Χρήση των δικών σας κλειδιών κρυπτογράφησης για το Power BI

Το Power BI κρυπτογραφεί τα δεδομένα όταν είναι σε αδράνεια και όταν είναι σε επεξεργασία. Από προεπιλογή, το Power BI χρησιμοποιεί διαχειριζόμενα κλειδιά της Microsoft για την κρυπτογράφηση των δεδομένων σας. Στο Power BI Premium, μπορείτε επίσης να χρησιμοποιήσετε τα δικά σας κλειδιά για δεδομένα σε αδράνεια που εισάγονται σε ένα μοντέλο σημασιολογίας. Αυτή η προσέγγιση περιγράφεται συχνά ως Χρήση του δικού σας κλειδιού (BYOK). Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Ζητήματα προέλευσης και αποθήκευσης δεδομένων.

Γιατί να χρησιμοποιήσω την BYOK;

Η BYOK διευκολύνει την ικανοποίηση απαιτήσεων συμμόρφωσης που καθορίζουν ρυθμίσεις κλειδιών με την υπηρεσία παροχής cloud, σε αυτή την περίπτωση τη Microsoft. Με την BYOK, παρέχετε και ελέγχετε τα κλειδιά κρυπτογράφησης για τα δεδομένα σας Power BI σε αδράνεια στο επίπεδο εφαρμογής. Κατά συνέπεια, μπορείτε να ελέγχετε και να ανακαλέσετε τα κλειδιά του οργανισμού σας, σε περίπτωση που αποφασίσετε να τερματίσετε την υπηρεσία. Με την ανάκληση των κλειδιών, δεν είναι δυνατή η ανάγνωση των δεδομένων στην υπηρεσία εντός 30 λεπτών.

Ζητήματα προέλευσης και αποθήκευσης δεδομένων

Για να χρησιμοποιήσετε τη δυνατότητα BYOK, πρέπει να αποστείλετε δεδομένα στην Υπηρεσία Power BI από ένα αρχείο Power BI Desktop (PBIX). Δεν μπορείτε να χρησιμοποιήσετε την BYOK στα παρακάτω σενάρια:

• Δυναμική Σύνδεση υπηρεσιών ανάλυσης
• Βιβλία εργασίας του Excel, εκτός εάν τα δεδομένα εισαχθούν πρώτα στο Power BI Desktop
• Προώθηση σημασιολογικών μοντέλων
• Σημασιολογικά μοντέλα ροής
• Τα μετρικά του Power BI δεν υποστηρίζουν προς το παρόν BYOK

Η BYOK ισχύει μόνο για σημασιολογικά μοντέλα. Τα σημασιολογικά μοντέλα προώθησης, τα αρχεία Excel και τα αρχεία CSV που μπορούν να αποστείλουν οι χρήστες στην υπηρεσία δεν κρυπτογραφούνται με το δικό σας κλειδί. Για να προσδιορίσετε ποια στοιχεία αποθηκεύονται στους χώρους εργασίας σας, χρησιμοποιήστε την ακόλουθη εντολή PowerShell:

PS C:\> Get-PowerBIWorkspace -Scope Organization -Include All

Σημείωμα

Αυτό το cmdlet απαιτεί τη μονάδα διαχείρισης Power BI v1.0.840. Μπορείτε να δείτε ποια έκδοση έχετε εκτελώντας Get-InstalledModule -Name MicrosoftPowerBIMgmt. Εγκαταστήστε την πιο πρόσφατη έκδοση εκτελώντας Install-Module -Name MicrosoftPowerBIMgmtτο . Μπορείτε να λάβετε περισσότερες πληροφορίες σχετικά με το Power BI cmdlet και τις παραμέτρους του στη λειτουργική μονάδα Power BI PowerShell cmdlet.

Ρύθμιση παραμέτρων του Azure Key Vault

Αυτή η ενότητα εξηγεί πώς μπορείτε να ρυθμίσετε τις παραμέτρους του Azure Key Vault, ενός εργαλείου για την ασφαλή αποθήκευση και πρόσβαση σε μυστικά στοιχεία, όπως τα κλειδιά κρυπτογράφησης. Μπορείτε να χρησιμοποιήσετε έναν υπάρχοντα θάλαμο κλειδιών για την αποθήκευση κλειδιών κρυπτογράφησης ή μπορείτε να δημιουργήσετε έναν νέο ειδικά για χρήση με το Power BI.

Οι παρακάτω οδηγίες προϋποθέτουν βασικές γνώσεις του Azure Key Vault. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Τι είναι το Azure Key Vault;

Ρυθμίστε τις παραμέτρους του θαλάμου κλειδιών ως εξής:

1. Προσθέστε το Υπηρεσία Power BI ως κύρια υπηρεσία για τον θάλαμο κλειδιών, με δικαιώματα αναδίπλωσης και κατάργησης αναδίπλωσης.

2. Δημιουργήστε ένα κλειδί RSA με μήκος 4096 bit ή χρησιμοποιήστε ένα υπάρχον κλειδί αυτού του τύπου, με δικαιώματα αναδίπλωσης και κατάργησης αναδίπλωσης.

   Σημαντικό

   Το Power BI BYOK υποστηρίζει μόνο κλειδιά RSA με μήκος 4096 bit.

3. Συνιστάται: Βεβαιωθείτε ότι ο θάλαμος κλειδιών έχει ενεργοποιημένη την επιλογή προσωρινή διαγραφή.

Προσθήκη της κύριας υπηρεσίας

1. Συνδεθείτε στην πύλη Azure και κάντε αναζήτηση για Key Vaults.

2. Στον θάλαμο κλειδιών σας, επιλέξτε Πολιτικές πρόσβασης και, στη συνέχεια, επιλέξτε Δημιουργία.

   

3. Στην οθόνη Δικαιώματα, στην περιοχή Δικαιώματα κλειδιού, επιλέξτε Αναδίπλωση κλειδιού και Κατάργηση αναδίπλωσης κλειδιού και, στη συνέχεια, επιλέξτε Επόμενο.

   

4. Στην οθόνη Principal, αναζητήστε και επιλέξτε Microsoft.Azure.AnalysisServices.

   Σημείωμα

   Εάν δεν μπορείτε να βρείτε το Microsoft.Azure.AnalysisServices, είναι πιθανό ότι η συνδρομή Azure που συσχετίζεται με το Azure Key Vault δεν είχε ποτέ έναν πόρο Power BI συσχετισμένο με αυτή. Δοκιμάστε να αναζητήσετε την ακόλουθη συμβολοσειρά: 00000009-0000-0000-c000-000000000000.

   

5. Επιλέξτε Επόμενο και, στη συνέχεια, Αναθεώρηση + δημιουργία>Δημιουργία.

Σημείωμα

Για να ανακαλέσετε την πρόσβαση του Power BI στα δεδομένα σας, καταργήστε τα δικαιώματα πρόσβασης σε αυτήν την κύρια υπηρεσία από το Azure Key Vault.

Δημιουργία κλειδιού RSA

1. Στον θάλαμο κλειδιών σας, στην περιοχή Κλειδιά, επιλέξτε Δημιουργία/Εισαγωγή.

2. Επιλέξτε τύπο κλειδιού RSA και μέγεθος κλειδιού RSA 4096.

   

3. Επιλέξτε Δημιουργία.

4. Στην περιοχή Κλειδιά, επιλέξτε το κλειδί που δημιουργήσατε.

5. Επιλέξτε το GUID για την τρέχουσα έκδοση του κλειδιού.

6. Βεβαιωθείτε ότι τα πλήκτρα Αναδίπλωση καιΚλειδί κατάργησης αναδίπλωσης είναι και τα δύο επιλεγμένα. Αντιγράψτε το Αναγνωριστικό κλειδιού για χρήση κατά την ενεργοποίηση της BYOK στο Power BI.

   

Επιλογή προσωρινής διαγραφής

Θα πρέπει να ενεργοποιήσετε την προσωρινή διαγραφή στον θάλαμο κλειδιών σας για την προστασία από απώλεια δεδομένων σε περίπτωση ακούσιας διαγραφής του κλειδιού ή του θαλάμου κλειδιών. Για να ενεργοποιήσετε την ιδιότητα προσωρινής διαγραφής , πρέπει να χρησιμοποιήσετε το PowerShell επειδή αυτή η επιλογή δεν είναι διαθέσιμη ακόμα στην πύλη Azure.

Έχοντας ρυθμίσει σωστά τις παραμέτρους του Azure Key Vault, είστε έτοιμοι να ενεργοποιήσετε την BYOK στον μισθωτή σας.

Ρύθμιση παραμέτρων του τείχους προστασίας Azure Key Vault

Αυτή η ενότητα περιγράφει τη χρήση της αξιόπιστης παράκαμψης τείχους προστασίας υπηρεσίας της Microsoft, για τη ρύθμιση παραμέτρων ενός τείχους προστασίας γύρω από το Azure Key Vault.

Σημείωμα

Μπορείτε να ενεργοποιήσετε τους κανόνες τείχους προστασίας στον θάλαμο κλειδιών σας. Μπορείτε επίσης να επιλέξετε να αφήσετε το τείχος προστασίας απενεργοποιημένο στον θάλαμο κλειδιών σας σύμφωνα με την προεπιλεγμένη ρύθμιση.

Το Power BI είναι μια αξιόπιστη υπηρεσία της Microsoft. Μπορείτε να καθοδηγήσετε το τείχος προστασίας θαλάμου κλειδιών ώστε να επιτρέπεται η πρόσβαση σε όλες τις αξιόπιστες Υπηρεσίες της Microsoft, μια ρύθμιση που επιτρέπει στο Power BI την πρόσβαση στον θάλαμο κλειδιών σας χωρίς να καθορίζονται συνδέσεις τελικού σημείου.

Για να ρυθμίσετε τις παραμέτρους του Azure Key Vault για να επιτρέψετε την πρόσβαση σε αξιόπιστες Υπηρεσίες της Microsoft, ακολουθήστε τα εξής βήματα:

1. Κάντε αναζήτηση για Key Vault στην πύλη Azure και, στη συνέχεια, επιλέξτε τον θάλαμο κλειδιών που θέλετε να επιτρέψετε την πρόσβαση από το Power BI και όλες τις άλλες αξιόπιστες Υπηρεσίες της Microsoft.

2. Επιλέξτε Δικτύωση από την αριστερή πλευρά του πίνακα περιήγησης.

3. Στην περιοχή Τείχη προστασίας και εικονικά δίκτυα, επιλέξτε Να επιτρέπεται η δημόσια πρόσβαση από συγκεκριμένα εικονικά δίκτυα και διευθύνσεις IP.

   

4. Κάντε κύλιση προς τα κάτω στην ενότητα Τείχος προστασίας . Επιλέξτε Να επιτρέπεται η αξιόπιστη Υπηρεσίες της Microsoft για να παρακάμψετε αυτό το τείχος προστασίας.

   

5. Επιλέξτε Εφαρμογή.

Ενεργοποίηση BYOK στον μισθωτή σας

Μπορείτε να ενεργοποιήσετε την BYOK στο επίπεδο μισθωτή χρησιμοποιώντας το PowerShell. Αρχικά, εγκαταστήστε το πακέτο διαχείρισης Power BI για το PowerShell και εισαγάγετε τα κλειδιά κρυπτογράφησης που δημιουργήσατε και αποθηκεύσατε στο Azure Key Vault στον μισθωτή σας Power BI. Στη συνέχεια, εκχωρείτε αυτά τα κλειδιά κρυπτογράφησης ανά σύνολο Premium εκχωρημένων πόρων για την κρυπτογράφηση περιεχομένου στους εκχωρημένους πόρους.

Σημαντικές επισημάνσεις

Προτού ενεργοποιήσετε την BYOK, έχετε υπόψη τα παρακάτω ζητήματα:

• Προς το παρόν, δεν μπορείτε να απενεργοποιήσετε την BYOK αφού την ενεργοποιήσετε. Ανάλογα με τον τρόπο που καθορίζετε τις παραμέτρους για Add-PowerBIEncryptionKeyτο , μπορείτε να ελέγξετε τον τρόπο χρήσης της BYOK για ένα ή περισσότερα σύνολα εκχωρημένων πόρων. Ωστόσο, δεν μπορείτε να αναιρέσετε την εισαγωγή των κλειδιών στον μισθωτή σας. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Ενεργοποίηση BYOK.

• Δεν μπορείτε να μετακινήσετε απευθείας έναν χώρο εργασίας που χρησιμοποιεί BYOK από εκχωρημένους πόρους στο Power BI Premium σε κοινόχρηστους εκχωρημένους πόρους. Πρέπει πρώτα να μετακινήσετε τον χώρο εργασίας σε ένα σύνολο εκχωρημένων πόρων που δεν έχει ενεργοποιημένη την BYOK.

• Εάν μετακινήσετε έναν χώρο εργασίας που χρησιμοποιεί το BYOK από εκχωρημένους πόρους στο Power BI Premium σε κοινόχρηστους εκχωρημένους πόρους, αναφορές και σημασιολογικά μοντέλα καθίστανται μη προσβάσιμα καθώς κρυπτογραφούνται με το Κλειδί. Για να το αποφύγετε αυτό, πρέπει πρώτα να μετακινήσετε τον χώρο εργασίας σε εκχωρημένους πόρους που δεν έχουν ενεργοποιημένο το BYOK.

Ενεργοποίηση BYOK

Για να ενεργοποιήσετε την BYOK, πρέπει να είστε διαχειριστής Του Power BI και να έχετε εισέλθει χρησιμοποιώντας το Connect-PowerBIServiceAccount cmdlet. Στη συνέχεια, χρησιμοποιήστε το Add-PowerBIEncryptionKey για να ενεργοποιήσετε την BYOK, όπως φαίνεται στο παρακάτω παράδειγμα:

Add-PowerBIEncryptionKey -Name'Contoso Sales' -KeyVaultKeyUri'https://contoso-vault2.vault.azure.net/keys/ContosoKeyVault/b2ab4ba1c7b341eea5ecaaa2wb54c4d2'

Για να προσθέσετε πολλά κλειδιά, εκτελέστε Add-PowerBIEncryptionKey το με διαφορετικές τιμές για -Name και -KeyVaultKeyUri.

Το cmdlet δέχεται δύο παραμέτρους-διακόπτες που επηρεάζουν την κρυπτογράφηση για τρέχοντα και μελλοντικά σύνολα εκχωρημένων πόρων. Από προεπιλογή, κανένας από τους διακόπτες δεν έχει οριστεί:

• -Activate: Υποδεικνύει ότι αυτό το κλειδί χρησιμοποιείται για όλα τα υπάρχοντα σύνολα εκχωρημένων πόρων στον μισθωτή που δεν είναι ήδη κρυπτογραφημένα.

• -Default: Υποδεικνύει ότι αυτό το κλειδί είναι η προεπιλογή τώρα για ολόκληρο τον μισθωτή. Όταν δημιουργείτε ένα νέο σύνολο εκχωρημένων πόρων, οι εκχωρημένοι πόροι μεταβιβάζονται σε αυτό το κλειδί.

Σημαντικό

Εάν καθορίσετε -Default, όλα τα σύνολα εκχωρημένων πόρων που θα δημιουργηθούν στον μισθωτή σας από αυτό το σημείο κρυπτογραφούνται χρησιμοποιώντας το κλειδί που καθορίζετε ή ένα ενημερωμένο προεπιλεγμένο κλειδί. Δεν μπορείτε να αναιρέσετε την προεπιλεγμένη λειτουργία, επομένως χάνετε τη δυνατότητα δημιουργίας premium εκχωρημένων πόρων στον μισθωτή σας που δεν χρησιμοποιεί BYOK.

Αφού ενεργοποιήσετε το BYOK στον μισθωτή σας, ορίστε το κλειδί κρυπτογράφησης για ένα ή περισσότερα σύνολα εκχωρημένων πόρων Του Power BI:

1. Χρησιμοποιήστε την ιδιότητα Get-PowerBICapacity για να λάβετε το αναγνωριστικό εκχωρημένων πόρων που απαιτείται για το επόμενο βήμα.

   Get-PowerBICapacity -Scope Individual
   

   Το cmdlet επιστρέφει έξοδο παρόμοια με την ακόλουθη έξοδο:

   Id              : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
   DisplayName     : Test Capacity
   Admins          : adam@sometestdomain.com
   Sku             : P1
   State           : Active
   UserAccessRight : Admin
   Region          : North Central US
   

2. Χρησιμοποιήστε το Set-PowerBICapacityEncryptionKey για να ορίσετε το κλειδί κρυπτογράφησης:

   Set-PowerBICapacityEncryptionKey -CapacityId xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx -KeyName 'Contoso Sales'
   

Έχετε τον έλεγχο του τρόπου χρήσης της BYOK στον μισθωτή σας. Για παράδειγμα, για να κρυπτογραφήσετε ένα σύνολο εκχωρημένων πόρων, καλέστε Add-PowerBIEncryptionKey το χωρίς -Activate ή -Default. Στη συνέχεια, καλέστε Set-PowerBICapacityEncryptionKey το για τους εκχωρημένους πόρους όπου θέλετε να ενεργοποιήσετε την BYOK.

Διαχείριση BYOK

Το Power BI παρέχει πρόσθετα cmdlet για τη διαχείριση της BYOK στον μισθωτή σας:

• Χρησιμοποιήστε την get-PowerBICapacity για να λάβετε το κλειδί που χρησιμοποιούν αυτήν τη στιγμή οι εκχωρημένοι πόροι:

  Get-PowerBICapacity -Scope Organization -ShowEncryptionKey
  

• Χρησιμοποιήστε το Get-PowerBIEncryptionKey για να λάβετε το κλειδί που χρησιμοποιεί αυτή τη στιγμή ο μισθωτής σας:

  Get-PowerBIEncryptionKey
  

• Χρησιμοποιήστε τη get-PowerBIWorkspaceEncryptionStatus για να δείτε εάν τα σημασιολογικά μοντέλα σε έναν χώρο εργασίας είναι κρυπτογραφημένα και εάν η κατάσταση κρυπτογράφησής τους είναι συγχρονισμένη με τον χώρο εργασίας:

  Get-PowerBIWorkspaceEncryptionStatus -Name'Contoso Sales'
  

  Σημειώστε ότι η κρυπτογράφηση ενεργοποιείται στο επίπεδο των εκχωρημένων πόρων, αλλά λαμβάνετε την κατάσταση κρυπτογράφησης στο επίπεδο σημασιολογικού μοντέλου για τον καθορισμένο χώρο εργασίας.

• Χρησιμοποιήστε το Switch-PowerBIEncryptionKey για εναλλαγή (ή περιστροφή) της έκδοσης του κλειδιού που χρησιμοποιείται για κρυπτογράφηση. Το cmdlet απλώς ενημερώνει το -KeyVaultKeyUri για ένα κλειδί -Name:

  Switch-PowerBIEncryptionKey -Name'Contoso Sales' -KeyVaultKeyUri'https://contoso-vault2.vault.azure.net/keys/ContosoKeyVault/b2ab4ba1c7b341eea5ecaaa2wb54c4d2'
  

  Σημειώστε ότι το τρέχον κλειδί θα πρέπει να είναι ενεργοποιημένο.

Σχετικό περιεχόμενο

• Επισκόπηση της εκπαιδευτικής ενότητας Power BI PowerShell cmdlet.

• Τρόποι κοινής χρήσης της εργασίας σας στο Power BI.

• Φιλτράρετε μια αναφορά χρησιμοποιώντας παραμέτρους συμβολοσειράς ερωτήματος στη διεύθυνση URL.

• Ενσωμάτωση με το τμήμα web αναφοράς στο SharePoint Online.

• Δημοσίευση στο web από το Power BI.

• Τι είναι το Power BI Premium;