Creare stanze pulite

Questo articolo descrive come creare una stanza pulita, un ambiente protetto e protetto dalla privacy in cui più parti possono collaborare sui dati aziendali sensibili senza l'accesso diretto ai dati dell'altro.

Operazioni preliminari

I privilegi necessari per usare le stanze pulite variano a seconda dell'attività:

• Per creare una stanza pulita, è necessario avere il privilegio CREATE CLEAN ROOM o essere un amministratore del metastore. L'autore viene assegnato automaticamente come proprietario della stanza pulita nel metastore del catalogo Unity.

• Per avviare la partecipazione a una stanza pulita condivisa con l'utente, è necessario essere un amministratore del metastore.

  Quando una stanza pulita viene condivisa, all'amministratore del metastore dell'organizzazione collaboratore viene assegnata automaticamente la proprietà della stanza pulita. L'amministratore del metastore può riassegnare la proprietà a un amministratore non metastore. Come procedura consigliata per la governance dei dati, Databricks consiglia di assegnare la proprietà a un gruppo.

  Se all'area di lavoro non è assegnato un amministratore del metastore, è necessario assegnare il ruolo. Vedere Assegnare un amministratore del metastore e gestire la proprietà dell'oggetto del catalogo Unity .

• Per aggiungere e rimuovere risorse di dati e notebook in un'area riservata, è necessario essere il proprietario dell'area riservata o avere il privilegio MODIFY CLEAN ROOM su di essa. Inoltre, tu e il proprietario della stanza pulita (se non sei il proprietario) dovete avere SELECT su tabelle e viste che aggiungi e READ VOLUME sui volumi che aggiungi.

Per informazioni sui requisiti di autorizzazione per l'aggiornamento delle stanze pulite e l'esecuzione di attività (notebook) nelle stanze pulite, vedere Gestire le stanze pulite ed Eseguire notebook in ambienti puliti.

È possibile creare fino a cinque camere pulite per metastore.

Passaggio 1. Richiedere l'identificatore di condivisione del collaboratore

Prima di poter creare una stanza pulita, è necessario avere l'identificatore di condivisione clean room dell'organizzazione con cui si collaborerà. L'identificatore di condivisione è una stringa costituita dall'ID del metastore globale dell'organizzazione e dall'ID dell'area di lavoro + dal nome utente del contatto (indirizzo di posta elettronica). Il collaboratore può trovarsi in qualsiasi cloud o area.

Contattare il collaboratore per richiedere l'identificatore di condivisione.

Il collaboratore può ottenere l'identificatore di condivisione usando le istruzioni riportate in Trovare l'identificatore di condivisione.

Passaggio 2. Creare una camera bianca

Per creare una camera bianca, è necessario usare Catalog Explorer.

1. Nell'area di lavoro di Azure Databricks, fare clic sull'icona Catalogo .

2. Nella pagina Accesso rapido fare clic sul pulsante Clean Rooms .On the Quick access page, click the Clean Rooms > button.

   In alternativa, fare clic sull'icona nella parte superiore del riquadro Catalogo e selezionare Stanze Pulite.

3. Fare clic su Crea stanza pulita.

4. Nella pagina Crea stanza pulita immettere un nome descrittivo per la stanza pulita.

   Il nome non può usare spazi, punti o barre (/).

   Non è possibile modificare il nome della stanza pulita una volta salvato. Usare un nome che il collaboratore troverà utile e descrittivo.

5. Selezionare il provider di servizi cloud e l'area in cui verrà creata la sala pulita centrale.

   Il provider di servizi cloud deve essere uguale all'area di lavoro corrente, ma l'area non lo fa. Prendere in considerazione la residenza dei dati dell'organizzazione o altri criteri quando si effettua la selezione.

6. (Facoltativo) Aggiungere un commento.

7. Immettere l'identificatore di condivisione clean room del collaboratore.

   Consulta il Passaggio 1 . Richiedi l'identificatore di condivisione del collaboratore.

   È possibile testare la stanza pulita prima della distribuzione completa usando l'identificatore di condivisione o l'identificatore di un altro utente nel metastore corrente. In questo modo si creano due stanze pulite nel metastore corrente. Ad esempio, se si crea una stanza pulita denominata test_clean_room, viene visualizzata anche una seconda stanza pulita denominata test_clean_room_collaborator. L'esecuzione di notebook con un collaboratore in uno stesso metastore avviene nello stesso modo che con un collaboratore esterno. Vai a ed esegui notebook in clean rooms.

8. Prendere nota dei nomi di catalogo assegnati all'utente (creatore) e al collaboratore.

   Tutti gli asset di dati aggiunti alla stanza pulita verranno visualizzati in tale catalogo nella stanza pulita centrale e possono essere referenziati usando tale catalogo nello spazio dei nomi a tre livelli del catalogo Unity (<catalog>.<schema>.<table-etc>).

9. Selezionare il tipo di criterio di accesso alla rete. Questa operazione non può essere modificata dopo la creazione della stanza pulita.

   • accesso completo: accesso a Internet in uscita senza restrizioni.
   • Accesso Riservato: Ciò limita l'accesso in uscita alle destinazioni Internet che specifichi. Consultare Panoramica delle politiche di rete e Gestione delle politiche di rete per il controllo dell'uscita senza server.

   Nota

   l'accesso con restrizioni può ritardare la disponibilità degli asset fino a dieci minuti e non è compatibile con i collaboratori di Google Cloud.

   Dopo aver creato la camera pulita, è possibile visualizzare i criteri di accesso alla rete nella scheda Sicurezza.

10. Fare clic su Crea stanza pulita.

Se l'area di lavoro corrente è impostata sul profilo di sicurezza della conformità HIPAA, quando si crea una stanza pulita, tale impostazione viene applicata alla stanza pulita centrale. I collaboratori devono accedere alla stanza pulita da un'area di lavoro con lo stesso profilo di sicurezza. Vedi il profilo di sicurezza della conformità .

Passaggio 3. Aggiungere asset di dati e notebook alla stanza pulita

Entrambe le parti nella stanza pulita (creatore e collaboratore) possono aggiungere tabelle, volumi, viste e notebook alla stanza pulita.

Autorizzazioni necessarie:

• È necessario essere il proprietario o avere il MODIFY CLEAN ROOM privilegio per la stanza pulita.

• Voi e il proprietario della stanza pulita (se non siete il proprietario) dovete avere SELECT su qualsiasi tabella o vista e READ VOLUME su qualsiasi volume che aggiungete, insieme a USE CATALOG e USE SCHEMA sul catalogo e lo schema padre.

  Il proprietario della camera pulita deve mantenere questi privilegi per tutta la vita della stanza pulita.

Nota

Le istruzioni seguenti presuppongono che si stia tornando a una stanza pulita già creata per aggiungere elementi. Se hai appena creato una stanza pulita per la prima volta, una procedura guidata ti guida nell’aggiunta di asset di dati e notebook. L'interfaccia utente effettiva per l'aggiunta di questi asset è la stessa, indipendentemente dal fatto che tu sia guidato dalla procedura guidata o meno.

Per aggiungere asset:

1. Nell'area di lavoro di Azure Databricks, fai clic sull'icona Catalogo .

2. Nella pagina Accesso rapido fare clic sul pulsante Clean Rooms .On the Quick access page, click the Clean Rooms > button.

   In alternativa, fare clic sull'icona a forma di ingranaggio nella parte superiore del riquadro Catalogo e selezionare Sale Pulite.

3. Trovare e fare clic sul nome della stanza pulita da aggiornare.

4. Fare clic su + Aggiungi asset di dati per aggiungere tabelle, volumi o viste.

5. Selezionare i dati da condividere e fare clic su Aggiungi dati.

   Quando si condivide una tabella, un volume o una vista, è possibile aggiungere facoltativamente un alias. Il nome dell'alias sarà l'unico nome visibile nella stanza pulita.

   Quando si condivide una tabella, è possibile aggiungere facoltativamente clausole di partizione che consentono di condividere solo parte della tabella. Per informazioni dettagliate su come usare le partizioni per limitare le condivisioni, vedere Specificare le partizioni di tabella da condividere.

6. Per aggiungere notebook, fare clic sul pulsante + Aggiungi notebook e cercare il notebook da aggiungere.

   Facoltativamente, è possibile assegnare al notebook un nome di notebook alternativo.

   I notebook condivisi in ambienti puliti eseguono query sui dati ed eseguono carichi di lavoro di analisi dei dati nelle tabelle, nelle viste e nei volumi aggiunti dall'utente e dall'altro collaboratore alla stanza pulita.

   I notebook operano sul principio dell'approvazione implicita: non è possibile eseguire i notebook creati. Si creano i notebook usati dal collaboratore e il collaboratore crea i notebook usati.

   Se si condivide un notebook che include risultati, questi risultati verranno condivisi con il collaboratore.

   È possibile usare un notebook per creare tabelle di output che vengono temporaneamente condivise nel metastore del collaboratore quando il notebook viene eseguito. Consulta Creare e lavorare con tabelle di output in Databricks Clean Rooms.

   Per usare un set di dati di test, scarica il notebook di esempio .

   Importante

   Tutti i riferimenti dei notebook a tabelle, viste o volumi aggiunti alla camera bianca devono usare il nome del catalogo che è stato assegnato al momento della creazione della camera bianca ("creatore" per gli asset di dati aggiunti dal creatore della camera bianca e "collaboratore" per gli asset di dati aggiunti dal collaboratore invitato). Ad esempio, una tabella aggiunta dall'autore può essere denominata creator.sales.california.

   Analogamente, verificare che il notebook utilizzi tutti gli alias assegnati come risorse di dati nell'area protetta.