Jaa

Omien salausavainten tuominen Power BI:hin

  • Artikkeli

Power BI salaa lepäävät ja käytössä olevat tiedot. Oletusarvoisesti Power BI käyttää Microsoftin hallitsemia avaimia tietojen salaamiseen. Power BI Premiumissa voit myös käyttää omia avaimia levossa olevien tietojen osalta, jotka on tuotu semanttiseen malliin. Tätä menetelmää kuvataan usein nimellä Bring your own key (BYOK). Lisätietoja on kohdassa Huomioitavaa tietolähteessä ja tallennustilassa.

Miksi BYOK:ta käytetään?

BYOK:n avulla on helpompi noudattaa vaatimuksia, jotka määrittävät avainjärjestelyt pilvipalveluntarjoajan, tässä tapauksessa Microsoftin, kanssa. BYOK:n avulla voit antaa Power BI:n levossa olevien tietojen salausavaimet ja hallita niitä sovellustasolla. Tämän seurauksena voit valvoa organisaatiosi avaimia ja kumota ne, jos päätät lopettaa palvelun. Avainten kumoamisen jälkeen palvelu ei voi lukea tietoja 30 minuuttiin.

Huomioitavaa tietolähteissä ja tallennusvälineissä

BYOK:n käyttäminen edellyttää, että lataat tiedot Power BI -palvelu Power BI Desktop (PBIX) -tiedostosta. Et voi käyttää BYOK:ta seuraavissa skenaarioissa:

BYOK koskee vain semanttisia malleja. Push-semanttisia malleja, Excel-tiedostoja ja CSV-tiedostoja, joita käyttäjät voivat ladata palveluun, ei salata käyttämällä omaa avaintasi. Voit tunnistaa, mitkä kohteet tallennetaan työtiloihin, käyttämällä seuraavaa PowerShell-komentoa:

PS C:\> Get-PowerBIWorkspace -Scope Organization -Include All

Muistiinpano

Tämä cmdlet-komento edellyttää Power BI -hallintamoduulin versiota 1.0.840. Näet, mikä versio sinulla on, suorittamalla komennon Get-InstalledModule -Name MicrosoftPowerBIMgmt. Asenna uusin versio suorittamalla Install-Module -Name MicrosoftPowerBIMgmt. Saat lisätietoja Power BI:n cmdlet-komennosta ja sen parametreista kohdasta Power BI:n PowerShell-cmdlet-komentomoduuli.

Azure Key Vaultin määrittäminen

Tässä osiossa kerrotaan, miten määritetään Azure Key Vault, joka on salausavainten ja esimerkiksi salausavainten tallentamiseen ja käyttöön tarkoitettu työkalu. Voit tallentaa salausavaimia aiemmin luodun avainsäilön avulla tai voit luoda uuden nimenomaan Power BI -käyttöä varten.

Seuraavissa ohjeissa oletetaan, että olet perustiedot Azure Key Vaultista. Jos haluat lisätietoja, katso Mikä on Azure Key Vault?

Määritä avainsäilö seuraavasti:

  1. Lisää Power BI -palvelu key vaultin palvelun päänimeksi ja anna sille paketointi- ja avaamisoikeudet.

  2. Luo RSA-avain , jonka bittipituus on 4096, tai käytä tämäntyyppistä olemassa olevaa avainta, jolla on paketointi- ja avaamisoikeudet.

    Tärkeä

    Power BI BYOK tukee vain RSA-avaimia, joiden pituus on 4096 bittiä.

  3. Suositus: Tarkista, että avainsäilössä on käytössä pehmeä poisto -asetus.

Palvelun päänimen lisääminen

  1. Kirjaudu sisään Azure-portaali ja etsi Key Vaults.

  2. Valitse avainsäilöstä Käyttöoikeuskäytännöt ja valitse sitten Luo.

    Screenshot of the Create button for access policies in the Azure portal.

  3. Valitse Käyttöoikeudet-näytön Avaimen käyttöoikeudet -kohdasta Avaa avain ja paketoi avain ja valitse sitten Seuraava.

    Screenshot of the permission screen to create a new access policy.

  4. Hae ja valitse päänäytöltä Microsoft.Azure.AnalysisServices.

    Muistiinpano

    Jos et löydä Microsoft.Azure.AnalysisServicesia, on todennäköistä, että Azure Key Vaultiin liittyvään Azure-tilaukseen ei ole liitetty Power BI -resurssia. Kokeile hakea sen sijaan seuraavaa merkkijonoa: 00000009-0000-0000-c000-0000000000000.

    Screenshot of the Principal screen to select a new principal for the access policy.

  5. Valitse Seuraava ja sitten Tarkista + luo>Luo.

Muistiinpano

Jos haluat kumota Power BI -käyttöoikeuden tietoihisi, poista tämän palvelun päänimen käyttöoikeudet Azure Key Vaultista.

RSA-avaimen luominen

  1. Valitse avainsäilöstä Avain-kohdasta Luo/Tuo.

  2. Valitse RSA:n avaintyyppi ja RSA-avaimen koko 4096.

    Screenshot of the RSA key type and size selections.

  3. Valitse Luo.

  4. Valitse Avaimet-kohdasta luomasi avain.

  5. Valitse avaimen nykyisen version GUID-tunnus.

  6. Tarkista, että sekä Paketoi avainettä Avaa avain on valittu. Kopioi avaimen tunniste, jota käytetään, kun BYOK on käytössä Power BI:ssä.

    Screenshot of the key properties with the identifier and permitted operations.

Pehmeä poisto -asetus

Ota pehmeä poisto käyttöön avainsäilössä. Tämä suojaa tietojen tahattomalta menetykseltä, jos avainsäilö tai avainsäilö poistetaan vahingossa. Jos haluat ottaa pehmeä poisto -ominaisuuden käyttöön, sinun on käytettävä PowerShelliä, koska tämä asetus ei ole vielä käytettävissä Azure-portaali.

Kun Azure Key Vault on määritetty oikein, olet valmis ottamaan BYOK:n käyttöön vuokraajassasi.

Azure Key Vaultin palomuurin määrittäminen

Tässä osiossa kuvataan luotetun Microsoftin palvelun palomuurin ohitustoiminnon käyttö palomuurin määrittämiseksi Azure Key Vaultin ympärille.

Muistiinpano

Voit halutessasi ottaa palomuurisäännöt käyttöön avainsäilössäsi. Voit myös halutessasi poistaa palomuurin käytöstä avainsäilössä oletusasetuksen mukaan.

Power BI on luotettu Microsoft-palvelu. Voit ohjeistaa avainsäilön palomuuria sallimaan kaikkien luotettujen Microsoft-palvelut käytön. Se on asetus, jonka avulla Power BI voi käyttää avainsäilöäsi määrittämättä päätepisteyhteyksiä.

Jos haluat määrittää Azure Key Vaultin sallimaan luotettujen Microsoft-palvelut käytön, toimi seuraavasti:

  1. Hae Key Vaults Azure-portaali ja valitse sitten avainsäilö, jonka haluat sallia Power BI:stä ja kaikista muista luotetuista Microsoft-palvelut.

  2. Valitse vasemmasta siirtymisruudusta Verkkopalvelut .

  3. Valitse Palomuurit ja näennäisverkot -kohdassa Salli julkinen käyttö tietyistä näennäisverkoista ja IP-osoitteista.

    Screenshot of the Azure Key Vault networking option, with the firewalls and virtual networks option selected.

  4. Vieritä alaspäin Palomuuri-osaan. Valitse Salli luotettujen Microsoft-palvelut, jos haluat ohittaa tämän palomuurin.

    Screenshot of the option to allow trusted Microsoft services to bypass this firewall.

  5. Valitse Käytä.

BYOK:n ottaminen käyttöön vuokraajassa

BYOK otetaan käyttöön vuokraajatasolla PowerShellin avulla. Asenna ensin PowerShellille Power BI -hallintapaketti ja ota käyttöön Azure Key Vaultissa luomasi ja tallentamasi salausavaimet Power BI -vuokraajallesi. Sen jälkeen voit määrittää nämä salausavaimet Premium-kapasiteetin mukaan kapasiteetin sisällön salaamista varten.

Tärkeitä huomioon otettavia seikkoja

Huomioi seuraavat asiat ennen kuin otat BYOK:n käyttöön:

  • Tällä hetkellä et voi poistaa BYOK:ta käytöstä, kun olet ottanut sen käyttöön. -parametrien määritteen Add-PowerBIEncryptionKeymukaan voit hallita sitä, miten BYOK:ta käytetään yhdessä tai useammassa kapasiteetissa. Et voi kuitenkaan perua avainten lisäämistä vuokraajaan. Lisätietoja on kohdassa BYOK:n käyttöönotto.

  • Et voi suoraan siirtää BYOK:ta käyttävää työtilaa Power BI Premium -kapasiteetista jaettuun kapasiteettiin. Sinun on ensin siirrettävä työtila kapasiteettiin, jossa ei käytetä BYOK:ta.

  • Jos siirrät BYOK:ta käyttävän työtilan Power BI Premium -kapasiteetista jaettuun kapasiteettiin, raportteja ja semanttisia malleja ei voi käyttää, koska ne salataan avaimella. Tämän välttämiseksi on ensin siirrettävä työtila kapasiteettiin, jossa ei käytetä BYOK:ta.

BYOK:n käyttöönotto

Byok:n käyttöönotto edellyttää, että olet Power BI -järjestelmänvalvoja ja että olet kirjautunut sisään cmdlet-komennolla Connect-PowerBIServiceAccount . Ota sitten BYOK käyttöön Add-PowerBIEncryptionKey-näppäimen avulla seuraavassa esimerkissä esitetyllä tavalla:

Add-PowerBIEncryptionKey -Name'Contoso Sales' -KeyVaultKeyUri'https://contoso-vault2.vault.azure.net/keys/ContosoKeyVault/b2ab4ba1c7b341eea5ecaaa2wb54c4d2'

Jos haluat lisätä useita avaimia, suorita Add-PowerBIEncryptionKey eri arvoilla lle -Name ja -KeyVaultKeyUri.

Cmdlet-komento hyväksyy kaksi kytkinparametria, jotka vaikuttavat nykyisten ja tulevien kapasiteettien salaukseen. Kumpaakaan kytkintä ei ole oletusarvoisesti määritetty:

  • -Activate: Ilmaisee, että tätä avainta käytetään kaikissa vuokraajan olemassa olevissa kapasiteeteissa, joita ei ole jo salattu.

  • -Default: Ilmaisee, että tämä avain on nyt koko vuokraajan oletusarvo. Kun luot uuden kapasiteetin, kapasiteetti perii tämän avaimen.

Tärkeä

Jos määrität -arvon -Default, kaikki vuokraajallesi tässä vaiheessa luodut kapasiteetit salataan määrittämäsi avaimen tai päivitetyn oletusavaimen avulla. Et voi kumota oletustoimintoa, joten et voi enää luoda premium-kapasiteettia vuokraajaasi, jossa ei käytetä BYOK:ta.

Kun otat BYOK:n käyttöön vuokraajassasi, määritä yhden tai useamman Power BI -kapasiteetin salausavain:

  1. Get-PowerBICapacity-kapasiteetilla saat kapasiteettitunnuksen, jota tarvitaan seuraavassa vaiheessa.

    Get-PowerBICapacity -Scope Individual

    Cmdlet-komento palauttaa seuraavanlaisen tuloksen:

    Id              : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
DisplayName     : Test Capacity
Admins          : adam@sometestdomain.com
Sku             : P1
State           : Active
UserAccessRight : Admin
Region          : North Central US

  2. Aseta salausavain Set-PowerBICapacityEncryptionKey-ominaisuuden avulla:

    Set-PowerBICapacityEncryptionKey -CapacityId xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx -KeyName 'Contoso Sales'

Voit määrittää, miten BYOK:ta käytetään vuokraajassa. Jos haluat esimerkiksi salata yksittäisen kapasiteetin, kutsu Add-PowerBIEncryptionKey ja valitse ilman -Activate tai -Default. Kutsu Set-PowerBICapacityEncryptionKey sitten siinä kapasiteetissa, jossa haluat ottaa BYOK:n käyttöön.

BYOK:n hallinta

Power BI sisältää cmdlet-lisäkomentoreita, joiden avulla voit hallita vuokraajasi BYOK:ta:

  • Get-PowerBICapacity-ominaisuuden avulla saat avaimen, jota kapasiteetti tällä hetkellä käyttää:

    Get-PowerBICapacity -Scope Organization -ShowEncryptionKey

  • Hanki vuokraajan käyttämä avain Get-PowerBIEncryptionKey-toiminnolla :

    Get-PowerBIEncryptionKey

  • Get-PowerBIWorkspaceEncryptionStatus-kohdan avulla voit nähdä, salataanko työtilan semanttiset mallit ja onko niiden salauksen tila synkronoitu työtilan kanssa:

    Get-PowerBIWorkspaceEncryptionStatus -Name'Contoso Sales'

    Huomaa, että salaus on käytössä kapasiteettitasolla, mutta saat salauksen tilan määritetyn työtilan semanttisen mallin tasolla.

  • Vaihda (tai kierrätä) salaukseen käytetyn avaimen versio Switch-PowerBIEncryptionKey-näppäimen avulla. Cmdlet-komento -KeyVaultKeyUri päivittää avaimen -Name-arvon :

    Switch-PowerBIEncryptionKey -Name'Contoso Sales' -KeyVaultKeyUri'https://contoso-vault2.vault.azure.net/keys/ContosoKeyVault/b2ab4ba1c7b341eea5ecaaa2wb54c4d2'

    Ota huomioon, että nykyinen avain tulee ottaa käyttöön.

Liittyvä sisältö