Erstellen von Reinräumen

In diesem Artikel erfahren Sie, wie Sie einen Reinraum erstellen – eine sichere und datenschutzfreundliche Umgebung, in der mehrere Parteien gemeinsam an vertraulichen Unternehmensdaten arbeiten können, ohne direkten Zugriff auf die Daten der anderen Partei zu haben.

Voraussetzungen

Die für die Verwendung von Reinräumen erforderlichen Berechtigungen variieren je nach Aufgabe:

• Zum Erstellen eines Reinraums müssen Sie über die Berechtigung CREATE CLEAN ROOM verfügen oder ein Metastore-Administrator sein. Der Ersteller wird im Unity Catalog-Metastore automatisch als Besitzer des Reinraums zugewiesen.

• Zum Initiieren der Teilnahme an einem für Sie freigegebenen Reinraum müssen Sie ein Metastore-Administrator sein.

  Wenn ein Reinraum freigegeben wird, wird dem Metastore-Administrator der Organisation des Projektmitarbeiters automatisch der Besitz des Reinraums zugewiesen. Der Metastore-Administrator kann den Besitz einem Nicht-Metastore-Administrator zuweisen. Als bewährte Methode für die Datengovernance empfiehlt Databricks, einer Gruppe Besitz zuzuweisen.

  Falls Ihrem Arbeitsbereich kein Metastore-Administrator zugewiesen ist, müssen Sie die Rolle zuweisen. Weitere Informationen finden Sie unter Zuweisen eines Metastore-Administrators und Verwalten des Unity Catalog-Objektbesitzes.

• Zum Hinzufügen und Entfernen von Datenressourcen und Notebooks in einem Reinraum müssen Sie der Besitzer des Reinraums sein oder über die Berechtigung MODIFY CLEAN ROOM für den Reinraum verfügen. Darüber hinaus müssen Sie und der Besitzer des Reinraums (wenn Sie nicht der Besitzer sind) über die Berechtigung SELECT für von Ihnen hinzugefügte Tabellen und Sichten sowie die Berechtigung READ VOLUME für von Ihnen hinzugefügte Volumes verfügen.

Informationen zu den erforderlichen Berechtigungen zum Aktualisieren von Reinräumen und Ausführen von Aufgaben (Notebooks) in Reinräumen finden Sie unter Verwalten von Reinräumen und Ausführen von Notebooks in Reinräumen.

Sie können bis zu fünf Reinräume pro Metastore erstellen.

Schritt 1. Anfordern des Freigabebezeichners des Projektmitarbeiters

Bevor Sie einen Reinraum erstellen können, müssen Sie über den Bezeichner für die Freigabe von Clean Room der Organisation verfügen, mit der Sie zusammenarbeiten werden. Der Freigabebezeichner ist eine Zeichenfolge, die aus der globalen Metastore-ID der Organisation + Arbeitsbereichs-ID + dem Benutzernamen des Kontakts (E-Mail-Adresse) besteht. Der Projektmitarbeiter kann sich in einer beliebigen Cloud oder Region befinden.

Wenden Sie sich an den Projektmitarbeiter, um seinen Freigabebezeichner anzufordern.

Der Projektmitarbeiter kann den Freigabebezeichner mithilfe der Anweisungen unter Ermitteln Ihres Freigabebezeichners abrufen.

Schritt 2. Erstellen eines Reinraums

Um einen Reinraum zu erstellen, müssen Sie den Katalog-Explorer verwenden.

1. Klicken Sie in Ihrem Azure Databricks-Arbeitsbereich auf Katalog.

2. Klicken Sie auf der Seite Schnellzugriff auf die Schaltfläche Reinräume >.

   Alternativ können Sie oben im Bereich Katalog auf das Zahnradsymbol klicken und Reinräume auswählen.

3. Klicken Sie auf Reinraum erstellen.

4. Geben Sie auf der Seite Reinraum erstellen einen benutzerfreundlichen Namen für den Reinraum ein.

   Der Name darf keine Leerzeichen, Punkte oder Schrägstriche (/) enthalten.

   Sie können den Namen des Reinraums nicht mehr ändern, nachdem er gespeichert wurde. Verwenden Sie einen Namen, der für den Projektmitarbeiter hilfreich und aussagekräftig ist.

5. Wählen Sie den Cloudanbieter und die Region aus, in der der zentrale Reinraum erstellt wird.

   Der Cloudanbieter muss mit dem Ihres aktuellen Arbeitsbereichs identisch sein, die Region jedoch nicht. Berücksichtigen Sie die Datenresidenz oder andere Richtlinien Ihrer Organisation, wenn Sie Ihre Auswahl treffen.

6. (Optional) Fügen Sie einen Kommentar hinzu.

7. Geben Sie den Bezeichner für die Freigabe von "Clean Room" des Mitarbeiters ein.

   Weitere Informationen finden Sie unter Schritt 1. Anfordern des Freigabebezeichners des Projektmitarbeiters.

   Sie können Ihren Reinraum vor der vollständigen Bereitstellung testen, indem Sie entweder Ihren Freigabebezeichner oder den Bezeichner eines anderen Benutzers in Ihrem aktuellen Metastore verwenden. Dadurch werden zwei Reinräume im aktuellen Metastore erstellt. Wenn Sie beispielsweise einen reinen Raum mit dem Titel test_clean_roomerstellen, wird auch ein zweiter Reinraum mit dem Namen test_clean_room_collaborator angezeigt. Das Ausführen von Notebooks mit einer am Projekt beteiligten Person in demselben Metastore funktioniert genauso wie bei einer externen Person. Weitere Informationen finden Sie unter Ausführen von Notebooks in Reinräumen.

8. Notieren Sie sich die Katalognamen, die Ihnen (dem Ersteller) und dem Projektmitarbeiter zugewiesen sind.

   Alle Datenressourcen, die dem Reinraum hinzugefügt werden, werden unter diesem Katalog im zentralen Reinraum angezeigt und können mithilfe dieses Katalogs im dreistufigen Unity Catalog-Namespace (<catalog>.<schema>.<table-etc>) referenziert werden.

9. Wählen Sie den Richtlinientyp für den Netzwerkzugriff aus. Dies kann nicht geändert werden, nachdem der Reinraum erstellt wurde.

   • Vollzugriff: Uneingeschränkter ausgehender Internetzugriff.
   • eingeschränkter Zugriff: Dies beschränkt den ausgehenden Zugriff auf von Ihnen angegebene Internetziele. Weitere Informationen finden Sie unter Übersicht über Netzwerkrichtlinien und Verwalten von Netzwerkrichtlinien für die serverlose Ausgangssteuerung.

   Hinweis

   Eingeschränkter Zugriff kann die Verfügbarkeit von Ressourcen für bis zu zehn Minuten verzögern und Google Cloud-Mitarbeiter nicht unterstützen.

   Nachdem Sie den Reinraum erstellt haben, können Sie die Netzwerkzugriffsrichtlinie auf der Registerkarte Sicherheit anzeigen.

10. Klicken Sie auf Reinraum erstellen.

Wenn Ihr aktueller Arbeitsbereich auf das HIPAA-Compliancesicherheitsprofil festgelegt ist, wird diese Einstellung beim Erstellen eines Reinraums auf den zentralen Reinraum angewendet. Mitarbeiter müssen über einen Arbeitsbereich mit demselben Sicherheitsprofil auf den Reinraum zugreifen. Weitere Informationen finden Sie unter Compliancesicherheitsprofil.

Schritt 3. Hinzufügen von Datenressourcen und Notebooks zum Reinraum

Jede Partei des Reinraums (erstellende Person und am Projekt beteiligte Person) kann dem Reinraum Tabellen, Volumes, Sichten und Notebooks hinzufügen.

Erforderliche Berechtigungen:

• Sie müssen der Besitzer sein oder über die Berechtigung MODIFY CLEAN ROOM für den Reinraum verfügen.

• Sie und der Besitzer des Reinraums (wenn Sie nicht der Besitzer sind) müssen über die Berechtigung SELECT für jede Tabelle oder Sicht und die Berechtigung READ VOLUME für jedes Volume, die bzw. das Sie hinzufügen, sowie die Berechtigungen USE CATALOG und USE SCHEMA für den übergeordneten Katalog und das Schema verfügen.

  Der Besitzer des Reinraums muss diese Berechtigungen während der gesamten Lebensdauer des Reinraums besitzen.

Hinweis

In den folgenden Anweisungen wird davon ausgegangen, dass Sie zu einem bereits erstellten Reinraum zurückkehren, um Ressourcen hinzuzufügen. Wenn Sie zum ersten Mal einen Reinraum erstellt haben, führt Sie ein Assistent durch die Schritte zum Hinzufügen von Datenressourcen und Notebooks. Die eigentliche Benutzeroberfläche zum Hinzufügen der Ressourcen ist identisch, unabhängig davon, ob Sie den Assistenten verwenden oder nicht.

So fügen Sie Ressourcen hinzu

1. Klicken Sie in Ihrem Azure Databricks-Arbeitsbereich auf Katalog.

2. Klicken Sie auf der Seite Schnellzugriff auf die Schaltfläche Reinräume >.

   Alternativ können Sie oben im Bereich Katalog auf das Zahnradsymbol klicken und Reinräume auswählen.

3. Suchen Sie nach dem Namen des Reinraums, den Sie aktualisieren möchten, und klicken Sie darauf.

4. Klicken Sie auf und dann auf "Datenobjekte hinzufügen", um Tabellen, Volumen oder Ansichten hinzuzufügen.

5. Wählen Sie die Datenobjekte aus, die Sie freigeben möchten, und klicken Sie auf Datenressourcen hinzufügen.

   Wenn Sie eine Tabelle, ein Volume oder eine Sicht freigeben, können Sie optional einen Alias hinzufügen. Der Aliasname ist der einzige Name, der im Reinraum sichtbar ist.

   Wenn Sie eine Tabelle freigeben, können Sie optional Partitionsklauseln hinzufügen, mit denen Sie nur einen Teil der Tabelle freigeben können. Ausführliche Informationen zur Verwendung von Partitionen zum Einschränken der Daten, die Sie freigeben, finden Sie unter Angeben der freizugebenden Tabellenpartitionen.

Hinweis

Wenden Sie sich an Ihrem Azure Databricks-Kontovertreter, um an der Privaten Vorschau für die Gemeinsame Nutzung von Verbundtabellen teilzunehmen. Weitere Informationen finden Sie unter Was ist ein Lakehouse-Verbund?.

1. Um Notebooks hinzuzufügen, klicken Sie auf die Schaltfläche + Notebooks hinzufügen, und suchen Sie nach dem Notebook, das Sie hinzufügen möchten.

   Optional können Sie einen alternativen Notebooknamen eingeben.

   Notebooks, die Sie in Reinräumen freigeben, fragen Daten ab und führen Datenanalyseworkloads für die Tabellen, Sichten und Volumes aus, die Sie und die andere am Projekt beteiligte Person dem Reinraum hinzugefügt haben.

   Notizbücher funktionieren nach dem Prinzip der impliziten Genehmigung: Sie können von Ihnen erstellte Notizbücher nicht ausführen. Sie erstellen die Notebooks, die Ihr Projektmitarbeiter verwendet, und der Projektmitarbeiter erstellt die Notebooks, die Sie verwenden.

   Wenn Sie ein Notebook teilen, das Ergebnisse enthält, werden diese Ergebnisse für den Projektmitarbeiter freigegeben.

   Sie können ein Notizbuch verwenden, um Ausgabetabellen zu erstellen, die beim Ausführen des Notizbuchs vorübergehend für den Metastore Ihres Mitarbeiters freigegeben werden. Siehe Erstellen und Arbeiten mit Ausgabetabellen in Databricks Clean Rooms.

   Um ein Testdatenset zu verwenden, laden Sie unser Beispielnotizbuchherunter.

   Wichtig

   Alle Notizbuchverweise auf Tabellen, Ansichten oder Datenträger, die dem Reinraum hinzugefügt wurden, müssen den ihnen bei der Erstellung des Reinraums zugewiesenen Katalognamen verwenden („Ersteller“ für Datenressourcen, die vom Ersteller des Reinraums hinzugefügt wurden, und „Kooperationspartner“ für Datenressourcen, die vom eingeladenen Kooperationspartner hinzugefügt wurden). Der Name einer vom Ersteller hinzugefügten Tabelle könnte beispielsweise creator.sales.california lauten.

   Überprüfen Sie ebenfalls, ob das Notebook alle Aliase verwendet, die Datenressourcen im Reinraum zugewiesen wurden.