Sus propias claves de cifrado para Power BIBring your own encryption keys for Power BI

Power BI cifra los datos en reposo y en proceso.Power BI encrypts data at-rest and in process. De forma predeterminada, Power BI usa claves administradas por Microsoft para cifrar los datos.By default, Power BI uses Microsoft-managed keys to encrypt your data. En Power BI Premium también puede usar sus propias claves para datos en reposo que se importan en un conjunto de datos (consulte Consideraciones sobre el origen de datos y el almacenamiento para más información).In Power BI Premium you can also use your own keys for data at-rest that is imported into a dataset (see Data source and storage considerations for more information). Este enfoque suele describirse como Bring Your Own Key (BYOK).This approach is often described as bring your own key (BYOK).

¿Por qué usar BYOK?Why use BYOK?

BYOK permite satisfacer más fácilmente los requisitos de cumplimiento que especifican las condiciones de las claves con el proveedor de servicios en la nube (en este caso de Microsoft).BYOK makes it easier to meet compliance requirements that specify key arrangements with the cloud service provider (in this case Microsoft). Con BYOK, puede proporcionar y controlar las claves de cifrado para los datos en reposo de Power BI en el nivel de aplicación.With BYOK, you provide and control the encryption keys for your Power BI data at-rest at the application level. Como resultado, puede ejercer el control y revocar las claves de la organización si decide dejar el servicio.As a result, you can exercise control and revoke your organization's keys, should you decide to exit the service. Al revocar las claves, los datos son ilegibles para el servicio en 30 minutos.By revoking the keys, the data is unreadable to the service within 30 minutes.

Importante

Power BI Premium publicó recientemente una nueva versión Premium, denominada Premium Gen2, que se encuentra actualmente en versión preliminar.Power BI Premium recently released a new version of Premium, called Premium Gen2, which is currently in preview. Las capacidades de Gen2 en versión preliminar no admiten BYOK mientras se encuentra en versión preliminar.Preview Gen2 capacities do not support BYOK while in preview.

Consideraciones sobre el origen de datos y el almacenamientoData source and storage considerations

Para usar BYOK, debe cargar los datos en el servicio Power BI desde un archivo de Power BI Desktop (PBIX).To use BYOK, you must upload data to the Power BI service from a Power BI Desktop (PBIX) file. No se puede usar BYOK en los siguientes escenarios:You cannot use BYOK in the following scenarios:

BYOK solo se puede usar con conjuntos de datos.BYOK applies only to datasets. Los conjuntos de datos de inserción, los archivos de Excel y los archivos CSV que los usuarios pueden cargar en el servicio no se cifran con su clave personal propia.Push datasets, Excel files, and CSV files that users can upload to the service are not encrypted using your own key. Para identificar los artefactos que se almacenan en las áreas de trabajo, use el siguiente comando de PowerShell:To identify which artifacts are stored in your workspaces, use the following PowerShell command:

PS C:\> Get-PowerBIWorkspace -Scope Organization -Include All

Nota

Este cmdlet requiere el módulo de administración de Power BI versión 1.0.840.This cmdlet requires Power BI management module v1.0.840. Para saber qué versión tiene, ejecute Get-InstalledModule-Name MicrosoftPowerBIMgmt.You can see which version you have by running Get-InstalledModule -Name MicrosoftPowerBIMgmt. Instale la versión más reciente ejecutando install-module-name MicrosoftPowerBIMgmt.Install the latest version by running Install-Module -Name MicrosoftPowerBIMgmt. Puede obtener más información sobre el cmdlet de Power BI y sus parámetros en Módulo de cmdlets de PowerShell de Power BI.You can get more information about the Power BI cmdlet and its parameters in Power BI PowerShell cmdlet module.

Configuración de Azure Key VaultConfigure Azure Key Vault

En esta sección se enseña cómo configurar Azure Key Vault, una herramienta para almacenar y acceder a los secretos, como las claves de cifrado, de forma segura.In this section you learn how to configure Azure Key Vault, a tool for securely storing and accessing secrets, like encryption keys. Puede usar un almacén de claves existente para almacenar las claves de cifrado o puede crear uno nuevo específicamente para su uso con Power BI.You can use an existing key vault to store encryption keys, or you can create a new one specifically for use with Power BI.

Las instrucciones de esta sección presuponen un conocimiento básico de Azure Key Vault.The instructions in this section assume basic knowledge of Azure Key Vault. Para obtener más información, consulte ¿Qué es Azure Key Vault?For more information, see What is Azure Key Vault?. Configure el almacén de claves de la manera siguiente:Configure your key vault in the following way:

  1. Agregue el servicio Power BI como una entidad de servicio en el almacén de claves con permisos para encapsular y desencapsular.Add the Power BI service as a service principal for the key vault, with wrap and unwrap permissions.

  2. Cree una clave RSA con una longitud de 4096 bits (o use una clave existente de este tipo), con permisos para encapsular y desencapsular.Create an RSA key with a 4096-bit length (or use an existing key of this type), with wrap and unwrap permissions.

    Importante

    BYOK de Power BI solo admite claves RSA con una longitud de 4096 bits.Power BI BYOK supports only RSA keys with a 4096-bit length.

  3. Recomendado: Compruebe que el almacén de claves tiene la opción de eliminación temporal habilitada.Recommended: Check that the key vault has the soft delete option enabled.

Adición de la entidad de servicioAdd the service principal

  1. En Azure Portal, en el almacén de claves, en Directivas de acceso, seleccione Agregar nueva.In the Azure portal, in your key vault, under Access policies, select Add New.

  2. En Seleccionar entidad, busque y seleccione Microsoft.Azure.AnalysisServices.Under Select principal, search for and select Microsoft.Azure.AnalysisServices.

    Nota

    Si no encuentra “Microsoft.Azure.AnalysisServices”, es probable que la suscripción de Azure asociada a su Azure Key Vault nunca haya tenido asociado un recurso de Power BI.If you can't find "Microsoft.Azure.AnalysisServices", it's likely that the Azure subscription associated with your Azure Key Vault never had a Power BI resource associated with it. En su lugar, intente buscar la cadena siguiente: 00000009-0000-0000-c000-000000000000.Try searching for the following string instead: 00000009-0000-0000-c000-000000000000.

  3. En Permisos de clave, seleccione Desencapsular clave y Encapsular clave.Under Key permissions, select Unwrap Key and Wrap Key.

    Archivo PBIX Selección de la entidad de servicio y operaciones criptográficas

  4. Seleccione Aceptar y Guardar.Select OK, then Save.

Nota

Para revocar el acceso de Power BI a los datos en el futuro, quite los derechos de acceso a esta entidad de servicio de Azure Key Vault.To revoke access of Power BI to your data in the future remove access rights to this service principal from your Azure Key Vault.

Creación de una clave RSACreate an RSA key

  1. En el almacén de claves, en Claves, seleccione Generar/Importar.In your key vault, under Keys, select Generate/Import.

  2. En Tipo de clave, seleccione RSA y en Tamaño de la clave RSA, seleccione 4096.Select a Key Type of RSA and an RSA Key Size of 4096.

    Creación de una clave con el tipo y el tamaño de clave resaltados

  3. Seleccione Crear.Select Create.

  4. En Claves, seleccione la clave que creó.Under Keys, select the key you created.

  5. Seleccione el identificador GUID de la Versión actual de la clave.Select the GUID for the Current Version of the key.

  6. Compruebe que están seleccionados Encapsular clave y Desencapsular clave.Check that Wrap Key and Unwrap Key are both selected. Copie el Identificador de clave que se va a usar al habilitar BYOK en Power BI.Copy the Key Identifier to use when you enable BYOK in Power BI.

    Propiedades con el identificador de clave y las operaciones permitidas resaltadas

Opción de eliminación temporalSoft delete option

Se recomienda que habilite la eliminación temporal en el almacén de claves para protegerse frente a la pérdida de datos en el caso de eliminación accidental de la clave o el almacén de claves.We recommend that you enable soft-delete on your key vault, to protect from data loss in case of accidental key – or key vault – deletion. Debe usar PowerShell para habilitar la propiedad de "eliminación temporal" en el almacén de claves, ya que esta opción aún no está disponible en Azure Portal.You must use PowerShell to enable the "soft-delete" property on the key vault, because this option is not available from the Azure portal yet.

Con Azure Key Vault configurado correctamente, está listo para habilitar BYOK en el inquilino.With Azure Key Vault properly configured, you're ready to enable BYOK on your tenant.

Habilitación de BYOK en el inquilinoEnable BYOK on your tenant

Para habilitar BYOK con PowerShell en el nivel de inquilino, primero debe proporcionar en el inquilino de Power BI las claves de cifrado que ha creado y almacenado en Azure Key Vault.You enable BYOK at the tenant level with PowerShell, by first introducing to your Power BI tenant the encryption keys you created and stored in Azure Key Vault. A continuación, debe asignar estas claves de cifrado en la capacidad Premium para cifrar el contenido de esta capacidad.You then assign these encryption keys per Premium capacity for encrypting content in the capacity.

Consideraciones importantesImportant considerations

Antes de habilitar BYOK, tenga en cuenta las consideraciones siguientes:Before you enable BYOK, keep the following considerations in mind:

  • Actualmente no se puede deshabilitar BYOK después de habilitarlo.At this time, you cannot disable BYOK after you enable it. En función de cómo se especifiquen los parámetros de Add-PowerBIEncryptionKey, puede controlar cómo usar BYOK para una o varias de las capacidades.Depending on how you specify parameters for Add-PowerBIEncryptionKey, you can control how you use BYOK for one or more of your capacities. Sin embargo, no se puede deshacer la introducción de claves en el inquilino.However, you can't undo the introduction of keys to your tenant. Para más información, consulte Habilitación de BYOK.For more information, see Enable BYOK.

  • No se puede mover directamente un área de trabajo en la que se usa BYOK desde una capacidad de Power BI Premium a una capacidad compartida.You cannot directly move a workspace that uses BYOK from a capacity in Power BI Premium to a shared capacity. Primero debe mover el área de trabajo a una capacidad que no tenga habilitado BYOK.You must first move the workspace to a capacity that doesn't have BYOK enabled.

  • Si mueve un área de trabajo en la que se usa BYOK de una capacidad de Power BI Premium a una compartida, los informes y los conjuntos de datos se vuelven inaccesibles, ya que se cifran con la clave.If you move a workspace that uses BYOK from a capacity in Power BI Premium, to shared, reports and datasets will become inaccessible, as they are encrypted with the Key. Para evitarlo, primero debe mover el área de trabajo a una capacidad que no tenga habilitado BYOK.To avoid this situation, you must first move the workspace to a capacity that doesn’t have BYOK enabled.

Habilitación de BYOKEnable BYOK

Para habilitar BYOK, debe ser un administrador de Power BI y haber iniciado sesión con el cmdlet Connect-PowerBIServiceAccount.To enable BYOK, you must be a Power BI admin, signed in using the Connect-PowerBIServiceAccount cmdlet. A continuación, utilice Add-PowerBIEncryptionKey para habilitar BYOK, tal como se muestra en el ejemplo siguiente:Then use Add-PowerBIEncryptionKey to enable BYOK, as shown in the following example:

Add-PowerBIEncryptionKey -Name'Contoso Sales' -KeyVaultKeyUri'https://contoso-vault2.vault.azure.net/keys/ContosoKeyVault/b2ab4ba1c7b341eea5ecaaa2wb54c4d2'

Para agregar varias claves, ejecute Add-PowerBIEncryptionKey con valores diferentes para --Name y -KeyVaultKeyUri.To add multiple keys, run Add-PowerBIEncryptionKey with different values for --Name and -KeyVaultKeyUri.

El cmdlet acepta dos parámetros de modificador que afectan al cifrado de las capacidades actuales y futuras.The cmdlet accepts two switch parameters that affect encryption for current and future capacities. Ninguno de los modificadores está establecido de forma predeterminada:By default, neither of the switches are set:

  • -Activate: indica que esta clave se usará para todas las capacidades existentes en el inquilino que aún no están cifradas.-Activate: Indicates that this key will be used for all existing capacities in the tenant that aren't already encrypted.

  • -Default: indica que esta clave es ahora la predeterminada para todo el inquilino.-Default: Indicates that this key is now the default for the entire tenant. Cuando se crea una nueva capacidad, dicha capacidad hereda esta clave.When you create a new capacity, the capacity inherits this key.

Importante

Si especifica -Default, todas las capacidades creadas en el inquilino desde este momento se cifrarán con la clave especificada (o una clave predeterminada actualizada).If you specify -Default, all of the capacities created on your tenant from this point will be encrypted using the key you specify (or an updated default key). No se puede deshacer la operación predeterminada, por lo que se pierde la opción de crear una capacidad Premium en el inquilino que no use BYOK.You cannot undo the default operation, so you lose the ability to create a premium capacity in your tenant that doesn't use BYOK.

Después de habilitar BYOK en el inquilino, establezca la clave de cifrado de una o varias capacidades de Power BI:After you enable BYOK on your tenant, set the encryption key for one or more Power BI capacities:

  1. Use Get-PowerBICapacity para obtener el identificador de capacidad necesario para este paso.Use Get-PowerBICapacity to get the capacity ID that's required for the next step.

    Get-PowerBICapacity -Scope Individual
    

    El cmdlet devuelve una salida similar a la siguiente:The cmdlet returns output similar to the following output:

    Id              : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
    DisplayName     : Test Capacity
    Admins          : adam@sometestdomain.com
    Sku             : P1
    State           : Active
    UserAccessRight : Admin
    Region          : North Central US
    
  2. Use Set-PowerBICapacityEncryptionKey para establecer la clave de cifrado:Use Set-PowerBICapacityEncryptionKey to set the encryption key:

    Set-PowerBICapacityEncryptionKey -CapacityId xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx -KeyName 'Contoso Sales'
    

Tiene el control sobre el uso de BYOK en el inquilino.You have control over how you use BYOK across your tenant. Por ejemplo, para cifrar una sola capacidad, llame a Add-PowerBIEncryptionKey sin -Activate o -Default.For example, to encrypt a single capacity, call Add-PowerBIEncryptionKey without -Activate or -Default. A continuación, llame a Set-PowerBICapacityEncryptionKey para la capacidad en la que desea habilitar BYOK.Then call Set-PowerBICapacityEncryptionKey for the capacity where you want to enable BYOK.

Administración de BYOKManage BYOK

Power BI proporciona cmdlets adicionales para ayudar a administrar BYOK en el inquilino:Power BI provides additional cmdlets to help manage BYOK in your tenant:

  • Utilice Get-PowerBICapacity para obtener la clave que usa actualmente una capacidad:Use Get-PowerBICapacity to get the key that a capacity is currently using:

    Get-PowerBICapacity -Scope Organization -ShowEncryptionKey
    
  • Utilice Get-PowerBIEncryptionKey para obtener la clave que usa actualmente el inquilino:Use Get-PowerBIEncryptionKey to get the key that your tenant is currently using:

    Get-PowerBIEncryptionKey
    
  • Utilice Get-PowerBIWorkspaceEncryptionStatus para ver si se cifran los conjuntos de datos de un área de trabajo y si el estado de cifrado está sincronizado con el área de trabajo:Use Get-PowerBIWorkspaceEncryptionStatus to see whether the datasets in a workspace are encrypted and whether their encryption status is in sync with the workspace:

    Get-PowerBIWorkspaceEncryptionStatus -Name'Contoso Sales'
    

    Tenga en cuenta que el cifrado se habilita en el nivel de capacidad, pero el estado de cifrado se obtiene en el nivel de conjunto de datos del área de trabajo especificada.Note that encryption is enabled at the capacity level, but you get encryption status at the dataset level for the specified workspace.

  • Utilice Switch-PowerBIEncryptionKey para cambiar (o rotar) la versión de la clave que se usa para el cifrado.Use Switch-PowerBIEncryptionKey to switch (or rotate) the version of the key being used for encryption. El cmdlet simplemente actualiza el valor de -KeyVaultKeyUri de la clave especificada en la opción -Name:The cmdlet simply updates the -KeyVaultKeyUri for a key -Name:

    Switch-PowerBIEncryptionKey -Name'Contoso Sales' -KeyVaultKeyUri'https://contoso-vault2.vault.azure.net/keys/ContosoKeyVault/b2ab4ba1c7b341eea5ecaaa2wb54c4d2'
    

Pasos siguientesNext steps

Power BI ha introducido Power BI Premium Gen2 como una oferta en versión preliminar, lo que mejora la experiencia con Power BI Premium mediante mejoras en los siguientes aspectos:Power BI has introduced Power BI Premium Gen2 as a preview offering, which improves the Power BI Premium experience with improvements in the following:

  • RendimientoPerformance
  • Concesión de licencias por usuarioPer-user licensing
  • Mayor escalaGreater scale
  • Métricas mejoradasImproved metrics
  • Escalado automáticoAutoscaling
  • Menor sobrecarga de administraciónReduced management overhead

Para más información sobre Power BI Premium Gen2, vea Power BI Premium Generation 2 (versión preliminar).For more information about Power BI Premium Gen2, see Power BI Premium Generation 2 (preview).