⑴ Power BI-行級許可權控制
d)在PowerBI Service 的Datasets中,點擊Security,把用戶添加到角色中
a) 創建用戶許可權表和關系 ,有幾個創建幾個
⑵ powerbi添加服務主體
Power BI 會對靜態數據和正在處理的數據進行加密。 默認情況下,Power BI 使用 Microsoft 託管密鑰來加密數據。 在 Power BI Premium 中,還可以對導入數據集的靜態數據使用自己的密鑰(有關詳細信息,請參閱數據源和存儲注意事項)。 這種方法通常被稱為創建自己的密鑰 (BYOK)。
為何使用 BYOK?
BYOK 讓滿足有關指定與雲服務提供商(在本例中為 Microsoft)的密鑰安排的合規性要求變得更輕松。 藉助 BYOK,可以在應用程序級別為 Power BI 靜態數據提供加密密鑰並進行控制。 因此,如果決定退出服務,則可以行使控制權並撤消組織密鑰。 撤銷密鑰後,30 分鍾內數據對服務將不可讀取。
數據源和存儲注意事項
若要使用 BYOK,必須從 Power BI Desktop (PBIX) 文件將數據上傳到 Power BI 服務。 不能在以下方案中使用 BYOK:
Analysis Services 實時連接
Excel 工作簿(除非是首次將數據導入 Power BI Desktop)
推送數據集
流數據集
Power BI 目標當前不支持自帶密鑰 (BYOK)。
BYOK 僅適用於數據集。 用戶可以上傳到服務的推送數據集、Excel 文件和 CSV 文件不使用自己的密鑰進行加密。 若要確定哪些項存儲在工作區中,請使用以下 PowerShell 命令:
PS C:\> Get-PowerBIWorkspace -Scope Organization -Include All
備注
此 cmdlet 需要 Power BI 管理模塊 v1.0.840。 可以通過運行 Get-InstalledMole -Name MicrosoftPowerBIMgmt 來查看版本。 通過運行 Install-Mole -Name MicrosoftPowerBIMgmt 安裝最新版本。 可在 Power BI PowerShell cmdlet 模塊中獲取有關 Power BI cmdlet 及其參數的詳細信息。
配置 Azure Key Vault
在此部分中,你將學習如何配置 Azure Key Vault - 一種用於安全存儲和訪問加密密鑰等機密的工具。 可以使用現有密鑰保管庫來存儲加密密鑰,也可以創建專門與 Power BI 配合使用的新密鑰保管庫。
本部分中的說明假定具有 Azure 密鑰保管庫基本知識。 有關詳細信息,請參閱什麼是 Azure 密鑰保管庫?
按以下方式配置密鑰保管庫:
將 Power BI 服務作為密鑰保管庫的服務主體添加,並提供包裝和解包許可權。
創建長度為 4096 位的 RSA 密鑰(或使用此類型的現有密鑰),並提供包裝和解包許可權。
重要
Power BI BYOK 僅支持 4096 位長度的 RSA 密鑰。
(建議)檢查並確保密鑰保管庫已啟用「軟刪除」選項。
添加服務主體
在 Azure 門戶的密鑰保管庫中,在「訪問策略」下,選擇「添加訪問策略」。
在「密鑰許可權」下,選擇「解包密鑰」和「包裝密鑰」 。
在「選擇主體」下,搜索並選擇「Microsoft.Azure.AnalysisServices」。
備注
如果找不到「Microsoft.Azure.AnalysisServices」,則可能是與 Azure Key Vault 關聯的 Azure 訂閱沒有與之關聯的 Power BI 資源。 請嘗試改為搜索以下字元串:00000009-0000-0000-c000-000000000000。
依次選擇「添加」和「保存」。
備注
若要在將來撤消 Power BI 對你的數據的訪問許可權,請從 Azure 密鑰保管庫中刪除對此服務主體的訪問許可權。
創建 RSA 密鑰
在密鑰保管庫中的「密鑰」下,選擇「生成/導入」 。
選擇 RSA 的「密鑰類型」和 4096 的「RSA 密鑰大小」。
選擇「創建」。
在「密鑰」下,選擇所創建的密鑰。
選擇密鑰「當前版本」的 GUID。
檢查並確保已選中「包裝密鑰」和「解包密鑰」。 復制「密鑰標識符」,以在 Power BI 中啟用 BYOK 時使用。
「軟刪除」選項
我們建議在密鑰保管庫中啟用「軟刪除」,以防止在意外刪除密鑰或密鑰保險庫時丟失數據。 必須使用 PowerShell 在密鑰保管庫中啟用「軟刪除」屬性,因為 Azure 門戶尚未提供此選項。
正確配置 Azure 密鑰保管庫後,即可在租戶上啟用 BYOK。
配置 Azure 密鑰保管庫防火牆
本節介紹如何利用受信任的 Microsoft 服務防火牆繞過來配置圍繞 Azure 密鑰保管庫的防火牆。
備注
在密鑰保管庫上啟用防火牆規則是可選操作。 還可以選擇根據默認設置在密鑰保管庫上禁用防火牆。
Power BI 是受信任的 Microsoft 服務。 可以指示密鑰保管庫防火牆允許對所有受信任的 Microsoft 服務的訪問,該設置支持 Power BI 不指定終結點連接即可訪問密鑰保管庫。
若要將 Azure 密鑰保管庫配置為允許對受信任的 Microsoft 服務的訪問,請執行以下步驟:
登錄到 Azure 門戶。
搜索「密鑰保管庫」。
選擇要允許訪問 Power BI(以及所有其他受信任的 Microsoft 服務)的密鑰庫。
選擇「網路」,然後選擇「防火牆和虛擬網路」。
從「允許訪問自」選項中,選擇「所選網路」。
在「防火牆」部分的「允許受信任的 Microsoft 服務繞過此防火牆」中,選擇「是」。
選擇「保存」。
在租戶上啟用 BYOK
使用 PowerShell 在租戶級別啟用 BYOK 時,首先會向 Power BI 租戶引入在 Azure Key Vault 中創建和存儲的加密密鑰。 然後,可以為每個高級容量分配這些加密密鑰,以加密容量中的內容。
重要注意事項
在啟用 BYOK 之前,請記住以下注意事項:
目前,無法在啟用 BYOK 後再將其禁用。 根據為 Add-PowerBIEncryptionKey 指定參數的方式,可以控制將 BYOK 用於一個或多個容量的方式。 但是,無法撤消向租戶引入密鑰的操作。 有關詳細信息,請參閱啟用 BYOK。
不能直接將使用 BYOK 的工作區從 Power BI Premium 中的容量移至共享容量。 必須先將工作區移至未啟用 BYOK 的容量。
如果將使用 BYOK 的工作區從 Power BI Premium 中的容量移動到共享,則報表和數據集將變為不可訪問,因為它們是使用密碼進行訪問的。 為了避免該情況,必須先將工作區移至未啟用 BYOK 的容量。
啟用 BYOK
若要啟用 BYOK,你必須是 Power BI 管理員,並使用 Connect-PowerBIServiceAccount cmdlet 登錄。 然後,使用 Add-PowerBIEncryptionKey 啟用 BYOK,如以下示例所示:
PowerShell
復制
Add-PowerBIEncryptionKey -Name'Contoso Sales' -KeyVaultKeyUri'https://contoso-vault2.vault.azure.net/keys/ContosoKeyVault/'
要添加多個密鑰,請為 -Name 和 -KeyVaultKeyUri 運行具有不同值的 Add-PowerBIEncryptionKey。
cmdlet 接受兩個影響當前和未來容量加密的開關參數。 默認情況下,兩個開關均未設置:
-Activate:表示此密鑰將用於租戶中尚未加密的所有現有容量。
-Default:表示此密鑰現在是整個租戶的默認密鑰。 創建新容量時,容量會繼承此密鑰。
重要
如果指定 -Default,則之後在你的租戶上創建的所有容量都將使用指定的密鑰(或更新的默認密鑰)進行加密。 無法撤消默認操作,因此無法創建不在租戶中使用 BYOK 的高級容量。
在租戶上啟用 BYOK 後,請為一個或多個 Power BI 容量設置加密密鑰:
使用 Get-PowerBICapacity 獲取下一步所需的容量 ID。
PowerShell
復制
Get-PowerBICapacity -Scope Indivial
cmdlet 將返回類似於以下輸出的輸出:
復制
Id : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
DisplayName : Test Capacity
Admins : [email protected]
Sku : P1
State : Active
UserAccessRight : Admin
Region : North Central US
使用 Set-PowerBICapacityEncryptionKey 設置加密密鑰:
PowerShell
復制
Set-PowerBICapacityEncryptionKey -CapacityId xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx -KeyName 'Contoso Sales'
可以控制在租戶中使用 BYOK 的方式。 例如,若要加密單個容量,請在不調用 -Activate 或 -Default 的情況下調用 Add-PowerBIEncryptionKey。 然後,為想要在其中啟用 BYOK 的容量調用 Set-PowerBICapacityEncryptionKey
⑶ powerbi發布到web端會不會泄露數據
發布到Web端的Power BI報表可以通過安全的訪問許可權控制來保護數據安全,以防止數據泄露。另外,Power BI還提供了數據加密、多因素身份驗證和審計日誌等功能,可以有效保護數據安全。