Partager via

Apportez vos propres clés de chiffrement pour Power BI

Par défaut, Power BI utilise des clés gérées par Microsoft pour chiffrer vos données. Dans Power BI Premium, vous pouvez également utiliser vos propres clés pour les données au repos importées dans un modèle sémantique. Cette approche est souvent décrite comme apportez votre propre clé (BYOK). Pour plus d’informations, consultez considérations relatives à la source de données et au stockage. Power BI BYOK prend en charge le double chiffrement, garantissant ainsi la sécurité et la conformité en couches avec les normes de chiffrement d’entreprise. Cela inclut le chiffrement au niveau du stockage à l’aide de Server-Side Encryption (SSE) et du chiffrement côté client avec une clé de chiffrement de données gérée par Microsoft (DEK). Cette clé DEK est encapsulée à l’aide d’une clé CMK avant que les données ne soient stockées au repos.

Pourquoi utiliser BYOK ?

BYOK facilite la conformité des exigences de conformité qui spécifient des arrangements clés avec le fournisseur de services cloud, dans ce cas Microsoft. Avec BYOK, vous fournissez et contrôlez les clés de chiffrement pour vos données Power BI au repos au niveau de l’application. Par conséquent, vous pouvez exercer le contrôle et révoquer les clés de votre organisation, si vous décidez de quitter le service. En révoquant les clés, les données ne sont plus lisibles dans le service dans les 30 minutes.

Considérations relatives à la source de données et au stockage

Pour utiliser BYOK, vous devez charger des données dans le service Power BI à partir d’un fichier PBIX (Power BI Desktop). Vous ne pouvez pas utiliser BYOK dans les scénarios suivants :

BYOK s’applique uniquement aux modèles sémantiques. Les modèles sémantiques Push, les fichiers Excel et les fichiers CSV que les utilisateurs peuvent charger sur le service ne sont pas chiffrés à l’aide de votre propre clé. Pour identifier les éléments stockés dans vos espaces de travail, utilisez la commande PowerShell suivante :

PS C:\> Get-PowerBIWorkspace -Scope Organization -Include All

Note

Cette applet de commande nécessite le module de gestion Power BI v1.0.840. Vous pouvez voir la version que vous avez en exécutant Get-InstalledModule -Name MicrosoftPowerBIMgmt. Installez la dernière version en exécutant Install-Module -Name MicrosoftPowerBIMgmt. Vous pouvez obtenir plus d’informations sur l’applet de commande Power BI et ses paramètres dans le module d’applet de commande Power BI PowerShell.

Configurer Azure Key Vault

Cette section explique comment configurer Azure Key Vault, un outil permettant de stocker et d’accéder en toute sécurité aux secrets, comme les clés de chiffrement. Vous pouvez utiliser un coffre de clés existant pour stocker des clés de chiffrement, ou en créer un spécifiquement pour une utilisation avec Power BI.

Les instructions suivantes supposent une connaissance de base d’Azure Key Vault. Pour plus d’informations, consultez Qu’est-ce qu’Azure Key Vault ?

Configurez votre coffre de clés de la façon suivante :

  1. Ajoutez le service Power BI en tant que principal de service pour le coffre de clés, avec des autorisations wrap et unwrap.

  2. Créez une clé RSA avec une longueur 4096 bits ou utilisez une clé existante de ce type, avec des autorisations d’habillage et de décompressage.

    Important

    Power BI BYOK prend en charge RSA et RSA-HSM clés avec une longueur 4096 bits.

  3. Recommandé : vérifiez que l’option de suppression réversible est activée pour le coffre de clés.

Ajouter le principal de service

  1. Connectez-vous au portail Azure et recherchez Key Vaults.

  2. Dans votre coffre de clés, sélectionnez Stratégies d’accès, puis choisissez Créer.

    Capture d’écran du bouton Créer pour les stratégies d’accès dans le portail Azure.

  3. Dans l’écran Autorisations , sous Autorisations de clé, sélectionnez Annuler la clé et la clé de wrap, puis choisissez Suivant.

    Capture d’écran de l’écran d’autorisation pour créer une stratégie d’accès.

  4. Dans l’écran Principal , recherchez et sélectionnez Microsoft.Azure.AnalysisServices.

    Note

    Si vous ne trouvez pas Microsoft.Azure.AnalysisServices, il est probable que l’abonnement Azure associé à votre coffre de clés Azure n’ait jamais eu de ressource Power BI associée. Essayez plutôt de rechercher la chaîne suivante : 00000009-0000-0000-c000-0000000000000000000000.

    Capture d’écran de l’écran Principal pour sélectionner un nouveau principal pour la stratégie d’accès.

  5. Sélectionnez Suivant, puis Vérifier + créer>.

Le contrôle d’accès en fonction du rôle Azure peut également être utilisé pour accorder des autorisations en sélectionnant un rôle qui inclut les autorisations Unwrap Key et Wrap Key .

Note

Pour révoquer l’accès Power BI à vos données, supprimez les droits d’accès à ce principal de service de votre azure Key Vault.

Créer une clé RSA

  1. Dans votre coffre de clés, sous Clés, sélectionnez Générer/Importer.

  2. Sélectionnez un type de clé RSA et une taille de clé RSA de 4096.

    Capture d’écran des sélections de type de clé RSA et de taille.

  3. Cliquez sur Créer.

  4. Sous Clés, sélectionnez la clé que vous avez créée.

  5. Sélectionnez le GUID de la version actuelle de la clé.

  6. Vérifiez que la clé wrap et la clé unwrap sont toutes les deux sélectionnées. Copiez l’identificateur de clé à utiliser lorsque vous activez BYOK dans Power BI.

    Capture d’écran des propriétés de clé avec l’identificateur et les opérations autorisées.

Option de suppression réversible

Vous devez activer la suppression réversible sur votre coffre de clés pour vous protéger contre la perte de données en cas de suppression accidentelle de clé ou de coffre de clés. Pour activer la propriété de suppression réversible , vous devez utiliser PowerShell , car cette option n’est pas encore disponible dans le portail Azure.

Avec Azure Key Vault correctement configuré, vous êtes prêt à activer BYOK sur votre locataire.

Configurer le pare-feu Azure Key Vault

Cette section décrit l’utilisation du contournement de pare-feu de service Microsoft approuvé pour configurer un pare-feu autour de votre coffre de clés Azure.

Note

Vous pouvez choisir d’activer les règles de pare-feu sur votre coffre de clés. Vous pouvez également choisir de laisser le pare-feu désactivé sur votre coffre de clés en fonction du paramètre par défaut.

Power BI est un service Microsoft approuvé. Vous pouvez demander au pare-feu du coffre de clés d’autoriser l’accès à tous les services Microsoft approuvés, un paramètre qui permet à Power BI d’accéder à votre coffre de clés sans spécifier de connexions de point de terminaison.

Pour configurer Azure Key Vault pour autoriser l’accès aux services Microsoft approuvés, procédez comme suit :

  1. Recherchez les coffres de clés dans le portail Azure, puis sélectionnez le coffre de clés que vous souhaitez autoriser l’accès à partir de Power BI et de tous les autres services Microsoft approuvés.

  2. Sélectionnez Mise en réseau dans le volet de navigation de gauche.

  3. Sous Accès public - Autoriser l’accès à partir de :, choisissez Réseaux sélectionnés.

    Capture d’écran de l’option de mise en réseau Azure Key Vault, avec l’option pare-feu et réseaux virtuels sélectionnée.

  4. Faites défiler jusqu’à la section Exception et sélectionnez Autoriser les services Microsoft approuvés à contourner ce pare-feu.

    Capture d’écran de l’option permettant d’autoriser les services Microsoft approuvés à contourner ce pare-feu.

  5. Sélectionnez Appliquer.

Activer BYOK sur votre locataire

Vous activez BYOK au niveau du locataire à l’aide de PowerShell. Tout d’abord, installez le package d’administration Power BI pour PowerShell et introduisez les clés de chiffrement que vous avez créées et stockées dans Azure Key Vault sur votre locataire Power BI. Vous affectez ensuite ces clés de chiffrement par capacité Premium pour chiffrer du contenu dans la capacité.

Considérations importantes

Avant d’activer BYOK, gardez à l’esprit les considérations suivantes :

  • À ce stade, vous ne pouvez pas désactiver BYOK après l’avoir activé. Selon la façon dont vous spécifiez des paramètres, Add-PowerBIEncryptionKeyvous pouvez contrôler la façon dont vous utilisez BYOK pour une ou plusieurs de vos capacités. Toutefois, vous ne pouvez pas annuler l’introduction des clés à votre locataire. Pour plus d’informations, consultez Activer BYOK.
  • Vous ne pouvez pas déplacer directement un espace de travail qui utilise BYOK d’une capacité dans Power BI Premium vers une capacité partagée. Vous devez d’abord déplacer l’espace de travail vers une capacité qui n’a pas byOK activée.
  • Si vous déplacez un espace de travail qui utilise BYOK d’une capacité dans Power BI Premium vers une capacité partagée, les rapports et les modèles sémantiques deviennent inaccessibles, car ils sont chiffrés avec la clé. Pour éviter cette situation, vous devez d’abord déplacer l’espace de travail vers une capacité qui n’est ™pas activée par BYOK.

Activer BYOK

Pour activer BYOK, vous devez être un administrateur Power BI connecté à l’aide de l’applet de Connect-PowerBIServiceAccount commande. Utilisez ensuite Add-PowerBIEncryptionKey pour activer BYOK, comme illustré dans l’exemple suivant :

Add-PowerBIEncryptionKey -Name'Contoso Sales' -KeyVaultKeyUri'https://contoso-vault2.vault.azure.net/keys/ContosoKeyVault/b2ab4ba1c7b341eea5ecaaa2wb54c4d2'

Pour ajouter plusieurs clés, exécutez Add-PowerBIEncryptionKey avec des valeurs différentes pour -Name et -KeyVaultKeyUri.

L’applet de commande accepte deux paramètres de commutateur qui affectent le chiffrement pour les capacités actuelles et futures. Par défaut, aucun des commutateurs n’est défini :

  • -Activate: indique que cette clé est utilisée pour toutes les capacités existantes dans le locataire qui ne sont pas déjà chiffrées.
  • -Default: indique que cette clé est désormais la valeur par défaut pour l’ensemble du locataire. Lorsque vous créez une nouvelle capacité, la capacité hérite de cette clé.

Important

Si vous spécifiez -Default, toutes les capacités créées sur votre locataire à partir de ce point sont chiffrées à l’aide de la clé que vous spécifiez ou d’une clé par défaut mise à jour. Vous ne pouvez pas annuler l’opération par défaut. Vous perdez donc la possibilité de créer une capacité Premium dans votre locataire qui n’utilise pas BYOK.

Après avoir activé BYOK sur votre locataire, définissez la clé de chiffrement pour une ou plusieurs capacités Power BI :

  1. Utilisez Get-PowerBICapacity pour obtenir l’ID de capacité requis pour l’étape suivante.

    Get-PowerBICapacity -Scope Individual

    L’applet de commande retourne une sortie similaire à la sortie suivante :

    Id              : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
DisplayName     : Test Capacity
Admins          : adam@sometestdomain.com
Sku             : P1
State           : Active
UserAccessRight : Admin
Region          : North Central US

  2. Utilisez Set-PowerBICapacityEncryptionKey pour définir la clé de chiffrement :

    Set-PowerBICapacityEncryptionKey -CapacityId xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx -KeyName 'Contoso Sales'

Vous avez le contrôle sur la façon dont vous utilisez BYOK sur votre locataire. Par exemple, pour chiffrer une seule capacité, appeler Add-PowerBIEncryptionKey sans -Activate ou -Default. Ensuite, appelez Set-PowerBICapacityEncryptionKey la capacité dans laquelle vous souhaitez activer BYOK.

Gérer BYOK

Power BI fournit des applets de commande supplémentaires pour aider à gérer BYOK dans votre locataire :

  • Utilisez Get-PowerBICapacity pour obtenir la clé qu’une capacité utilise actuellement :

    Get-PowerBICapacity -Scope Organization -ShowEncryptionKey

  • Utilisez Get-PowerBIEncryptionKey pour obtenir la clé que votre locataire utilise actuellement :

    Get-PowerBIEncryptionKey

  • Utilisez Get-PowerBIWorkspaceEncryptionStatus pour déterminer si les modèles sémantiques d’un espace de travail sont chiffrés et si leur état de chiffrement est synchronisé avec l’espace de travail :

    Get-PowerBIWorkspaceEncryptionStatus -Name'Contoso Sales'

    Notez que le chiffrement est activé au niveau de la capacité, mais que vous obtenez l’état du chiffrement au niveau du modèle sémantique pour l’espace de travail spécifié.

  • Utilisez Switch-PowerBIEncryptionKey pour basculer (ou faire pivoter) la version de la clé utilisée pour le chiffrement. L’applet de commande met simplement à jour la -KeyVaultKeyUri clé -Name:

    Switch-PowerBIEncryptionKey -Name'Contoso Sales' -KeyVaultKeyUri'https://contoso-vault2.vault.azure.net/keys/ContosoKeyVault/b2ab4ba1c7b341eea5ecaaa2wb54c4d2'

    Notez que la clé actuelle doit être activée.

Contenu connexe

  • Last updated on