Crear salas limpias

En este artículo se describe cómo crear una sala limpia, un entorno seguro y de protección de la privacidad en el que varias partes pueden trabajar conjuntamente en datos empresariales confidenciales sin acceso directo a los datos de los demás.

Antes de empezar

Los privilegios necesarios para usar salas limpias varían en función de la tarea:

• Para crear una sala limpia, debe tener el privilegio CREATE CLEAN ROOM o ser un administrador de metastore. El creador se asigna automáticamente como propietario de la sala limpia en su metastore de Unity Catalog.

• Para iniciar la participación en una sala limpia que se comparte con usted, debe ser administrador de metastore.

  Cuando se comparte una sala limpia, el administrador de metastore de la organización colabadoradora se asigna automáticamente como propietario de la sala limpia. El administrador de metastore puede reasignar la propiedad a un administrador que no sea de metastore. Como procedimiento recomendado para la gobernanza de datos, Databricks recomienda asignar la propiedad a un grupo.

  Si el área de trabajo no tiene asignado un administrador de metastore, debe asignar el rol. Consulte Asignar un administrador de metastore y Administrar propiedad del objeto de Unity Catalog.

• Para agregar y quitar recursos de datos y cuadernos en una sala limpia, debe ser el propietario de la sala limpia o tener el privilegio MODIFY CLEAN ROOM en la sala limpia. Además, usted y el propietario de la sala limpia (si no es el propietario) deben tener SELECT en las tablas y vistas que agregue y READ VOLUME en los volúmenes que agregue.

Para obtener información sobre los requisitos de permisos para actualizar salas limpias y ejecutar tareas (cuadernos) en salas limpias, consulte Administrar salas limpias y Ejecutar cuadernos en salas limpias.

Puede crear hasta cinco salas limpias por metastore.

Paso 1. Solicitar el identificador de uso compartido del colaborador

Para poder crear una sala limpia, debe tener el identificador de uso compartido de sala limpia de la organización con la que colaborará. El identificador de uso compartido es una cadena que consta del identificador global de metastore de la organización + id. de área de trabajo + el nombre de usuario del contacto (dirección de correo electrónico). El colaborador puede estar en cualquier nube o región.

Póngase en contacto con el colaborador para solicitar su identificador de uso compartido.

El colaborador puede obtener el identificador de uso compartido mediante las instrucciones de Buscar el identificador de uso compartido.

Paso 2. Creación de una sala limpia

Para crear una sala limpia, debe usar el Explorador de catálogos.

1. En el área de trabajo de Azure Databricks, haga clic en Catálogo.

2. En la página Acceso rápido, haga clic en el botón Clean Rooms >.

   Como alternativa, haga clic en el icono de engranaje en la parte superior del panel Catálogo y seleccione Salas limpias.

3. Haga clic en Crear sala limpia.

4. En la página Crear sala limpia, escriba un nombre descriptivo para la sala limpia.

   El nombre no puede usar espacios, puntos ni barras diagonales (/).

   No puede cambiar el nombre de la sala limpia una vez guardado. Use un nombre que el colaborador encuentre útil y descriptivo.

5. Seleccione el proveedor de nube y la región donde se creará la sala limpia central.

   El proveedor de la nube debe ser el mismo que el área de trabajo actual, pero la región no. Considere la residencia de datos de su organización u otras directivas al realizar la selección.

6. (Opcional) Agregue un comentario.

7. Escriba el identificador de uso compartido de sala limpia del colaborador.

   Consulte el Paso 1. Solicite el identificador de uso compartido del colaborador.

   Puede probar su sala limpia antes de la implementación completa utilizando ya sea su identificador de uso compartido o el identificador de otro usuario en su almacén de metadatos actual. Al hacerlo, se crean dos salas limpias en su metastore actual. Por ejemplo, si crea una sala limpia titulada test_clean_room, también aparece una segunda sala limpia denominada test_clean_room_collaborator. La ejecución de cuadernos con un colaborador en el mismo metastore funciona igual que con un colaborador externo. Consulte Ejecución de cuadernos en salas limpias.

8. Anote los nombres de catálogo asignados (el creador) y el colaborador.

   Todos los recursos de datos agregados a la sala limpia aparecerán en ese catálogo en la sala limpia central y se puede hacer referencia a ellos mediante ese catálogo en el espacio de nombres de tres niveles (<catalog>.<schema>.<table-etc>).

9. Seleccione el tipo de directiva de acceso de red. Esto no se puede cambiar después de crear la sala limpia.

   • acceso completo: acceso a Internet saliente sin restricciones.
   • Acceso Restringido: Esto limita el acceso saliente a los destinos de Internet que usted especifique. Consulte Información general sobre las directivas de red y Administración de directivas de red para controlar la salida en entornos sin servidor.

   Nota:

   acceso restringido puede retrasar la disponibilidad de recursos durante hasta diez minutos y no admite colaboradores de Google Cloud.

   Después de crear la sala limpia, puede ver la directiva de acceso a la red en la pestaña Seguridad.

10. Haga clic en Crear sala limpia.

Si el área de trabajo actual está establecida en el perfil de seguridad de cumplimiento de HIPAA, al crear una sala limpia, esa configuración se aplica a la sala limpia central. Los colaboradores deben acceder a la sala limpia desde un área de trabajo con el mismo perfil de seguridad. Consulte Perfil de seguridad de cumplimiento.

Paso 3. Agregar recursos de datos y cuadernos a la sala limpia

Cualquiera de las partes en la sala limpia (el creador y el colaborador) puede añadir tablas, volúmenes, vistas y cuadernos a la sala limpia.

Permisos necesarios:

• Debe ser el propietario o tener el privilegio MODIFY CLEAN ROOM en la sala limpia.

• Usted y el propietario de la sala limpia (si no es el propietario) deben tener SELECT en cualquier tabla o vista y READ VOLUME en cualquier volumen que agregue, junto con USE CATALOG y USE SCHEMA en el catálogo y esquema principal.

  El propietario de la sala limpia debe mantener estos privilegios durante toda la vida útil de la sala limpia.

Nota:

En las instrucciones siguientes se supone que vuelve a una sala limpia ya creada para agregar activos. Si acaba de crear una sala limpia por primera vez, un asistente le guiará en el proceso de añadir recursos de datos y cuadernos. La interfaz de usuario real para agregar estos recursos es la misma, independientemente de si está guiada por el asistente o no.

Para agregar recursos:

1. En el área de trabajo de Azure Databricks, haga clic en Catálogo.

2. En la página Acceso rápido, haga clic en el botón Clean Rooms >.

   Como alternativa, haga clic en el icono de engranaje en la parte superior del panel Catálogo y seleccione Salas limpias.

3. Busque y haga clic en el nombre de la sala limpia que desea actualizar.

4. Haga clic en + Agregar recursos de datos para agregar tablas, volúmenes o vistas.

5. Seleccione los recursos de datos que desea compartir y haga clic en Agregar recursos de datos.

   Si comparte una tabla, un volumen o una vista, puede agregar opcionalmente un alias. El nombre del alias será el único nombre visible en la sala limpia.

   Al compartir una tabla, también puede agregar cláusulas de partición que le permitan compartir solo parte de la tabla. Para obtener más información sobre cómo usar particiones para limitar lo que comparte, consulte Especificar particiones de tabla para compartir.

Nota:

Para participar en la versión preliminar privada para compartir tablas federadas, póngase en contacto con el representante de la cuenta de Azure Databricks. Consulte ¿Qué es Lakehouse Federation?

1. Para agregar cuadernos, haga clic en el botón + Agregar cuadernos y busque el cuaderno que desea agregar.

   Opcionalmente, puede asignar al cuaderno un nombre de cuaderno alternativo.

   Los cuadernos que comparte en salas limpias consultan datos y ejecutan cargas de trabajo de análisis de datos en las tablas, vistas y volúmenes que usted y el otro colaborador han agregado a la sala limpia.

   Los cuadernos funcionan con el principio de aprobación implícita: no puedes ejecutar los cuadernos que creas. Usted crea los cuadernos que usa su colaborador, y su colaborador crea los cuadernos que usted usa.

   Si comparte un cuaderno que incluye resultados, esos resultados se compartirán con su colaborador.

   Puede usar un cuaderno para crear tablas de salida que se compartan temporalmente en el metastore del colaborador cuando ejecuten el cuaderno. Consulte Creación y trabajo con tablas de salida en Salas limpias de Databricks.

   Para usar un conjunto de datos de prueba, descargue nuestro cuaderno de ejemplo .

   Importante

   Las referencias de bloc de notas a tablas, vistas o volúmenes que se agregaron a la sala limpia deben usar el nombre del catálogo asignado al crear la sala limpia ("creador" para los recursos de datos agregados por el creador de la sala limpia y "colaborador" para los recursos de datos agregados por el colaborador invitado). Por ejemplo, una tabla agregada por el creador podría denominarse creator.sales.california.

   Del mismo modo, compruebe que el cuaderno usa los alias asignados a los recursos de datos en la sala limpia.