Compartilhar via

Traga suas próprias chaves de criptografia para o Power BI

Por padrão, o Power BI usa chaves gerenciadas pela Microsoft para criptografar seus dados. No Power BI Premium, você também pode usar suas próprias chaves para dados inativos importados para um modelo semântico. Essa abordagem geralmente é descrita como BYOK (traga sua própria chave ). Para obter mais informações, consulte as considerações sobre a fonte de dados e o armazenamento. O BYOK do Power BI dá suporte à criptografia dupla, garantindo a segurança em camadas e a conformidade com os padrões de criptografia empresarial. Isso inclui criptografia no nível de armazenamento usando a Criptografia de Server-Side (SSE) e a criptografia do lado do cliente com uma DEK (Chave de Criptografia de Dados) gerenciada pela Microsoft. Esse DEK é encapsulado usando um CMK antes que os dados sejam armazenados em repouso.

Por que usar BYOK?

O BYOK facilita o cumprimento dos requisitos de conformidade que especificam as principais disposições com o provedor de serviços de nuvem, nesse caso, a Microsoft. Com o BYOK, você fornece e controla as chaves de criptografia para seus dados do Power BI em repouso no nível do aplicativo. Como resultado, você pode exercer o controle e revogar as chaves da sua organização, caso decida sair do serviço. Ao revogar as chaves, os dados se tornam ilegível para o serviço dentro de 30 minutos.

Considerações sobre fonte de dados e armazenamento

Para usar BYOK, você deve carregar dados no serviço do Power BI de um arquivo PBIX (Power BI Desktop). Você não pode usar BYOK nos seguintes cenários:

BYOK aplica-se somente a modelos semânticos. Modelos semânticos por push, arquivos do Excel e arquivos CSV que os usuários podem carregar no serviço não são criptografados usando sua própria chave. Para identificar quais itens são armazenados em seus workspaces, use o seguinte comando do PowerShell:

PS C:\> Get-PowerBIWorkspace -Scope Organization -Include All

Observação

Esse cmdlet requer o módulo de gerenciamento do Power BI v1.0.840. Você pode ver qual versão você tem executando Get-InstalledModule -Name MicrosoftPowerBIMgmt. Instale a versão mais recente executando Install-Module -Name MicrosoftPowerBIMgmt. Você pode obter mais informações sobre o cmdlet do Power BI e seus parâmetros no módulo de cmdlet do PowerShell do Power BI.

Configurar o Azure Key Vault

Esta seção explica como configurar o Azure Key Vault, uma ferramenta para armazenar e acessar segredos com segurança, como chaves de criptografia. Você pode usar um cofre de chaves existente para armazenar chaves de criptografia ou criar uma nova especificamente para uso com o Power BI.

As instruções a seguir assumem o conhecimento básico do Azure Key Vault. Para obter mais informações, consulte o que é o Azure Key Vault?

Configure o cofre de chaves da seguinte maneira:

  1. Adicione o serviço do Power BI como uma entidade de serviço para o cofre de chaves, com permissões de encapsulamento e desembrulhamento.

  2. Crie uma chave RSA com um comprimento de 4.096 bits ou use uma chave existente desse tipo, com permissões de encapsulamento e desembrulhamento.

    Importante

    O BYOK do Power BI dá suporte a chaves RSA e RSA-HSM com um comprimento de 4096 bits.

  3. Recomendado: verifique se o cofre de chaves tem a opção de exclusão reversível habilitada.

Adicionar a entidade de serviço

  1. Faça logon no portal do Azure e pesquise por Key Vaults.

  2. No cofre de chaves, selecione políticas de acesso e, em seguida, escolha Criar.

    Captura de tela do botão Criar para políticas de acesso no portal do Azure.

  3. Na tela Permissões , em Permissões de chave, selecione Desembrulhar Chave e Chave de Encapsulamento e, em seguida, escolha Avançar.

    Captura de tela da tela de permissão para criar uma nova política de acesso.

  4. Na tela Principal , pesquise e selecione Microsoft.Azure.AnalysisServices.

    Observação

    Se você não conseguir encontrar Microsoft.Azure.AnalysisServices, é provável que a assinatura do Azure associada ao Azure Key Vault nunca tenha tido um recurso do Power BI associado a ele. Tente pesquisar a seguinte cadeia de caracteres em vez disso: 00000009-0000-0000-c0000-00000000000000.

    Captura de tela da tela Principal para selecionar uma nova entidade de segurança para a política de acesso.

  5. Selecione Avançar e , em seguida, Examinar + criar>Criar.

O controle de acesso baseado em função do Azure também pode ser usado para conceder permissões selecionando uma função que inclui permissões Desencapsular chave e chave de encapsulamento.

Observação

Para revogar o acesso do Power BI aos seus dados, remova os direitos de acesso a essa entidade de serviço do Azure Key Vault.

Criar uma chave RSA

  1. No cofre de chaves, em Chaves, selecione Gerar/Importar.

  2. Selecione um tipo de chaveRSA e um tamanho de chave RSA de 4096.

    Captura de tela das seleções de tamanho e tipo de chave RSA.

  3. Selecione Criar.

  4. Em Chaves, selecione a chave que você criou.

  5. Selecione o GUID para a Versão Atual da chave.

  6. Verifique se a chave de encapsulamento e a chave de desencapsão estão selecionadas. Copie o Identificador de Chave a ser usado ao habilitar o BYOK no Power BI.

    Captura de tela das propriedades de chave com o identificador e as operações permitidas.

Opção de exclusão reversível

Você deve habilitar a exclusão temporária no cofre de chaves para proteger contra perda de dados em caso de exclusão acidental de chave ou cofre de chaves. Para habilitar a propriedade de exclusão reversível , você deve usar o PowerShell porque essa opção ainda não está disponível no portal do Azure.

Com o Azure Key Vault configurado corretamente, você está pronto para habilitar o BYOK em seu locatário.

Configurar o firewall do Azure Key Vault

Esta seção descreve como usar o bypass de firewall de serviço confiável da Microsoft para configurar um firewall em torno do Azure Key Vault.

Observação

Você pode optar por habilitar regras de firewall no cofre de chaves. Você também pode optar por deixar o firewall desabilitado no cofre de chaves de acordo com a configuração padrão.

O Power BI é um serviço confiável da Microsoft. Você pode instruir o firewall do cofre de chaves a permitir o acesso a todos os serviços confiáveis da Microsoft, uma configuração que permite ao Power BI acessar seu cofre de chaves sem especificar conexões de ponto de extremidade.

Para configurar o Azure Key Vault para permitir o acesso a serviços confiáveis da Microsoft, siga estas etapas:

  1. Pesquise key vaults no portal do Azure e selecione o cofre de chaves que você deseja permitir acesso do Power BI e de todos os outros serviços confiáveis da Microsoft.

  2. Selecione Rede no painel de navegação do lado esquerdo.

  3. Em Acesso Público – Permitir acesso de:, escolha redes selecionadas.

    Captura de tela da opção de rede do Azure Key Vault, com a opção firewalls e redes virtuais selecionada.

  4. Role para baixo até a seção Exceção e selecione Permitir que serviços confiáveis da Microsoft ignorem esse firewall.

    Captura de tela da opção para permitir que serviços confiáveis da Microsoft ignorem esse firewall.

  5. Selecione Aplicar.

Habilitar BYOK em seu locatário

Habilite o BYOK no nível do locatário usando o PowerShell. Primeiro, instale o pacote de administração do Power BI para o PowerShell e introduza as chaves de criptografia que você criou e armazenou no Azure Key Vault para seu locatário do Power BI. Em seguida, você atribui essas chaves de criptografia por capacidade Premium para criptografar conteúdo na capacidade.

Considerações importantes

Antes de habilitar o BYOK, tenha em mente as seguintes considerações:

  • Neste momento, você não pode desabilitar o BYOK depois de habilitá-lo. Dependendo de como você especifica parâmetros para Add-PowerBIEncryptionKey, você pode controlar como usar BYOK para uma ou mais de suas capacidades. No entanto, você não pode desfazer a introdução de chaves ao seu locatário. Para obter mais informações, consulte Habilitar BYOK.
  • Você não pode mover diretamente um workspace que usa BYOK de uma capacidade no Power BI Premium para uma capacidade compartilhada. Primeiro, você deve mover o workspace para uma capacidade que não tenha o BYOK habilitado.
  • Se você mover um workspace que usa BYOK de uma capacidade no Power BI Premium para uma capacidade compartilhada, relatórios e modelos semânticos ficarão inacessíveis, pois são criptografados com a Chave. Para evitar essa situação, primeiro você deve mover o workspace para uma capacidade que não ™tenha BYOK habilitado.

Habilitar BYOK

Para habilitar o BYOK, você deve ser um administrador do Power BI, conectado usando o Connect-PowerBIServiceAccount cmdlet. Em seguida, use Add-PowerBIEncryptionKey para habilitar BYOK, conforme mostrado no exemplo a seguir:

Add-PowerBIEncryptionKey -Name'Contoso Sales' -KeyVaultKeyUri'https://contoso-vault2.vault.azure.net/keys/ContosoKeyVault/b2ab4ba1c7b341eea5ecaaa2wb54c4d2'

Para adicionar várias chaves, execute Add-PowerBIEncryptionKey com valores diferentes para -Name e -KeyVaultKeyUri.

O cmdlet aceita dois parâmetros de comutador que afetam a criptografia para capacidades atuais e futuras. Por padrão, nenhum dos comutadores é definido:

  • -Activate: indica que essa chave é usada para todas as capacidades existentes no locatário que ainda não estão criptografadas.
  • -Default: indica que essa chave agora é o padrão para todo o locatário. Quando você cria uma nova capacidade, a capacidade herda essa chave.

Importante

Se você especificar -Default, todas as capacidades criadas em seu locatário a partir deste ponto serão criptografadas usando a chave especificada ou uma chave padrão atualizada. Você não pode desfazer a operação padrão, portanto, perde a capacidade de criar uma capacidade premium em seu locatário que não usa BYOK.

Depois de habilitar o BYOK em seu locatário, defina a chave de criptografia para uma ou mais capacidades do Power BI:

  1. Use Get-PowerBICapacity para obter a ID de capacidade necessária para a próxima etapa.

    Get-PowerBICapacity -Scope Individual

    O cmdlet retorna uma saída semelhante à seguinte saída:

    Id              : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
DisplayName     : Test Capacity
Admins          : adam@sometestdomain.com
Sku             : P1
State           : Active
UserAccessRight : Admin
Region          : North Central US

  2. Use Set-PowerBICapacityEncryptionKey para definir a chave de criptografia:

    Set-PowerBICapacityEncryptionKey -CapacityId xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx -KeyName 'Contoso Sales'

Você tem controle sobre como usar BYOK em seu locatário. Por exemplo, para criptografar uma única capacidade, chame Add-PowerBIEncryptionKey sem -Activate ou -Default. Em seguida, chame Set-PowerBICapacityEncryptionKey a capacidade em que você deseja habilitar o BYOK.

Gerenciar BYOK

O Power BI fornece cmdlets adicionais para ajudar a gerenciar o BYOK em seu locatário:

  • Use Get-PowerBICapacity para obter a chave que uma capacidade usa atualmente:

    Get-PowerBICapacity -Scope Organization -ShowEncryptionKey

  • Use Get-PowerBIEncryptionKey para obter a chave que seu locatário usa atualmente:

    Get-PowerBIEncryptionKey

  • Use Get-PowerBIWorkspaceEncryptionStatus para ver se os modelos semânticos em um workspace são criptografados e se seu status de criptografia está em sincronia com o workspace:

    Get-PowerBIWorkspaceEncryptionStatus -Name'Contoso Sales'

    Observe que a criptografia está habilitada no nível de capacidade, mas você obtém o status de criptografia no nível do modelo semântico para o workspace especificado.

  • Use Switch-PowerBIEncryptionKey para alternar (ou girar) a versão da chave que está sendo usada para criptografia. O cmdlet simplesmente atualiza o -KeyVaultKeyUri para uma chave -Name:

    Switch-PowerBIEncryptionKey -Name'Contoso Sales' -KeyVaultKeyUri'https://contoso-vault2.vault.azure.net/keys/ContosoKeyVault/b2ab4ba1c7b341eea5ecaaa2wb54c4d2'

    Observe que a chave atual deve ser habilitada.

Conteúdo relacionado

  • Last updated on