Criar salas limpas

Importante

Esse recurso está em uma versão prévia.

Este artigo descreve como criar uma sala limpa, um ambiente seguro e que protege a privacidade, no qual várias partes podem trabalhar juntas com dados corporativos confidenciais sem acesso direto aos dados umas das outras.

Antes de começar

Os privilégios necessários para usar salas limpas variam dependendo da tarefa:

• Para criar uma sala limpa, você deve ter o privilégio CREATE CLEAN ROOM ou ser um administrador do metastore. O criador é atribuído automaticamente como o proprietário da sala limpa em seu metastore do Catálogo do Unity.

• Para iniciar a participação em uma sala limpa compartilhada com você, você deve ser um administrador do metastore.

  Quando uma sala limpa é compartilhada, o administrador do metastore da organização colaboradora recebe automaticamente a propriedade da sala limpa. O administrador do metastore pode reatribuir a propriedade a um administrador não metastore. Como prática recomendada para governança de dados, o Databricks recomenda que a propriedade seja atribuída a um grupo.

  Se o workspace não tiver um administrador do metastore atribuído, você deverá atribuir a função. Consulte Atribuir um administrador do metastore e Gerenciar a propriedade do objeto do Catálogo do Unity.

• Para adicionar e remover ativos de dados e notebooks em uma sala limpa, você deve ser o proprietário da sala limpa ou ter o privilégio MODIFY CLEAN ROOM na sala limpa. Além disso, você e o proprietário da sala limpa (se você não for o proprietário) devem ter SELECT em tabelas e exibições adicionadas e READ VOLUME em volumes adicionados.

Para saber mais sobre os requisitos de permissão para atualizar salas limpas e tarefas em execução (notebooks) em salas limpas, consulte Gerenciar salas limpas e Executar notebooks em salas limpas.

Você pode criar até cinco salas limpas por metastore.

Etapa 1. Solicitar o identificador de compartilhamento do colaborador

Antes de criar uma sala limpa, você deve ter o identificador de compartilhamento de Sala Limpa da organização com a qual você estará colaborando. O identificador de compartilhamento é uma string que consiste na ID do metastore global da organização + ID do workspace + nome de usuário do contato (endereço de email). O colaborador pode estar em qualquer nuvem ou região.

Entre em contato com o colaborador para solicitar o identificador de compartilhamento.

O colaborador pode obter o identificador de compartilhamento usando as instruções em Localizar seu identificador de compartilhamento.

Etapa 2. Criar uma sala limpa

Para criar uma sala limpa, você deve usar o Explorador de Catálogos.

1. No workspace do Azure Databricks, clique em Catálogo.

2. Na página Acesso rápido, clique no botão Clean Rooms >.

   Como alternativa, clique no ícone de engrenagem na parte superior do painel Catálogo e selecione Clean Rooms.

3. Clique em Criar sala limpa.

4. Na página Criar sala limpa, insira um nome amigável para a sala limpa.

   O nome não pode usar espaços, pontos finais ou barras (/).

   Não é possível alterar o nome da sala limpa depois que ele for salvo. Use um nome que o colaborador achará útil e descritivo.

5. Selecione o provedor de nuvem e a região em que sala limpa central será criada.

   O provedor de nuvem deve ser o mesmo que seu workspace atual, mas a região não. Considere a residência de dados da sua organização ou outras políticas ao fazer sua seleção.

6. (Opcional) Adicione um comentário.

7. Insira o identificador de compartilhamento de Sala Limpa do colaborador.

   Confira a Etapa 1. Solicite o identificador de compartilhamento do colaborador.

   Você pode testar seu clean room antes da implantação completa usando o seu identificador de compartilhamento ou o identificador de outro usuário no seu metastore atual. Fazer isso cria duas salas limpas no metastore atual. Por exemplo, se você criar uma sala limpa intitulada test_clean_room, uma segunda sala limpa chamada test_clean_room_collaborator também será exibida. Executar notebooks com um colaborador no mesmo metastore funciona da mesma forma que com um colaborador externo. Consulte Executar notebooks em salas limpas.

8. Anote os nomes de catálogo atribuídos a você (o criador) e ao colaborador.

   Todos os ativos de dados adicionados à sala limpa aparecerão nesse catálogo na sala limpa central e poderão ser referenciados usando esse catálogo no namespace de três níveis do Catálogo do Unity (<catalog>.<schema>.<table-etc>).

9. Selecione o tipo de política de acesso à rede. Isso não pode ser alterado depois que a sala limpa é criada.

   • Acesso Completo: Acesso de saída à Internet irrestrito.
   • Acesso Restrito: isso limita o acesso de saída aos destinos da Internet especificados. Consulte Visão geral da política de rede e Gerenciamento de políticas de rede para controle de saída no modo sem servidor.

   Observação

   acesso restrito pode atrasar a disponibilidade do ativo por até dez minutos e não dá suporte a colaboradores do Google Cloud.

   Depois de criar a sala limpa, você pode ver a política de acesso à rede na guia Segurança.

10. Clique em Criar sala limpa.

Etapa 3. Adicionar ativos de dados e notebooks à sala limpa

Qualquer uma das partes da sala limpa (o criador e o colaborador) pode adicionar tabelas, volumes, visualizações e blocos de anotações à sala limpa.

Permissões necessárias:

• Você deve ser o proprietário ou ter o privilégio MODIFY CLEAN ROOM na sala limpa.

• Você e o proprietário da sala limpa (se você não for o proprietário) devem ter SELECT em qualquer tabela ou exibição e READ VOLUME em qualquer volume adicionado, juntamente com USE CATALOG e USE SCHEMA no esquema e catálogo pai.

  O proprietário da sala limpa deve manter esses privilégios durante toda a vida da sala limpa.

Observação

As instruções a seguir pressupõem que você esteja retornando a uma sala limpa já criada para adicionar ativos. Se você acabou de criar uma sala limpa pela primeira vez, um assistente orienta você pela adição de ativos de dados e notebooks. A interface do usuário real para adicionar esses ativos é a mesma, independentemente de você ser guiado pelo assistente ou não.

Para adicionar ativos:

1. No workspace do Azure Databricks, clique em Catálogo.

2. Na página Acesso rápido, clique no botão Clean Rooms >.

   Como alternativa, clique no ícone de engrenagem na parte superior do painel Catálogo e selecione Clean Rooms.

3. Localize e clique no nome da sala limpa que você deseja atualizar.

4. Clique em + Adicionar ativos de dados para adicionar tabelas, volumes ou exibições.

5. Selecione os ativos de dados que deseja compartilhar e clique em Adicionar ativos de dados.

   Ao compartilhar uma tabela, volume ou exibição, opcionalmente, você pode adicionar um alias. O nome do alias será o único nome visível na sala limpa.

   Ao compartilhar uma tabela, opcionalmente, você pode adicionar cláusulas de partição que permitem compartilhar apenas parte da tabela. Para obter detalhes sobre como usar partições para limitar o que você compartilha, consulte Especificar partições de tabela para compartilhamento.

6. Para adicionar notebooks, clique no botão + Adicionar notebooks e procure o notebook que você deseja adicionar.

   Opcionalmente, você pode dar ao notebook um Nome de notebook alternativo.

   Os notebooks que você compartilha em salas limpas consultam dados e executam cargas de trabalho de análise de dados nas tabelas, exibições e volumes que você e o outro colaborador adicionaram à sala limpa.

   Os notebooks operam com base no princípio da aprovação implícita: você não pode executar os notebooks que você cria. Você cria os notebooks usados pelo colaborador e o colaborador cria os notebooks que você usa.

   Se você compartilhar um notebook que inclua resultados, esses resultados serão compartilhados com seu colaborador.

   Você pode usar um notebook para criar tabelas de saída que são temporariamente compartilhadas com o metastore do colaborador quando ele executa o notebook. Consulte Criar e trabalhar com tabelas de saída em Clean Rooms do Databricks.

   Para usar um conjunto de dados de teste, baixe nosso notebook de exemplo.

   Importante

   Qualquer referência de bloco de anotações a tabelas, exibições ou volumes que foram adicionados à sala limpa deve usar o nome do catálogo atribuído quando a sala limpa foi criada ("criador" para ativos de dados adicionados pelo criador da sala limpa e "colaborador" para ativos de dados adicionados pelo colaborador convidado). Por exemplo, uma tabela adicionada pelo criador pode ser nomeada creator.sales.california.

   Da mesma forma, verifique se o notebook usa quaisquer aliases atribuídos que eram ativos de dados na sala limpa.