Créer des salles blanches

Cet article explique comment créer une salle blanche, un environnement sécurisé qui protège les données confidentielles où plusieurs parties peuvent travailler ensemble sur des données d’entreprise sensibles, sans accès direct aux données des autres.

Avant de commencer

Les privilèges nécessaires pour utiliser des salles blanches varient en fonction de la tâche :

• Pour créer une salle blanche, vous devez disposer du privilège CREATE CLEAN ROOM ou être administrateur de metastore. Le créateur est automatiquement affecté comme propriétaire de la salle blanche dans son metastore du catalogue Unity.

• Pour lancer la participation à une salle blanche partagée avec vous, vous devez être administrateur de metastore.

  Lorsqu’une salle blanche est partagée, l’administrateur du metastore de l’organisation collaboratrice est automatiquement affecté à la propriété de la salle blanche. L’administrateur du metastore peut réaffecter la propriété à un administrateur non-metastore. Comme meilleure pratique pour la gouvernance des données, Databricks recommande que la propriété soit affectée à un groupe.

  Si votre espace de travail ne dispose pas d’administrateur de metastore affecté, vous devez attribuer le rôle. Consultez Affecter un administrateur de metastore et Gérer la propriété de l’objet de catalogue Unity.

• Pour ajouter et supprimer des ressources de données et des blocs-notes dans une salle blanche, vous devez être le propriétaire de la salle blanche ou disposer du privilège MODIFY CLEAN ROOM sur la salle blanche. En outre, vous et le propriétaire de la salle blanche (si vous n’êtes pas le propriétaire) doivent disposer de SELECT sur les tables et les vues que vous ajoutez et de READ VOLUME sur les volumes que vous ajoutez.

Pour en savoir plus sur les exigences d’autorisation pour mettre à jour les salles blanches et exécuter des tâches (notebooks) dans les salles blanches, consultez Gérer les salles blanches et Exécuter des notebooks dans des salles blanches.

Vous pouvez créer jusqu’à cinq salles blanches par metastore.

Étape 1. Demander l’identificateur de partage du collaborateur

Avant de pouvoir créer une salle propre, vous devez disposer de l’identificateur de partage de salle propre de l’organisation avec laquelle vous collaborerez. L’identificateur de partage est une chaîne qui se compose de l’ID global du metastore de l’organisation + ID d’espace de travail + nom d’utilisateur du contact (adresse e-mail). Le collaborateur peut se trouver dans n’importe quel cloud ou n’importe quelle région.

Contactez le collaborateur pour demander son identificateur de partage.

Le collaborateur peut obtenir l’identificateur de partage à l’aide des instructions de Rechercher votre identificateur de partage.

Étape 2. Créer une salle blanche

Pour créer une salle blanche, vous devez utiliser l’Explorateur de catalogues.

1. Dans votre espace de travail Azure Databricks, cliquez sur Catalogue.

2. Sur la page Accès rapide, cliquez sur le bouton Salles blanches >.

   Vous pouvez également cliquer sur l’icône d’engrenage en haut du volet Catalogue et sélectionner Salles blanches.

3. Cliquez sur Créer une salle blanche.

4. Dans la page Créer une salle blanche, entrez un nom convivial pour la salle blanche.

   Le nom ne peut pas utiliser d’espaces, de points ou de barres obliques (/).

   Vous ne pouvez pas modifier le nom de la salle blanche une fois qu’il a été enregistré. Utilisez un nom que le collaborateur trouvera utile et descriptif.

5. Sélectionnez le fournisseur de cloud et la région où la salle blanche centrale sera créée.

   Le fournisseur de cloud doit être identique à votre espace de travail actuel, mais la région, non. Tenez compte de la résidence des données de votre organisation ou d’autres stratégies lorsque vous effectuez votre sélection.

6. (Facultatif) Ajoutez un commentaire.

7. Entrez l’identificateur de partage de salle propre du collaborateur.

   Consultez l’étape 1. Demander l’identificateur de partage du collaborateur .

   Vous pouvez tester votre salle propre avant le déploiement complet à l’aide de votre identificateur de partage ou de l’identificateur d’un autre utilisateur dans votre metastore actuel. Cela crée deux salles propres dans votre metastore actuel. Par exemple, si vous créez une salle propre intitulée test_clean_room, une deuxième salle propre nommée test_clean_room_collaborator apparaît également. L’exécution de notebooks avec un collaborateur dans les mêmes fonctions de metastore est identique à celle d’un collaborateur externe. Consultez Exécuter des notebooks dans des salles blanches.

8. Notez les noms de catalogue attribués à vous (le créateur) et le collaborateur.

   Toutes les ressources de données ajoutées à la salle blanche apparaissent sous ce catalogue dans la salle blanche centrale et peuvent être référencées à l’aide de ce catalogue dans l’espace de noms de trois niveaux du catalogue Unity (<catalog>.<schema>.<table-etc>).

9. Sélectionnez le type de stratégie d’accès réseau. Cela ne peut pas être modifié une fois la salle propre créée.

   • accès complet: accès Internet sortant illimité.
   • accès restreint: cela limite l’accès sortant aux destinations Internet que vous spécifiez. Consultez Vue d’ensemble de la stratégie réseau et Gestion des stratégies réseau pour le contrôle de sortie sans serveur.

   Remarque

   accès restreint peut retarder la disponibilité des ressources pendant jusqu’à dix minutes et ne prend pas en charge les collaborateurs Google Cloud.

   Après avoir créé la salle propre, vous pouvez afficher la stratégie d’accès réseau sous l’onglet Sécurité.

10. Cliquez sur Créer une salle blanche.

Si votre espace de travail actuel est défini sur le profil de sécurité de conformité HIPAA, lorsque vous créez une salle propre, ce paramètre est appliqué à la salle propre centrale. Les collaborateurs doivent accéder à la salle propre à partir d’un espace de travail avec le même profil de sécurité. Consultez Profil de sécurité de conformité.

Étape 3. Ajouter des ressources de données et des notebooks à la salle blanche

L’une des deux parties de la salle blanche (créateur et collaborateur) peut ajouter des tables, des volumes, des vues et des notebooks à la salle blanche.

Autorisations requises :

• Vous devez être le propriétaire ou disposer du privilège MODIFY CLEAN ROOM sur la salle blanche.

• Vous et le propriétaire de salle blanche (si vous n’êtes pas le propriétaire) devrez avoir SELECT sur n’importe quelle table ou vue, et READ VOLUME sur n’importe quel volume que vous ajoutez, ainsi que USE CATALOG et USE SCHEMA sur le catalogue parent et le schéma.

  Le propriétaire de la salle blanche doit conserver ces privilèges pendant toute la durée de vie de la salle blanche.

Remarque

Les instructions suivantes supposent que vous revenez à une salle propre déjà créée pour ajouter des ressources. Si vous venez de créer une salle blanche pour la première fois, un Assistant vous guide dans l’ajout de ressources de données et de notebooks. L’interface utilisateur réelle pour l’ajout de ces ressources est la même, que vous soyez guidé par l’Assistant ou non.

Pour ajouter des ressources :

1. Dans votre espace de travail Azure Databricks, cliquez sur Catalogue.

2. Sur la page Accès rapide, cliquez sur le bouton Salles blanches >.

   Vous pouvez également cliquer sur l’icône d’engrenage en haut du volet Catalogue et sélectionner Salles blanches.

3. Recherchez et cliquez sur le nom de la salle blanche à mettre à jour.

4. Cliquez sur + Ajouter des ressources de données pour ajouter des tables, des volumes ou des vues.

5. Sélectionnez les ressources de données que vous souhaitez partager, puis cliquez sur Ajouter des ressources de données.

   Lorsque vous partagez une table, un volume ou une vue, vous pouvez éventuellement ajouter un alias. Le nom de l’alias sera le seul nom visible dans la salle blanche.

   Lorsque vous partagez une table, vous pouvez éventuellement ajouter des clauses de partition qui vous permettent de partager uniquement une partie de la table. Pour plus d’informations sur l’utilisation des partitions pour limiter ce que vous partagez, consultez Spécifier des partitions de table à partager.

Remarque

Pour participer à la préversion privée pour le partage de tables fédérées, contactez votre représentant de compte Azure Databricks. Consultez Présentation de Lakehouse Federation.

1. Pour ajouter des blocs-notes, cliquez sur le bouton + Ajouter des blocs-notes et recherchez le notebook que vous souhaitez ajouter.

   Vous pouvez éventuellement donner au notebook un nom de notebook alternatif.

   Les notebooks que vous partagez dans les salles blanches interrogent des données et exécutent des charges de travail d’analyse des données sur les tables, les vues et les volumes que vous et les autres collaborateurs avez ajoutés à la salle blanche.

   Les blocs-notes fonctionnent sur le principe d’approbation implicite : vous ne pouvez pas exécuter les blocs-notes que vous créez. Vous créez les blocs-notes utilisés par votre collaborateur, et votre collaborateur crée les blocs-notes que vous utilisez.

   Si vous partagez un notebook qui inclut des résultats, ces résultats seront partagés avec votre collaborateur.

   Vous pouvez utiliser un bloc-notes pour créer des tables de sortie qui sont temporairement partagées avec le metastore de votre collaborateur lors de l’exécution du notebook. Consultez Créer et utiliser des tables de sortie dans Databricks Clean Rooms.

   Pour utiliser un jeu de données de test, téléchargez notre exemple de notebook.

   Important

   Les références de bloc-notes aux tables, vues ou volumes ajoutés à la salle propre doivent utiliser le nom du catalogue attribué lors de la création de la salle propre (« créateur » pour les ressources de données ajoutées par le créateur de salle propre et « collaborateur » pour les ressources de données ajoutées par le collaborateur invité). Par exemple, une table ajoutée par le créateur peut être nommée creator.sales.california.

   De même, vérifiez que le notebook utilise les alias qui ont été affectés aux ressources de données dans la salle blanche.