Compartir a través de

Traiga sus propias claves de cifrado para Power BI

De forma predeterminada, Power BI usa claves administradas por Microsoft para cifrar los datos. En Power BI Premium, también puede usar sus propias claves para los datos en reposo que se importan en un modelo semántico. Este enfoque se describe a menudo como bring your own key (BYOK). Para obtener más información, consulte Consideraciones sobre el origen de datos y el almacenamiento. Power BI BYOK admite el cifrado doble, lo que garantiza la seguridad en capas y el cumplimiento de los estándares de cifrado empresarial. Esto incluye el cifrado de nivel de almacenamiento mediante el cifrado de Server-Side (SSE) y el cifrado del lado cliente con una clave de cifrado de datos (DEK) administrada por Microsoft. Esta DEK se ajusta mediante una CMK antes de que los datos se almacenen en reposo.

¿Por qué usar BYOK?

BYOK facilita el cumplimiento de los requisitos de cumplimiento que especifican arreglos clave con el proveedor de servicios en la nube, en este caso, Microsoft. Con BYOK, proporciona y controla las claves de cifrado de los datos de Power BI en reposo en el nivel de aplicación. Como resultado, puede ejercer el control y revocar las claves de su organización, si decide salir del servicio. Al revocar las claves, los datos se vuelven ilegibles para el servicio en un plazo de 30 minutos.

Consideraciones sobre el origen de datos y el almacenamiento

Para usar BYOK, debe cargar datos en el servicio Power BI desde un archivo de Power BI Desktop (PBIX). No puede usar BYOK en los escenarios siguientes:

BYOK solo se aplica a los modelos semánticos. Los modelos semánticos de inserción, los archivos de Excel y los archivos CSV que los usuarios pueden cargar en el servicio no se cifran mediante su propia clave. Para identificar qué elementos se almacenan en las áreas de trabajo, use el siguiente comando de PowerShell:

PS C:\> Get-PowerBIWorkspace -Scope Organization -Include All

Nota:

Este cmdlet requiere el módulo de administración de Power BI v1.0.840. Puede ver qué versión tiene ejecutando Get-InstalledModule -Name MicrosoftPowerBIMgmt. Instale la versión más reciente mediante la ejecución Install-Module -Name MicrosoftPowerBIMgmtde . Puede obtener más información sobre el cmdlet de Power BI y sus parámetros en el módulo de cmdlets de PowerShell de Power BI.

Configuración de Azure Key Vault

En esta sección se explica cómo configurar Azure Key Vault, una herramienta para almacenar y acceder de forma segura a secretos, como las claves de cifrado. Puede usar un almacén de claves existente para almacenar claves de cifrado o puede crear uno nuevo específicamente para su uso con Power BI.

En las instrucciones siguientes se supone que conoce básicamente Azure Key Vault. Para más información, consulte ¿Qué es Azure Key Vault?

Configure el almacén de claves de la siguiente manera:

  1. Agregue el servicio Power BI como entidad de servicio para el almacén de claves, con permisos de encapsulado y desencapsulado.

  2. Cree una clave RSA con una longitud de 4096 bits o use una clave existente de este tipo, con permisos de encapsulado y desencapsulado.

    Importante

    Power BI BYOK admite claves RSA y RSA-HSM con una longitud de 4096 bits.

  3. Recomendado: compruebe que el almacén de claves tiene habilitada la opción de eliminación temporal.

Adición de la entidad de servicio

  1. Inicie sesión en Azure Portal y busque Almacenes de claves.

  2. En el almacén de claves, seleccione Directivas de acceso y, a continuación, elija Crear.

    Captura de pantalla del botón Crear para las directivas de acceso en Azure Portal.

  3. En la pantalla Permisos , en Permisos de clave, seleccione Desencapsular clave y ajustar clave y, a continuación, elija Siguiente.

    Captura de pantalla de la pantalla de permisos para crear una nueva directiva de acceso.

  4. En la pantalla Entidad de seguridad, busque y seleccione Microsoft.Azure.AnalysisServices.

    Nota:

    Si no encuentra Microsoft.Azure.AnalysisServices, es probable que la suscripción de Azure asociada a su instancia de Azure Key Vault nunca tuviera un recurso de Power BI asociado. Intente buscar la siguiente cadena en su lugar: 00000009-0000-0000-c000-0000000000000.

    Captura de pantalla de la pantalla Entidad de seguridad para seleccionar una nueva entidad de seguridad para la directiva de acceso.

  5. Seleccione Siguiente y, a continuación, Revisar y crear crear>.

El control de acceso basado en rol de Azure también se puede usar para conceder permisos seleccionando un rol que incluya permisosDesencapsular clave y Ajustar clave.

Nota:

Para revocar el acceso de Power BI a los datos, quite los derechos de acceso a esta entidad de servicio de Azure Key Vault.

Creación de una clave RSA

  1. En el almacén de claves, en Claves, seleccione Generar e importar.

  2. Seleccione un tipo de clave RSA y un tamaño de clave RSA de 4096.

    Captura de pantalla del tipo de clave RSA y las selecciones de tamaño.

  3. Selecciona Crear.

  4. En Claves, seleccione la clave que creó.

  5. Seleccione el GUID para la versión actual de la clave.

  6. Compruebe que la tecla encapsular y la clave de desencapsulado están seleccionadas. Copie el identificador de clave que se usará al habilitar BYOK en Power BI.

    Captura de pantalla de las propiedades clave con el identificador y las operaciones permitidas.

Opción de eliminación temporal

Debe habilitar la eliminación temporal en el almacén de claves para protegerse de la pérdida de datos en caso de una clave accidental o un almacén de claves, eliminación. Para habilitar la propiedad de eliminación temporal , debe usar PowerShell porque esta opción aún no está disponible en Azure Portal.

Con Azure Key Vault configurado correctamente, está listo para habilitar BYOK en el inquilino.

Configuración del firewall de Azure Key Vault

En esta sección se describe el uso de la omisión del firewall del servicio de Microsoft de confianza para configurar un firewall en torno a Azure Key Vault.

Nota:

Puede optar por habilitar las reglas de firewall en el almacén de claves. También puede dejar deshabilitado el firewall en el almacén de claves según la configuración predeterminada.

Power BI es un servicio de Microsoft de confianza. Puede indicar al firewall del almacén de claves que permita el acceso a todos los servicios de Microsoft de confianza, una configuración que permita a Power BI acceder al almacén de claves sin especificar conexiones de punto de conexión.

Para configurar Azure Key Vault para permitir el acceso a servicios de Microsoft de confianza, siga estos pasos:

  1. Busque Almacenes de claves en Azure Portal y, a continuación, seleccione el almacén de claves que desea permitir el acceso desde Power BI y todos los demás servicios de Microsoft de confianza.

  2. Seleccione Redes en el panel de navegación izquierdo.

  3. En Acceso público- Permitir el acceso desde:, elija Redes seleccionadas.

    Captura de pantalla de la opción de red de Azure Key Vault, con la opción firewalls y redes virtuales seleccionada.

  4. Desplácese hacia abajo hasta la sección Excepción y seleccione Permitir que los servicios de Microsoft de confianza omitan este firewall.

    Captura de pantalla de la opción para permitir que los servicios de Microsoft de confianza omitan este firewall.

  5. Seleccione Aplicar.

Habilitación de BYOK en el inquilino

Habilite BYOK en el nivel de inquilino mediante PowerShell. En primer lugar, instale el paquete de administración de Power BI para PowerShell e introduzca las claves de cifrado que creó y almacenó en Azure Key Vault en el inquilino de Power BI. A continuación, asigne estas claves de cifrado por capacidad Premium para cifrar el contenido en la capacidad.

Consideraciones importantes

Antes de habilitar BYOK, tenga en cuenta las siguientes consideraciones:

  • En este momento, no puede deshabilitar BYOK después de habilitarlo. Dependiendo de cómo especifique los parámetros para Add-PowerBIEncryptionKey, puede controlar cómo se usa BYOK para una o varias de sus capacidades. Sin embargo, no puede deshacer la introducción de claves al inquilino. Para obtener más información, vea Habilitar BYOK.
  • No se puede mover directamente un área de trabajo que use BYOK de una capacidad de Power BI Premium a una capacidad compartida. En primer lugar, debe mover el área de trabajo a una capacidad que no tenga habilitado BYOK.
  • Si mueve un área de trabajo que usa BYOK de una capacidad de Power BI Premium a una capacidad compartida, los informes y los modelos semánticos se vuelven inaccesibles, ya que se cifran con la clave. Para evitar esta situación, primero debe mover el área de trabajo a una capacidad que no ™tenga HABILITADO BYOK.

Habilitar BYOK

Para habilitar BYOK, debe ser un administrador de Power BI, que ha iniciado sesión con el Connect-PowerBIServiceAccount cmdlet . A continuación, use Add-PowerBIEncryptionKey para habilitar BYOK, como se muestra en el ejemplo siguiente:

Add-PowerBIEncryptionKey -Name'Contoso Sales' -KeyVaultKeyUri'https://contoso-vault2.vault.azure.net/keys/ContosoKeyVault/b2ab4ba1c7b341eea5ecaaa2wb54c4d2'

Para agregar varias claves, ejecute Add-PowerBIEncryptionKey con valores diferentes para -Name y -KeyVaultKeyUri.

El cmdlet acepta dos parámetros switch que afectan al cifrado para las capacidades actuales y futuras. De forma predeterminada, ninguno de los modificadores se establece:

  • -Activate: indica que esta clave se usa para todas las capacidades existentes del inquilino que aún no están cifradas.
  • -Default: indica que esta clave es ahora el valor predeterminado para todo el inquilino. Al crear una nueva capacidad, la capacidad hereda esta clave.

Importante

Si especifica -Default, todas las capacidades creadas en el inquilino desde este punto se cifran mediante la clave que especifique o una clave predeterminada actualizada. No puede deshacer la operación predeterminada, por lo que perderá la capacidad de crear una capacidad premium en el inquilino que no use BYOK.

Después de habilitar BYOK en el inquilino, establezca la clave de cifrado para una o varias capacidades de Power BI:

  1. Use Get-PowerBICapacity para obtener el identificador de capacidad necesario para el paso siguiente.

    Get-PowerBICapacity -Scope Individual

    El cmdlet devuelve una salida similar a la siguiente salida:

    Id              : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
DisplayName     : Test Capacity
Admins          : adam@sometestdomain.com
Sku             : P1
State           : Active
UserAccessRight : Admin
Region          : North Central US

  2. Use Set-PowerBICapacityEncryptionKey para establecer la clave de cifrado:

    Set-PowerBICapacityEncryptionKey -CapacityId xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx -KeyName 'Contoso Sales'

Tiene control sobre cómo se usa BYOK en el inquilino. Por ejemplo, para cifrar una sola capacidad, llame a Add-PowerBIEncryptionKey sin -Activate o -Default. A continuación, llame Set-PowerBICapacityEncryptionKey a para la capacidad en la que desea habilitar BYOK.

Administración de BYOK

Power BI proporciona cmdlets adicionales para ayudar a administrar BYOK en el inquilino:

  • Use Get-PowerBICapacity para obtener la clave que usa actualmente una capacidad:

    Get-PowerBICapacity -Scope Organization -ShowEncryptionKey

  • Use Get-PowerBIEncryptionKey para obtener la clave que usa el inquilino actualmente:

    Get-PowerBIEncryptionKey

  • Use Get-PowerBIWorkspaceEncryptionStatus para ver si los modelos semánticos de un área de trabajo están cifrados y si su estado de cifrado está sincronizado con el área de trabajo:

    Get-PowerBIWorkspaceEncryptionStatus -Name'Contoso Sales'

    Tenga en cuenta que el cifrado está habilitado en el nivel de capacidad, pero obtiene el estado de cifrado en el nivel de modelo semántico del área de trabajo especificada.

  • Use Switch-PowerBIEncryptionKey para cambiar (o girar) la versión de la clave que se usa para el cifrado. El cmdlet simplemente actualiza para -KeyVaultKeyUri una clave -Name:

    Switch-PowerBIEncryptionKey -Name'Contoso Sales' -KeyVaultKeyUri'https://contoso-vault2.vault.azure.net/keys/ContosoKeyVault/b2ab4ba1c7b341eea5ecaaa2wb54c4d2'

    Tenga en cuenta que la clave actual debe estar habilitada.

Contenido relacionado

  • Last updated on