นําคีย์การเข้ารหัสลับของคุณเองมาใช้กับ Power BI

  • บทความ

Power BI เข้ารหัสลับข้อมูลที่พักอยู่และระหว่างดําเนินการ ตามค่าเริ่มต้น Power BI ใช้คีย์ที่จัดการโดย Microsoft เพื่อเข้ารหัสลับข้อมูลของคุณ ใน Power BI Premium คุณยังสามารถใช้คีย์ของคุณเองสําหรับข้อมูลที่พักไว้ที่นําเข้าลงในแบบจําลองความหมายได้ วิธีการนี้มักจะอธิบายไว้ว่าเป็น นําคีย์ ของคุณเอง (BYOK) มาใช้ สําหรับข้อมูลเพิ่มเติม โปรดดู ข้อควรพิจารณาเกี่ยวกับแหล่งข้อมูลและที่เก็บข้อมูล

เหตุใดจึงใช้ BYOK

BYOK ทําให้ง่ายต่อการปฏิบัติตามข้อกําหนดที่ระบุการจัดการคีย์ด้วยผู้ให้บริการระบบคลาวด์ในกรณีนี้คือ Microsoft ด้วย BYOK คุณสามารถให้และควบคุมคีย์การเข้ารหัสลับสําหรับข้อมูล Power BI ที่พักไว้ในระดับแอปพลิเคชัน ด้วยเหตุนี้ คุณสามารถควบคุมและเพิกถอนคีย์ขององค์กรของคุณ คุณควรตัดสินใจที่จะออกจากบริการ เมื่อยกเลิกคีย์ ข้อมูลจะไม่สามารถอ่านได้ในบริการภายใน 30 นาที

ข้อควรพิจารณาเกี่ยวกับแหล่งข้อมูลและที่เก็บข้อมูล

เมื่อต้องการใช้ BYOK คุณต้องอัปโหลดข้อมูลไปยังบริการของ Power BI จากไฟล์ Power BI Desktop (PBIX) คุณไม่สามารถใช้ BYOK ในสถานการณ์ต่อไปนี้:

BYOK ใช้กับแบบจําลองความหมายเท่านั้น ส่งแบบจําลองความหมาย ไฟล์ Excel และไฟล์ CSV ที่ผู้ใช้สามารถอัปโหลดไปยังบริการไม่ได้รับการเข้ารหัสโดยใช้คีย์ของคุณเอง หากต้องการระบุรายการที่จะจัดเก็บไว้ในพื้นที่ทํางานของคุณ ให้ใช้คําสั่ง PowerShell ต่อไปนี้:

PS C:\> Get-PowerBIWorkspace -Scope Organization -Include All

หมายเหตุ

cmdlet นี้ต้องการโมดูลการจัดการ Power BI v1.0.840 คุณสามารถดูเวอร์ชันที่คุณมีได้โดยการ Get-InstalledModule -Name MicrosoftPowerBIMgmtเรียกใช้ ติดตั้งเวอร์ชันล่าสุดโดยการ Install-Module -Name MicrosoftPowerBIMgmtเรียกใช้ คุณสามารถรับข้อมูลเพิ่มเติมเกี่ยวกับ cmdlet ของ Power BI และพารามิเตอร์ของคําสั่งดังกล่าวใน โมดูล cmdlet ของ Power BI PowerShell

กำหนดค่า Azure Key Vault

ในส่วนนี้จะอธิบายวิธีการกําหนดค่า Azure Key Vault เครื่องมือเพื่อจัดเก็บและเข้าถึงความลับอย่างปลอดภัย เช่น คีย์การเข้ารหัสลับ คุณสามารถใช้ Key Vault ที่มีอยู่เพื่อจัดเก็บคีย์การเข้ารหัสลับ หรือคุณสามารถสร้างชุดใหม่โดยเฉพาะเพื่อใช้กับ Power BI ได้

คําแนะนําต่อไปนี้ถือว่าเป็นความรู้พื้นฐานของ Azure Key Vault สําหรับข้อมูลเพิ่มเติม โปรดดู ที่ Azure Key Vault คืออะไร

กําหนดค่า Key Vault ของคุณในวิธีต่อไปนี้:

  1. เพิ่มบริการของ Power BI เป็นโครงร่างสําคัญของบริการสําหรับ Key Vault ด้วยสิทธิ์การครอบและยกเลิกการครอบ

  2. สร้างคีย์ RSA ที่มีความยาว 4096 บิต หรือใช้คีย์ที่มีอยู่ของชนิดนี้ด้วยสิทธิ์การครอบและยกเลิกการครอบ

    สำคัญ

    Power BI BYOK สนับสนุนเฉพาะคีย์ RSA ที่มีความยาว 4096 บิตเท่านั้น

  3. แนะนํา: ตรวจสอบว่า Key Vault มีการเปิดใช้งานตัวเลือกลบแบบนุ่มนวลหรือไม่

เพิ่มโครงร่างสําคัญของบริการ

  1. เข้าสู่ระบบพอร์ทัล Azure และค้นหา Key Vaults

  2. ใน Key Vault ของคุณ เลือก นโยบายการเข้าถึง จากนั้นเลือก สร้าง

    Screenshot of the Create button for access policies in the Azure portal.

  3. บนหน้าจอ สิทธิ์ ภายใต้ สิทธิ์คีย์ ให้เลือก ยกเลิกการครอบคีย์และครอบคีย์ จากนั้นเลือก ถัดไป

    Screenshot of the permission screen to create a new access policy.

  4. บนหน้าจอหลัก ให้ค้นหาและเลือก Microsoft.Azure.AnalysisServices

    หมายเหตุ

    หากคุณไม่พบ Microsoft.Azure.AnalysisServices อาจเป็นไปได้ว่าการสมัครใช้งาน Azure ที่เชื่อมโยงกับ Azure Key Vault ของคุณไม่เคยมีทรัพยากร Power BI ที่เกี่ยวข้อง ลองค้นหาสตริงต่อไปนี้แทน: 00000009-0000-0000-c000-000000000000000

    Screenshot of the Principal screen to select a new principal for the access policy.

  5. เลือก ถัดไป จากนั้น ตรวจสอบ + สร้าง>

หมายเหตุ

หากต้องการยกเลิกการเข้าถึงข้อมูลของคุณใน Power BI ให้ลบสิทธิ์การเข้าถึงบริการหลักจาก Azure Key Vault ของคุณ

สร้างคีย์ RSA

  1. ใน Key Vault ของคุณ ภายใต้คีย์ เลือกสร้าง/นําเข้า

  2. เลือกประเภทคีย์ของ RSA และขนาดคีย์ RSA ที่ 4096

    Screenshot of the RSA key type and size selections.

  3. เลือก สร้าง

  4. ภายใต้ คีย์ เลือกคีย์ที่คุณสร้างขึ้น

  5. เลือก GUID สําหรับ คีย์เวอร์ชัน ปัจจุบัน

  6. ตรวจสอบว่ามีการเลือกทั้ง คีย์การตัดและคลายการครอบคีย์ คัดลอกรหัสคีย์ที่จะใช้เมื่อคุณเปิดใช้งาน BYOK ใน Power BI

    Screenshot of the key properties with the identifier and permitted operations.

ลบตัวเลือกนุ่มนวล

คุณควรเปิดใช้งาน ลบ แบบนุ่มนวลบน Key Vault ของคุณ เพื่อป้องกันข้อมูลสูญหายในกรณีที่มีคีย์โดยไม่ได้ตั้งใจ หรือ Key Vault การลบ เมื่อต้องการเปิดใช้งาน คุณสมบัติลบ แบบนุ่มนวล คุณต้องใช้ PowerShell เนื่องจากตัวเลือกนี้ยังไม่พร้อมใช้งานในพอร์ทัล Azure

เมื่อกําหนดค่า Azure Key Vault อย่างถูกต้องคุณก็พร้อมที่จะเปิดใช้งาน BYOK บนผู้เช่าของคุณ

กําหนดค่าไฟร์วอลล์ชุดเก็บคีย์ของ Azure

ในส่วนนี้จะอธิบายโดยใช้บายพาสไฟร์วอลล์บริการของ Microsoft ที่เชื่อถือได้ เพื่อกําหนดค่าไฟร์วอลล์รอบ ๆ Azure Key Vault ของคุณ

หมายเหตุ

คุณสามารถเลือกเปิดใช้งานกฎไฟร์วอลล์บน Key Vault ของคุณได้ คุณยังสามารถเลือกที่จะปิดไฟร์วอลล์ไว้บน Key Vault ของคุณตามการตั้งค่าเริ่มต้น

Power BI เป็นบริการ Microsoft ที่เชื่อถือได้ คุณสามารถแนะนําไฟร์วอลล์ชุดเก็บคีย์เพื่อให้สามารถเข้าถึงบริการของ Microsoft ที่เชื่อถือได้ทั้งหมด ซึ่งเป็นการตั้งค่าที่อนุญาตให้ Power BI เข้าถึง Key Vault ของคุณได้โดยไม่ต้องระบุการเชื่อมต่อปลายทาง

ในการกําหนดค่า Azure Key Vault เพื่ออนุญาตให้เข้าถึงบริการของ Microsoft ที่เชื่อถือได้ ให้ทําตามขั้นตอนเหล่านี้:

  1. ค้นหา ชุดเก็บคีย์ ในพอร์ทัล Azure จากนั้นเลือก Key Vault ที่คุณต้องการอนุญาตการเข้าถึงจาก Power BI และบริการของ Microsoft ที่เชื่อถือได้อื่น ๆ ทั้งหมด

  2. เลือก เครือข่าย จากแผงนําทางด้านซ้าย

  3. ภายใต้ ไฟร์วอลล์และเครือข่ายเสมือน ให้เลือก อนุญาตการเข้าถึงสาธารณะจากเครือข่ายเสมือนและที่อยู่ IP เฉพาะ

    Screenshot of the Azure Key Vault networking option, with the firewalls and virtual networks option selected.

  4. เลื่อนลงไปที่ส่วนไฟร์วอลล์ เลือกอนุญาตให้บริการของ Microsoft ที่เชื่อถือได้ข้ามไฟร์วอลล์นี้

    Screenshot of the option to allow trusted Microsoft services to bypass this firewall.

  5. เลือก ใช้

เปิดใช้งาน BYOK บนผู้เช่าของคุณ

คุณเปิดใช้งาน BYOK ที่ระดับผู้เช่าโดยใช้ PowerShell ก่อนอื่น ติดตั้ง แพคเกจการดูแลระบบ Power BI สําหรับ PowerShell และแนะนําคีย์การเข้ารหัสลับที่คุณสร้างและจัดเก็บไว้ใน Azure Key Vault ให้กับผู้เช่า Power BI ของคุณ จากนั้นกําหนดคีย์การเข้ารหัสลับเหล่านี้ต่อความจุพรีเมียมสําหรับการเข้ารหัสเนื้อหาในความจุ

ข้อควรพิจารณาที่สำคัญ

ก่อนที่คุณจะเปิดใช้งาน BYOK ควรคํานึงถึงข้อควรพิจารณาต่อไปนี้:

  • ในขณะนี้ คุณไม่สามารถปิดใช้งาน BYOK หลังจากที่คุณเปิดใช้งานได้ ขึ้นอยู่กับวิธีที่คุณระบุพารามิเตอร์สําหรับ Add-PowerBIEncryptionKeyคุณสามารถควบคุมวิธีที่คุณใช้ BYOK สําหรับความจุอย่างน้อยหนึ่งรายการ อย่างไรก็ตาม คุณไม่สามารถยกเลิกการแนะนําคีย์ไปยังผู้เช่าของคุณได้ สําหรับข้อมูลเพิ่มเติม ให้ดู เปิดใช้งาน BYOK

  • คุณไม่สามารถ ย้ายพื้นที่ทํางานที่ใช้ BYOK ได้โดยตรง จากความจุใน Power BI Premium ไปยังความจุที่ใช้ร่วมกัน ก่อนอื่น คุณต้องย้ายพื้นที่ทํางานไปยังความจุที่ไม่ได้เปิดใช้งาน BYOK

  • ถ้าคุณย้ายพื้นที่ทํางานที่ใช้ BYOK จากความจุใน Power BI Premium ไปยังความจุที่ใช้ร่วมกัน คุณจะไม่สามารถเข้าถึงรายงานและแบบจําลองความหมายได้เนื่องจากถูกเข้ารหัสลับด้วยคีย์ เพื่อหลีกเลี่ยงไม่ให้เกิดสถานการณ์เช่นนี้ คุณต้องย้ายพื้นที่ทํางานไปยังความจุที่ไม่ได้เปิดใช้งาน BYOK ก่อน

เปิดใช้งาน BYOK

หากต้องการเปิดใช้งาน BYOK คุณต้องเป็นผู้ดูแลระบบ Power BI ที่ลงชื่อเข้าใช้โดยใช้ Connect-PowerBIServiceAccount cmdlet จากนั้นใช้ Add-PowerBIEncryptionKey เพื่อเปิดใช้งาน BYOK ดังที่แสดงในตัวอย่างต่อไปนี้:

Add-PowerBIEncryptionKey -Name'Contoso Sales' -KeyVaultKeyUri'https://contoso-vault2.vault.azure.net/keys/ContosoKeyVault/b2ab4ba1c7b341eea5ecaaa2wb54c4d2'

เมื่อต้องการเพิ่มหลายคีย์ เรียกใช้Add-PowerBIEncryptionKeyด้วยค่าที่แตกต่างกันสําหรับ -Name และ-KeyVaultKeyUri

cmdlet ยอมรับพารามิเตอร์สลับสองรายการที่ส่งผลต่อการเข้ารหัสลับสําหรับความจุปัจจุบันและในอนาคต ตามค่าเริ่มต้น ไม่มีการตั้งค่าการสลับ:

  • -Activate: ระบุว่าคีย์นี้ใช้สําหรับความจุที่มีอยู่ทั้งหมดในผู้เช่าที่ไม่ได้เข้ารหัสลับ

  • -Default: ระบุว่าคีย์นี้เป็นค่าเริ่มต้นสําหรับผู้เช่าทั้งหมดในขณะนี้หรือไม่ เมื่อคุณสร้างความจุใหม่ ความจุจะรับคีย์นี้มา

สำคัญ

ถ้าคุณระบุ -Defaultความจุทั้งหมดที่สร้างขึ้นในผู้เช่าของคุณจากจุดนี้จะถูกเข้ารหัสลับโดยใช้คีย์ที่คุณระบุ หรือคีย์เริ่มต้นที่อัปเดต คุณไม่สามารถยกเลิกการดําเนินการเริ่มต้นได้ คุณจึงไม่สามารถสร้างความจุพรีเมียมในผู้เช่าของคุณที่ไม่ได้ใช้ BYOK ได้

หลังจากที่คุณเปิดใช้งาน BYOK บนผู้เช่าของคุณ ให้ตั้งค่าคีย์การเข้ารหัสสําหรับความจุ Power BI อย่างน้อยหนึ่งรายการหรือมากกว่า:

  1. ใช้ Get-PowerBICapacity เพื่อรับ ID ความจุที่จําเป็นสําหรับขั้นตอนถัดไป

    Get-PowerBICapacity -Scope Individual

    cmdlet ส่งกลับผลลัพธ์ที่คล้ายกับผลลัพธ์ต่อไปนี้:

    Id              : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
DisplayName     : Test Capacity
Admins          : adam@sometestdomain.com
Sku             : P1
State           : Active
UserAccessRight : Admin
Region          : North Central US

  2. ใช้ Set-PowerBICapacityEncryptionKey เพื่อตั้งค่าคีย์การเข้ารหัสลับ:

    Set-PowerBICapacityEncryptionKey -CapacityId xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx -KeyName 'Contoso Sales'

คุณสามารถควบคุมวิธีที่คุณใช้ BYOK ในผู้เช่าของคุณ ตัวอย่างเช่น ในการเข้ารหัสลับความจุเดียว เรียกใช้ Add-PowerBIEncryptionKey โดยไม่มี -Activate หรือ-Default จากนั้น เรียกใช้ Set-PowerBICapacityEncryptionKey สําหรับความจุที่คุณต้องการเปิดใช้งาน BYOK

จัดการ BYOK

Power BI มี cmdlet เพิ่มเติมเพื่อช่วยจัดการ BYOK ในผู้เช่าของคุณ:

  • ใช้ Get-PowerBICapacity เพื่อรับคีย์ที่ความจุใช้อยู่ในปัจจุบัน:

    Get-PowerBICapacity -Scope Organization -ShowEncryptionKey

  • ใช้ Get-PowerBIEncryptionKey เพื่อรับคีย์ที่ผู้เช่าของคุณใช้อยู่ในปัจจุบัน:

    Get-PowerBIEncryptionKey

  • ใช้ Get-PowerBIWorkspaceEncryptionStatus เพื่อดูว่าแบบจําลองความหมายในพื้นที่ทํางานถูกเข้ารหัสลับหรือไม่ และสถานะการเข้ารหัสลับของพวกเขาซิงค์กับพื้นที่ทํางานหรือไม่:

    Get-PowerBIWorkspaceEncryptionStatus -Name'Contoso Sales'

    โปรดทราบว่ามีการเปิดใช้งานการเข้ารหัสลับที่ระดับความจุ แต่คุณได้รับสถานะการเข้ารหัสลับในระดับแบบจําลองความหมายสําหรับพื้นที่ทํางานที่ระบุ

  • ใช้ Switch-PowerBIEncryptionKey เพื่อสลับ (หรือ หมุน) เวอร์ชันของคีย์ที่ใช้สําหรับการเข้ารหัสลับ cmdlet เพียงแค่อัปเดต -KeyVaultKeyUri สําหรับคีย์ -Name:

    Switch-PowerBIEncryptionKey -Name'Contoso Sales' -KeyVaultKeyUri'https://contoso-vault2.vault.azure.net/keys/ContosoKeyVault/b2ab4ba1c7b341eea5ecaaa2wb54c4d2'

    โปรดทราบว่าควรเปิดใช้งานคีย์ปัจจุบัน

เนื้อหาที่เกี่ยวข้อง