¿Qué es Salas limpias de Azure Databricks?

Importante

Esta característica está en versión preliminar pública. Para solicitar acceso, póngase en contacto con su representante de Azure Databricks.

En este artículo se presenta Salas limpias, una característica de Azure Databricks que usa Delta Sharing y un proceso sin servidor para proporcionar un entorno seguro y protegido por la privacidad en el que varias partes pueden trabajar conjuntamente en datos empresariales confidenciales sin acceso directo a los datos de los demás.

Requisitos

Para poder usar salas limpias, haga lo siguiente:

• Regístrese y obtenga la aprovación para la versión preliminar pública. Póngase en contacto con el equipo de la cuenta de Azure Databricks para solicitar acceso.
• Tenga una cuenta habilitada para el proceso sin servidor. Consulte Habilitación del proceso sin servidor.
• Cuente con un área de trabajo habilitada para Unity Catalog. Consulte Habilitar un área de trabajo para Unity Catalog.

¿Cómo funciona Salas limpias?

Al crear una sala limpia, generará lo siguiente:

• Un objeto de sala limpia protegible en el metastore de Unity Catalog.
• La sala limpia "central", que es un entorno efímero aislado administrado por Databricks.
• Un objeto de sala limpia protegible en la metastore de Unity Catalog del colaborador.

Las tablas, los volúmenes (datos no tabulares) y los cuadernos que comparten los colaboradores en la sala limpia se comparten, con Delta Sharing, solo con la sala limpia central.

Los colaboradores no pueden ver los datos en las tablas y volúmenes de otros colaboradores, pero pueden ver nombres de columna y tipos de columna, y pueden ejecutar código de cuaderno aprobado que funciona sobre las tablas y volúmenes. El código del cuaderno se ejecuta en la sala limpia central.

¿Cómo garantizan las Salas limpias un entorno de confianza cero?

El modelo de Salas limpias de Databricks es "de confianza cero". Todos los colaboradores de una sala limpia de confianza cero tienen privilegios iguales, incluida la persona que la haya creado. Clean Rooms está diseñado para evitar la ejecución de código no autorizado y el uso compartido no autorizado de datos. Por ejemplo, todos los colaboradores deben aprobar un cuaderno para poder ejecutarlo. Esta confianza se aplica implícitamente al impedir que un colaborador ejecute cualquier bloc de notas que haya creado por sí mismo: solo puede ejecutar un cuaderno creado por el otro colaborador.

Medidas de seguridad o restricciones adicionales

Las siguientes medidas de seguridad se aplican además del proceso implícito de aprobación de cuadernos mencionado anteriormente:

• Una vez creada una sala limpia, se bloquea para evitar que los nuevos colaboradores se unan a ella.

• Si algún colaborador elimina la sala limpia, la sala limpia central es nula y ningún usuario puede ejecutar ninguna tarea de sala limpia.

• Durante la versión preliminar pública, cada sala limpia está limitada a dos colaboradores.

• No se puede cambiar el nombre de la sala limpia.

  El nombre de la sala limpia debe ser único en la metastore de cada colaborador, para que todos los colaboradores puedan hacer referencia a la misma sala limpia de forma inequívoca.

• Los comentarios sobre la sala limpia protegible en el área de trabajo de cada colaborador no se propagan a otros colaboradores.

¿Qué se comparte con otros colaboradores?

• El nombre de la sala limpia.
• La nube y la región de la sala limpia central.
• El nombre de la organización (que puede ser cualquier nombre que elija).
• Identificador de uso compartido de salas limpias (identificador global de metastore + id. de área de trabajo + dirección de correo electrónico de usuario).
• Alias de tablas o volúmenes compartidos.
• Metadatos de columna (nombre de columna o alias y tipo).
• Cuadernos (solo lectura).
• Tabla del sistema de eventos de sala limpia
• Historial de ejecución, que incluye lo siguiente:
  • Nombre del cuaderno que se está ejecutando
  • Colaborador que ejecutó el cuaderno (no usuario).
  • Estado de la ejecución del cuaderno.
  • Hora de inicio de la ejecución del cuaderno.

¿Qué se comparte con la sala limpia central?

• Todo lo que aparece en la sección anterior.

• Tablas, volúmenes y cuadernos de solo lectura.

  Las tablas y volúmenes se registran en el metastore de la sala limpia central con los alias proporcionados. Las tablas, los volúmenes y los cuadernos se comparten durante todo el ciclo de vida de la sala limpia.

Limitaciones

Durante la versión preliminar pública, se aplican las siguientes limitaciones:

• No se admite la desactivación de Internet en salas limpias para evitar que el código malintencionado filtre los datos a una ubicación externa.
• No hay bibliotecas de Scala de credenciales de servicio incluidas en la versión necesaria de Databricks Runtime.

Cuotas de recursos

Azure Databricks aplica cuotas de recursos en todos los objetos protegibles de sala limpia. Estas cuotas se muestran en Límites de recursos. Si espera superar estos límites de recursos, póngase en contacto con el equipo de la cuenta de Azure Databricks.

Puede supervisar el uso de la cuota mediante las API de cuotas de recursos de Unity Catalog. Vea Supervisión del uso de cuotas de recursos de Unity Catalog.

Introducción

• Creación de salas limpias
• Ejecución de cuadernos en salas limpias
• Administración de salas limpias
• Trabajar con salas limpias de Azure Databricks como colaborador invitado