⑴ Power BI-行级权限控制
d)在PowerBI Service 的Datasets中,点击Security,把用户添加到角色中
a) 创建用户权限表和关系 ,有几个创建几个
⑵ powerbi添加服务主体
Power BI 会对静态数据和正在处理的数据进行加密。 默认情况下,Power BI 使用 Microsoft 托管密钥来加密数据。 在 Power BI Premium 中,还可以对导入数据集的静态数据使用自己的密钥(有关详细信息,请参阅数据源和存储注意事项)。 这种方法通常被称为创建自己的密钥 (BYOK)。
为何使用 BYOK?
BYOK 让满足有关指定与云服务提供商(在本例中为 Microsoft)的密钥安排的合规性要求变得更轻松。 借助 BYOK,可以在应用程序级别为 Power BI 静态数据提供加密密钥并进行控制。 因此,如果决定退出服务,则可以行使控制权并撤消组织密钥。 撤销密钥后,30 分钟内数据对服务将不可读取。
数据源和存储注意事项
若要使用 BYOK,必须从 Power BI Desktop (PBIX) 文件将数据上传到 Power BI 服务。 不能在以下方案中使用 BYOK:
Analysis Services 实时连接
Excel 工作簿(除非是首次将数据导入 Power BI Desktop)
推送数据集
流数据集
Power BI 目标当前不支持自带密钥 (BYOK)。
BYOK 仅适用于数据集。 用户可以上传到服务的推送数据集、Excel 文件和 CSV 文件不使用自己的密钥进行加密。 若要确定哪些项存储在工作区中,请使用以下 PowerShell 命令:
PS C:\> Get-PowerBIWorkspace -Scope Organization -Include All
备注
此 cmdlet 需要 Power BI 管理模块 v1.0.840。 可以通过运行 Get-InstalledMole -Name MicrosoftPowerBIMgmt 来查看版本。 通过运行 Install-Mole -Name MicrosoftPowerBIMgmt 安装最新版本。 可在 Power BI PowerShell cmdlet 模块中获取有关 Power BI cmdlet 及其参数的详细信息。
配置 Azure Key Vault
在此部分中,你将学习如何配置 Azure Key Vault - 一种用于安全存储和访问加密密钥等机密的工具。 可以使用现有密钥保管库来存储加密密钥,也可以创建专门与 Power BI 配合使用的新密钥保管库。
本部分中的说明假定具有 Azure 密钥保管库基本知识。 有关详细信息,请参阅什么是 Azure 密钥保管库?
按以下方式配置密钥保管库:
将 Power BI 服务作为密钥保管库的服务主体添加,并提供包装和解包权限。
创建长度为 4096 位的 RSA 密钥(或使用此类型的现有密钥),并提供包装和解包权限。
重要
Power BI BYOK 仅支持 4096 位长度的 RSA 密钥。
(建议)检查并确保密钥保管库已启用“软删除”选项。
添加服务主体
在 Azure 门户的密钥保管库中,在“访问策略”下,选择“添加访问策略”。
在“密钥权限”下,选择“解包密钥”和“包装密钥” 。
在“选择主体”下,搜索并选择“Microsoft.Azure.AnalysisServices”。
备注
如果找不到“Microsoft.Azure.AnalysisServices”,则可能是与 Azure Key Vault 关联的 Azure 订阅没有与之关联的 Power BI 资源。 请尝试改为搜索以下字符串:00000009-0000-0000-c000-000000000000。
依次选择“添加”和“保存”。
备注
若要在将来撤消 Power BI 对你的数据的访问权限,请从 Azure 密钥保管库中删除对此服务主体的访问权限。
创建 RSA 密钥
在密钥保管库中的“密钥”下,选择“生成/导入” 。
选择 RSA 的“密钥类型”和 4096 的“RSA 密钥大小”。
选择“创建”。
在“密钥”下,选择所创建的密钥。
选择密钥“当前版本”的 GUID。
检查并确保已选中“包装密钥”和“解包密钥”。 复制“密钥标识符”,以在 Power BI 中启用 BYOK 时使用。
“软删除”选项
我们建议在密钥保管库中启用“软删除”,以防止在意外删除密钥或密钥保险库时丢失数据。 必须使用 PowerShell 在密钥保管库中启用“软删除”属性,因为 Azure 门户尚未提供此选项。
正确配置 Azure 密钥保管库后,即可在租户上启用 BYOK。
配置 Azure 密钥保管库防火墙
本节介绍如何利用受信任的 Microsoft 服务防火墙绕过来配置围绕 Azure 密钥保管库的防火墙。
备注
在密钥保管库上启用防火墙规则是可选操作。 还可以选择根据默认设置在密钥保管库上禁用防火墙。
Power BI 是受信任的 Microsoft 服务。 可以指示密钥保管库防火墙允许对所有受信任的 Microsoft 服务的访问,该设置支持 Power BI 不指定终结点连接即可访问密钥保管库。
若要将 Azure 密钥保管库配置为允许对受信任的 Microsoft 服务的访问,请执行以下步骤:
登录到 Azure 门户。
搜索“密钥保管库”。
选择要允许访问 Power BI(以及所有其他受信任的 Microsoft 服务)的密钥库。
选择“网络”,然后选择“防火墙和虚拟网络”。
从“允许访问自”选项中,选择“所选网络”。
在“防火墙”部分的“允许受信任的 Microsoft 服务绕过此防火墙”中,选择“是”。
选择“保存”。
在租户上启用 BYOK
使用 PowerShell 在租户级别启用 BYOK 时,首先会向 Power BI 租户引入在 Azure Key Vault 中创建和存储的加密密钥。 然后,可以为每个高级容量分配这些加密密钥,以加密容量中的内容。
重要注意事项
在启用 BYOK 之前,请记住以下注意事项:
目前,无法在启用 BYOK 后再将其禁用。 根据为 Add-PowerBIEncryptionKey 指定参数的方式,可以控制将 BYOK 用于一个或多个容量的方式。 但是,无法撤消向租户引入密钥的操作。 有关详细信息,请参阅启用 BYOK。
不能直接将使用 BYOK 的工作区从 Power BI Premium 中的容量移至共享容量。 必须先将工作区移至未启用 BYOK 的容量。
如果将使用 BYOK 的工作区从 Power BI Premium 中的容量移动到共享,则报表和数据集将变为不可访问,因为它们是使用密码进行访问的。 为了避免该情况,必须先将工作区移至未启用 BYOK 的容量。
启用 BYOK
若要启用 BYOK,你必须是 Power BI 管理员,并使用 Connect-PowerBIServiceAccount cmdlet 登录。 然后,使用 Add-PowerBIEncryptionKey 启用 BYOK,如以下示例所示:
PowerShell
复制
Add-PowerBIEncryptionKey -Name'Contoso Sales' -KeyVaultKeyUri'https://contoso-vault2.vault.azure.net/keys/ContosoKeyVault/'
要添加多个密钥,请为 -Name 和 -KeyVaultKeyUri 运行具有不同值的 Add-PowerBIEncryptionKey。
cmdlet 接受两个影响当前和未来容量加密的开关参数。 默认情况下,两个开关均未设置:
-Activate:表示此密钥将用于租户中尚未加密的所有现有容量。
-Default:表示此密钥现在是整个租户的默认密钥。 创建新容量时,容量会继承此密钥。
重要
如果指定 -Default,则之后在你的租户上创建的所有容量都将使用指定的密钥(或更新的默认密钥)进行加密。 无法撤消默认操作,因此无法创建不在租户中使用 BYOK 的高级容量。
在租户上启用 BYOK 后,请为一个或多个 Power BI 容量设置加密密钥:
使用 Get-PowerBICapacity 获取下一步所需的容量 ID。
PowerShell
复制
Get-PowerBICapacity -Scope Indivial
cmdlet 将返回类似于以下输出的输出:
复制
Id : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
DisplayName : Test Capacity
Admins : [email protected]
Sku : P1
State : Active
UserAccessRight : Admin
Region : North Central US
使用 Set-PowerBICapacityEncryptionKey 设置加密密钥:
PowerShell
复制
Set-PowerBICapacityEncryptionKey -CapacityId xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx -KeyName 'Contoso Sales'
可以控制在租户中使用 BYOK 的方式。 例如,若要加密单个容量,请在不调用 -Activate 或 -Default 的情况下调用 Add-PowerBIEncryptionKey。 然后,为想要在其中启用 BYOK 的容量调用 Set-PowerBICapacityEncryptionKey
⑶ powerbi发布到web端会不会泄露数据
发布到Web端的Power BI报表可以通过安全的访问权限控制来保护数据安全,以防止数据泄露。另外,Power BI还提供了数据加密、多因素身份验证和审计日志等功能,可以有效保护数据安全。