtarı oluşturma

  1. Anahtar kasanızda, Anahtarlar altında Oluştur/İçeri Aktar'ı seçin.

  2. RSA Anahtar türüve 4096 RSA anahtar boyutu seçin.

    RSA anahtar türü ve boyut seçimlerinin ekran görüntüsü.

  3. Oluştur'u belirleyin.

  4. Anahtarlar'ın altında, oluşturduğunuz anahtarı seçin.

  5. Anahtarın Geçerli Sürümü için GUID'yi seçin.

  6. Sarmalama Anahtarı ve Sarma Açma Anahtarı seçeneklerinin her ikisinin de seçili olduğunu kontrol edin. Power BI'da KAG'yi etkinleştirirken kullanmak üzere Anahtar Tanımlayıcısı'nı kopyalayın.

    Tanımlayıcı ve izin verilen işlemleri içeren anahtar özelliklerin ekran görüntüsü.

Geçici silme seçeneği

Yanlışlıkla anahtar veya anahtar kasasının silinmesi durumunda veri kaybına karşı koruma sağlamak için anahtar kasanızda soft-delete'i etkinleştirmeniz gerekir. Geçici silme özelliğini etkinleştirmek için PowerShell'i kullanmanız gerekir çünkü bu seçenek henüz Azure portalında sağlanmamıştır.

Azure Key Vault düzgün yapılandırıldığında, kiracınızda BYOK (Kendi Anahtarınızı Getirin) özelliğini etkinleştirmeye hazırsınız.

Azure Key Vault güvenlik duvarını yapılandırma

Bu bölümde, Azure Key Vault'unuzun çevresinde bir güvenlik duvarı yapılandırmak için güvenilir Microsoft hizmeti güvenlik duvarı atlamasını kullanma açıklanmaktadır.

Not

Anahtar kasanızda güvenlik duvarı kurallarını etkinleştirmeyi seçebilirsiniz. Güvenlik duvarını varsayılan ayara göre anahtar kasanızda devre dışı bırakmayı da seçebilirsiniz.

Power BI güvenilir bir Microsoft hizmetidir. Anahtar kasası güvenlik duvarına, Power BI da dahil olmak üzere tüm güvenilen Microsoft hizmetlerinin uç nokta bağlantıları belirtmeden anahtar kasanıza erişmesine izin veren bir ayar için talimat verebilirsiniz.

Azure Key Vault'u güvenilen Microsoft hizmetleri erişime izin verecek şekilde yapılandırmak için şu adımları izleyin:

  1. Azure portalında Anahtar Kasaları arayın, ardından Power BI ve diğer tüm güvenilir Microsoft hizmetlerinden erişime izin vermek istediğiniz anahtar kasasını seçin.

  2. Sol taraftaki gezinti panelinden Ağ'ı seçin.

  3. Güvenlik duvarları ve sanal ağlar'ın altında Belirli sanal ağlardan ve IP adreslerinden genel erişime izin ver'i seçin.

    Güvenlik duvarları ve sanal ağlar seçeneğinin seçili olduğu Azure Key Vault ağ seçeneğinin ekran görüntüsü.

  4. Ekranı aşağı kaydırarak Güvenlik Duvarı bölümüne gelin. Güvenilen Microsoft hizmetleri bu güvenlik duvarını atlamasına izin ver'i seçin.

    Güvenilen Microsoft hizmetleri bu güvenlik duvarını atlamasına izin verme seçeneğinin ekran görüntüsü.

  5. Uygula’yı seçin.

Kiracınızda BYOK özelliğini etkinleştirin.

BYOK'yi PowerShell kullanarak kiracı düzeyinde etkinleştirirsiniz. İlk olarak, PowerShell için Power BI yönetim paketini yükleyin ve Azure Key Vault'ta oluşturduğunuz ve depoladığınız şifreleme anahtarlarını Power BI kiracınıza tanıtın. Ardından bu şifreleme anahtarlarını kapasitedeki içeriği şifrelemek için Premium kapasite başına atarsınız.

Dikkat edilmesi gereken önemli hususlar

BYOK'u etkinleştirmeden önce dikkat edilmesi gereken hususları göz önünde bulundurun.

  • Şu anda, etkinleştirdikten sonra 'Kendi Anahtarını Getir (BYOK)' özelliğini devre dışı bırakamazsınız. Add-PowerBIEncryptionKey parametrelerini nasıl belirttiğinize bağlı olarak, bir veya daha fazla kapasiteniz için KAG'yi nasıl kullanacağınızı kontrol edebilirsiniz. Ancak, kiracınıza anahtarların verilmesini geri alamazsınız. Daha fazla bilgi için bkz . BYOK'yi etkinleştirme.

  • BYOK kullanan bir çalışma alanını Power BI Premium'daki bir kapasiteden paylaşılan kapasiteye doğrudan taşıyamazsınız. Önce çalışma alanını BYOK etkin olmayan bir kapasiteye taşımanız gerekir.

  • BYOK kullanan bir çalışma alanını Power BI Premium'daki bir kapasiteden paylaşılan kapasiteye taşırsanız raporlara ve anlamsal modellere Erişilemez hale gelir çünkü bunlar Anahtar ile şifrelenir. Bu durumu önlemek için önce çalışma alanını BYOK (Kendi Anahtarını Getir) etkin olmayan bir kapasiteye taşımanız gerekir.

BYOK etkinleştir

KAG'yi etkinleştirmek için, bu Connect-PowerBIServiceAccount cmdlet'ini kullanarak oturum açarak bir Power BI yöneticisi olmanız gerekir. Ardından, aşağıdaki örnekte gösterildiği gibi BYOK'yu etkinleştirmek için Add-PowerBIEncryptionKey kullanın:

Add-PowerBIEncryptionKey -Name'Contoso Sales' -KeyVaultKeyUri'https://contoso-vault2.vault.azure.net/keys/ContosoKeyVault/b2ab4ba1c7b341eea5ecaaa2wb54c4d2'

Birden çok anahtar eklemek için Add-PowerBIEncryptionKey komutunu, -Name ve -KeyVaultKeyUri için farklı değerlerle çalıştırın.

Cmdlet, mevcut ve gelecekteki kapasiteler için şifrelemeyi etkileyen iki anahtar parametreyi kabul eder. Varsayılan olarak, anahtarlardan hiçbiri ayarlanmadı:

  • -Activate: Bu anahtarın kiracıda henüz şifrelenmemiş tüm mevcut kapasiteler için kullanıldığını gösterir.

  • -Default: Bu anahtarın artık tüm kiracı için varsayılan olduğunu gösterir. Yeni bir kapasite oluşturduğunuzda, kapasite bu anahtarı devralır.

Önemli

-Default belirtirseniz, kiracınızda bu noktadan itibaren oluşturulan tüm kapasiteler, sizin belirttiğiniz anahtar veya güncellenmiş varsayılan bir anahtar ile şifrelenir. Varsayılan işlemi geri alamazsınız, bu nedenle kiracınızdaki premium kapasiteyi KAG kullanmadan oluşturma yeteneğini kaybedersiniz.

Kiracınızda KAG'yi etkinleştirdikten sonra, bir veya daha fazla Power BI kapasitesi için şifreleme anahtarını ayarlayın.

  1. Sonraki adım için gereken kapasite kimliğini almak için Get-PowerBICapacity kullanın.

    Get-PowerBICapacity -Scope Individual

    Cmdlet, aşağıdaki çıkışa benzer bir çıkış döndürür:

    Id              : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
DisplayName     : Test Capacity
Admins          : adam@sometestdomain.com
Sku             : P1
State           : Active
UserAccessRight : Admin
Region          : North Central US

  2. Şifreleme anahtarını ayarlamak için Set-PowerBICapacityEncryptionKey komutunu kullanın:

    Set-PowerBICapacityEncryptionKey -CapacityId xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx -KeyName 'Contoso Sales'

Kiracınız genelinde BYOK'u nasıl kullanacağınızı denetleyebilirsiniz. Örneğin, tek bir kapasiteyi şifrelemek için, -Activate veya -Default olmadan Add-PowerBIEncryptionKey çağrısında bulunun. Ardından, BYOK'yi etkinleştirmek istediğiniz kapasite için Set-PowerBICapacityEncryptionKey'yi arayın.

BYOK yönetimini yapın

Power BI, kiracınızda Kendi Anahtarınızı Getirin (KAG) yönetimini kolaylaştırmak için ek cmdlet'ler sağlar:

  • Bir kapasitenin şu anda kullandığı anahtarı almak için Get-PowerBICapacity kullanın:

    Get-PowerBICapacity -Scope Organization -ShowEncryptionKey

  • Kiracınızın şu anda kullandığı anahtarı almak için Get-PowerBIEncryptionKey kullanın:

    Get-PowerBIEncryptionKey

  • Çalışma alanında anlamsal modellerin şifrelenip şifrelenmediğini ve şifreleme durumlarının çalışma alanıyla eşitlenmiş olup olmadığını görmek için Get-PowerBIWorkspaceEncryptionStatus komutunu kullanın:

    Get-PowerBIWorkspaceEncryptionStatus -Name'Contoso Sales'

    Şifrelemenin kapasite düzeyinde etkinleştirildiğini, ancak belirtilen çalışma alanının anlam modeli düzeyinde şifreleme durumunun alındığını unutmayın.

  • Şifreleme için kullanılan anahtarın sürümünü değiştirmek (veya döndürmek) için Switch-PowerBIEncryptionKey kullanın. Cmdlet, yalnızca bir anahtar için -KeyVaultKeyUri günceller -Name.

    Switch-PowerBIEncryptionKey -Name'Contoso Sales' -KeyVaultKeyUri'https://contoso-vault2.vault.azure.net/keys/ContosoKeyVault/b2ab4ba1c7b341eea5ecaaa2wb54c4d2'

    Geçerli anahtarın etkinleştirilmesi gerektiğini unutmayın.

İlgili içerik