Saját titkosítási kulcsok használata a Power BI-hoz

  • Cikk

A Power BI inaktív és folyamatban lévő adatokattitkosít. A Power BI alapértelmezés szerint a Microsoft által felügyelt kulcsokkal titkosítja az adatokat. A Power BI Premiumban a saját kulcsait is használhatja a szemantikai modellbe importált inaktív adatokhoz. Ezt a megközelítést gyakran saját kulcs (BYOK) néven is ismertetjük. További információkért tekintse meg az adatforrással és a tárolással kapcsolatos szempontokat.

Miért érdemes használni a BYOK-ot?

A BYOK megkönnyíti azoknak a megfelelőségi követelményeknek való megfelelést, amelyek a felhőszolgáltatóval, ebben az esetben a Microsofttal kapcsolatos legfontosabb szabályokat határozzák meg. A BYOK használatával az alkalmazás szintjén megadhatja és szabályozhatja a Power BI-adatok inaktív állapotban lévő titkosítási kulcsait. Ennek eredményeképpen gyakorolhatja az irányítást, és visszavonhatja a szervezet kulcsait, ha úgy dönt, hogy kilép a szolgáltatásból. A kulcsok visszavonásával az adatok 30 percen belül olvashatatlanná válnak a szolgáltatás számára.

Adatforrás- és tárolási szempontok

A BYOK használatához adatokat kell feltöltenie a Power BI szolgáltatás egy Power BI Desktop-fájlból (PBIX). A BYOK nem használható a következő esetekben:

A BYOK csak szemantikai modellekre vonatkozik. A felhasználók által a szolgáltatásba feltölthető szemantikai modellek, Excel-fájlok és CSV-fájlok nem titkosítva lesznek saját kulccsal. A munkaterületeken tárolt elemek azonosításához használja a következő PowerShell-parancsot:

PS C:\> Get-PowerBIWorkspace -Scope Organization -Include All

Feljegyzés

Ehhez a parancsmaghoz a Power BI 1.0.840-s verziós felügyeleti modulja szükséges. A futtatással láthatja, hogy melyik verzióval rendelkezik Get-InstalledModule -Name MicrosoftPowerBIMgmt. Telepítse a legújabb verziót a futtatással Install-Module -Name MicrosoftPowerBIMgmt. A Power BI-parancsmagról és annak paramétereiről a Power BI PowerShell-parancsmag moduljában talál további információt.

Az Azure Key Vault konfigurálása

Ez a szakasz bemutatja, hogyan konfigurálhatja az Azure Key Vaultot, amely egy olyan eszköz, amely biztonságosan tárolja és éri el a titkos kulcsokat, például a titkosítási kulcsokat. Használhat egy meglévő kulcstartót a titkosítási kulcsok tárolására, vagy létrehozhat egy újat kifejezetten a Power BI-hoz.

Az alábbi utasítások feltételezik az Azure Key Vault alapszintű ismeretét. További információ: Mi az Az Azure Key Vault?

Konfigurálja a kulcstartót a következő módon:

  1. Adja hozzá a Power BI szolgáltatás szolgáltatásnévként a kulcstartóhoz, körbefuttatási és kicsomagolási engedélyekkel.

  2. Hozzon létre egy 4096 bites RSA-kulcsot , vagy használjon egy ilyen típusú meglévő kulcsot körbefuttatási és feloldó engedélyekkel.

    Fontos

    A Power BI BYOK csak 4096 bites RSA-kulcsokat támogat.

  3. Ajánlott: Ellenőrizze, hogy a kulcstartóban engedélyezve van-e a helyreállítható törlési beállítás.

A szolgáltatásnév hozzáadása

  1. Jelentkezzen be az Azure Portalra , és keressen a Key Vaultokra.

  2. A kulcstartóban válassza az Access-szabályzatok, majd a Létrehozás lehetőséget.

    Screenshot of the Create button for access policies in the Azure portal.

  3. Az Engedélyek képernyőn a Kulcsengedélyek csoportban válassza a Kulcs és a Tördeléskulcs feloldása, majd a Tovább gombot.

    Screenshot of the permission screen to create a new access policy.

  4. Az Egyszerű képernyőn keresse meg és válassza ki a Microsoft.Azure.AnalysisServices szolgáltatást.

    Feljegyzés

    Ha nem találja a Microsoft.Azure.AnalysisServices szolgáltatást, valószínű, hogy az Azure Key Vaulthoz társított Azure-előfizetéshez soha nem volt power BI-erőforrás társítva. Keressen inkább a következő sztringre: 00000009-0000-0000-c000-00000000000.

    Screenshot of the Principal screen to select a new principal for the access policy.

  5. Válassza a Tovább lehetőséget, majd a Felülvizsgálat + létrehozás lehetőséget>.

Feljegyzés

Az adatokHoz való Power BI-hozzáférés visszavonásához távolítsa el a szolgáltatásnév hozzáférési jogosultságait az Azure Key Vaultból.

RSA-kulcs létrehozása

  1. A kulcstartó Kulcsok területén válassza a Létrehozás/Importálás lehetőséget.

  2. Válassza ki az RSA kulcstípusát és a 4096-os RSA-kulcsméretet.

    Screenshot of the RSA key type and size selections.

  3. Válassza a Létrehozás lehetőséget.

  4. A Kulcsok csoportban válassza ki a létrehozott kulcsot.

  5. Válassza ki a kulcs aktuális verziójának GUID azonosítóját.

  6. Ellenőrizze, hogy a Wrap Key és a Unwrap Key is ki van-e jelölve. Másolja ki a kulcsazonosítót a BYOK Power BI-ban való engedélyezéséhez.

    Screenshot of the key properties with the identifier and permitted operations.

Helyreállítható törlési lehetőség

Engedélyeznie kell a helyreállítható törlést a kulcstartón, hogy védelmet nyújthasson az adatvesztés ellen véletlen kulcs vagy kulcstartó törlése esetén. A helyreállítható törlés tulajdonság engedélyezéséhez a PowerShellt kell használnia, mert ez a lehetőség még nem érhető el az Azure Portalon.

Az Azure Key Vault megfelelő konfigurálásával készen áll a BYOK engedélyezésére a bérlőn.

Az Azure Key Vault tűzfalának konfigurálása

Ez a szakasz a megbízható Microsoft-szolgáltatás tűzfalának megkerülését ismerteti az Azure Key Vault körüli tűzfal konfigurálásához.

Feljegyzés

Engedélyezheti a tűzfalszabályokat a kulcstartón. Dönthet úgy is, hogy az alapértelmezett beállításnak megfelelően letiltja a tűzfalat a kulcstartóban.

A Power BI egy megbízható Microsoft-szolgáltatás. Utasíthatja a key vault tűzfalát, hogy engedélyezze az összes megbízható Microsoft-szolgáltatások való hozzáférést. Ez a beállítás lehetővé teszi, hogy a Power BI végpontkapcsolatok megadása nélkül férhessen hozzá a kulcstartóhoz.

Ha az Azure Key Vaultot úgy szeretné konfigurálni, hogy engedélyezze a megbízható Microsoft-szolgáltatások való hozzáférést, kövesse az alábbi lépéseket:

  1. Keresse meg a Key Vaultokat az Azure Portalon, majd válassza ki azt a kulcstartót, amelyet engedélyezni szeretne a Power BI-ból és az összes többi megbízható Microsoft-szolgáltatások.

  2. A bal oldali navigációs panelen válassza a Hálózatkezelés lehetőséget.

  3. A Tűzfalak és virtuális hálózatok csoportban válassza a Nyilvános hozzáférés engedélyezése adott virtuális hálózatokról és IP-címekről lehetőséget.

    Screenshot of the Azure Key Vault networking option, with the firewalls and virtual networks option selected.

  4. Görgessen le a Tűzfal szakaszhoz. Válassza a Megbízható Microsoft-szolgáltatások engedélyezése lehetőséget a tűzfal megkerüléséhez.

    Screenshot of the option to allow trusted Microsoft services to bypass this firewall.

  5. Válassza az Alkalmazás lehetőséget.

BYOK engedélyezése a bérlőn

A BYOK-ot bérlői szinten a PowerShell használatával engedélyezheti. Először telepítse a PowerShellhez készült Power BI felügyeleti csomagot, és mutassa be az Azure Key Vaultban létrehozott és tárolt titkosítási kulcsokat a Power BI-bérlőnek. Ezt követően prémium szintű kapacitásonként hozzárendelheti ezeket a titkosítási kulcsokat a kapacitásban lévő tartalom titkosításához.

Fontos tényezők

A BYOK engedélyezése előtt tartsa szem előtt az alábbi szempontokat:

  • Az engedélyezés után jelenleg nem tilthatja le a BYOK-ot. Attól függően, hogy hogyan adja meg a Add-PowerBIEncryptionKeyparamétereket, szabályozhatja, hogyan használja a BYOK-ot egy vagy több kapacitásához. Azonban nem vonhatja vissza a kulcsok bérlői bevezetésének visszavonását. További információ: BYOK engedélyezése.

  • A BYOK-ot használó munkaterületeket nem helyezheti át közvetlenül a Power BI Premium egyik kapacitásából egy megosztott kapacitásba. Először olyan kapacitásba kell áthelyeznie a munkaterületet, amely nincs engedélyezve a BYOK-tal.

  • Ha a BYOK-ot használó munkaterületet a Power BI Premium egyik kapacitásából egy megosztott kapacitásba helyezi át, a jelentések és szemantikai modellek elérhetetlenné válnak, mivel titkosítva vannak a kulccsal. A helyzet elkerülése érdekében először olyan kapacitásba kell áthelyeznie a munkaterületet, amely nem rendelkezik byok-kompatibilis kapacitással.

BYOK engedélyezése

A BYOK engedélyezéséhez Power BI-rendszergazdának kell lennie, és a Connect-PowerBIServiceAccount parancsmag használatával kell bejelentkeznie. Ezután használja az Add-PowerBIEncryptionKey parancsot a BYOK engedélyezéséhez, ahogyan az alábbi példában látható:

Add-PowerBIEncryptionKey -Name'Contoso Sales' -KeyVaultKeyUri'https://contoso-vault2.vault.azure.net/keys/ContosoKeyVault/b2ab4ba1c7b341eea5ecaaa2wb54c4d2'

Több kulcs hozzáadásához futtassa Add-PowerBIEncryptionKey a különböző értékeket a következőhöz -Name : és -KeyVaultKeyUri.

A parancsmag két kapcsolóparamétert fogad el, amelyek befolyásolják a jelenlegi és jövőbeli kapacitások titkosítását. Alapértelmezés szerint egyik kapcsoló sem van beállítva:

  • -Activate: Azt jelzi, hogy a rendszer ezt a kulcsot használja a bérlő összes meglévő kapacitásához, amely még nincs titkosítva.

  • -Default: Azt jelzi, hogy ez a kulcs az alapértelmezett a teljes bérlő esetében. Új kapacitás létrehozásakor a kapacitás örökli ezt a kulcsot.

Fontos

Ha megadja -Default, a bérlőn ezen a ponton létrehozott összes kapacitás titkosítva lesz a megadott kulccsal vagy egy frissített alapértelmezett kulccsal. Az alapértelmezett műveletet nem vonhatja vissza, így nem hozhat létre prémium szintű kapacitást a bérlőjében, amely nem használja a BYOK-ot.

Miután engedélyezte a BYOK-ot a bérlőn, állítsa be a titkosítási kulcsot egy vagy több Power BI-kapacitáshoz:

  1. A Get-PowerBICapacity használatával kérje le a következő lépéshez szükséges kapacitásazonosítót.

    Get-PowerBICapacity -Scope Individual

    A parancsmag a következő kimenethez hasonló kimenetet ad vissza:

    Id              : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
DisplayName     : Test Capacity
Admins          : adam@sometestdomain.com
Sku             : P1
State           : Active
UserAccessRight : Admin
Region          : North Central US

  2. A set-PowerBICapacityEncryptionKey használatával állítsa be a titkosítási kulcsot:

    Set-PowerBICapacityEncryptionKey -CapacityId xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx -KeyName 'Contoso Sales'

Ön szabályozhatja, hogyan használja a BYOK-ot a bérlőn. Ha például egyetlen kapacitást szeretne titkosítani, hívás nélkül Add-PowerBIEncryptionKey vagy -Defaultanélkül-Activate. Ezután hívja meg Set-PowerBICapacityEncryptionKey azt a kapacitást, ahol engedélyezni szeretné a BYOK-ot.

BYOK kezelése

A Power BI további parancsmagokkal segíti a BYOK kezelését a bérlőben:

  • A Get-PowerBICapacity használatával lekérheti a kapacitás által jelenleg használt kulcsot:

    Get-PowerBICapacity -Scope Organization -ShowEncryptionKey

  • A Get-PowerBIEncryptionKey használatával kérje le a bérlő által jelenleg használt kulcsot:

    Get-PowerBIEncryptionKey

  • A Get-PowerBIWorkspaceEncryptionStatus használatával ellenőrizheti, hogy a munkaterület szemantikai modelljei titkosítva vannak-e, és hogy a titkosítási állapotuk szinkronban van-e a munkaterülettel:

    Get-PowerBIWorkspaceEncryptionStatus -Name'Contoso Sales'

    Vegye figyelembe, hogy a titkosítás kapacitásszinten engedélyezve van, de a titkosítás állapota a megadott munkaterület szemantikai modell szintjén történik.

  • A Switch-PowerBIEncryptionKey használatával válthatja (vagy elforgathatja) a titkosításhoz használt kulcs verzióját. A parancsmag egyszerűen frissíti a -KeyVaultKeyUri kulcsot -Name:

    Switch-PowerBIEncryptionKey -Name'Contoso Sales' -KeyVaultKeyUri'https://contoso-vault2.vault.azure.net/keys/ContosoKeyVault/b2ab4ba1c7b341eea5ecaaa2wb54c4d2'

    Vegye figyelembe, hogy az aktuális kulcsot engedélyezni kell.

Kapcsolódó tartalom