Crie salas limpas
Importante
Esta funcionalidade está em Pré-visualização Pública.
Este artigo descreve como criar uma sala limpa, um ambiente seguro e que proteja a privacidade onde várias partes podem trabalhar juntas em dados corporativos confidenciais sem acesso direto aos dados umas das outras.
Antes de começar
Os privilégios necessários para usar salas limpas variam dependendo da tarefa:
Para criar uma sala limpa, você deve ter o
CREATE CLEAN ROOMprivilégio ou ser um administrador de metastore. O criador é automaticamente atribuído como o proprietário da sala limpa em seu metastore do Catálogo Unity.Para iniciar a participação em uma sala limpa que é compartilhada com você, você deve ser um administrador de metaloja.
Quando uma sala limpa é compartilhada, o administrador da metastore da organização colaboradora recebe automaticamente a propriedade da sala limpa. O administrador do metastore pode reatribuir a propriedade a um administrador que não seja do metastore. Como prática recomendada para governança de dados, o Databricks recomenda que a propriedade seja atribuída a um grupo.
Se seu espaço de trabalho não tiver um administrador de metastore atribuído, você deverá atribuir a função. Consulte Atribuir um administrador de metastore e Gerenciar a propriedade do objeto do Catálogo Unity.
Para adicionar e remover ativos de dados e blocos de anotações em uma sala limpa, você deve ser o proprietário da sala limpa ou ter o
MODIFY CLEAN ROOMprivilégio na sala limpa. Além disso, você e o proprietário da sala limpa (se você não for o proprietário) devem terSELECTem tabelas e exibições que você adiciona eREAD VOLUMEem volumes que você adiciona.
Para saber mais sobre os requisitos de permissão para atualizar salas limpas e executar tarefas (blocos de anotações) em salas limpas, consulte Gerenciar salas limpas e Executar blocos de anotações em salas limpas.
Você pode criar até cinco salas limpas por metastore.
Passo 1. Solicitar o identificador de compartilhamento do colaborador
Antes de criar uma sala limpa, você deve ter o identificador de compartilhamento de Sala Limpa da organização com a qual irá colaborar. O identificador de compartilhamento é uma cadeia de caracteres que consiste no ID do metastore global da organização + ID do espaço de trabalho + nome de usuário do contato (endereço de email). O colaborador pode estar em qualquer nuvem ou região.
Entre em contato com o colaborador para solicitar seu identificador de compartilhamento.
O colaborador pode obter o identificador de compartilhamento usando as instruções em Localizar seu identificador de compartilhamento.
Passo 2. Crie uma sala limpa
Para criar uma sala limpa, você deve usar o Gerenciador de Catálogos.
No seu espaço de trabalho do Azure Databricks, clique em
Catálogo.Na página Acesso rápido, clique no botão Salas > limpas.
Como alternativa, clique no
ícone de engrenagem na parte superior do painel Catálogo e selecione Salas limpas.Clique em Criar sala limpa.
Na página Criar Sala Limpa, insira um nome amigável para a sala limpa.
O nome não pode usar espaços, pontos ou barras (/).
Não é possível alterar o nome da sala limpa depois de salvo. Use um nome que o colaborador ache útil e descritivo.
Selecione o provedor de nuvem e a região onde a sala limpa central será criada.
O provedor de nuvem deve ser o mesmo que seu espaço de trabalho atual, mas a região não. Considere a residência de dados da sua organização ou outras políticas ao fazer sua seleção.
(Opcional) Adicione um comentário.
Insira o identificador de compartilhamento de Sala Limpa do colaborador.
Consulte o Passo 1. Solicite o identificador de compartilhamento do colaborador.
Anote os nomes de catálogo atribuídos a você (o criador) e o colaborador.
Todos os ativos de dados adicionados à sala limpa aparecerão sob esse catálogo na sala limpa central e podem ser referenciados usando esse catálogo no namespace de três níveis do Unity Catalog (
<catalog>.<schema>.<table-etc>).Selecione o tipo de política de acesso à rede. Isso não pode ser alterado depois que a sala limpa é criada.
- Acesso Total: Acesso irrestrito à Internet de saída.
- Acesso Restrito: limita o acesso de saída a destinos da Internet que especificares. Consulte Visão geral da política de rede e Gerenciando políticas de rede para controle de saída sem servidor.
Nota
de acesso restrito pode atrasar a disponibilidade dos ativos por até dez minutos e não é compatível com colaboradores do Google Cloud.
Após a criação da clean room, podes visualizar a política de acesso à rede no separador Segurança.
Clique em Criar sala limpa.
Passo 3. Adicionar ativos de dados e blocos de anotações à sala limpa
Qualquer uma das partes na sala limpa (o criador e o colaborador) pode adicionar tabelas, volumes, vistas e blocos de anotações à sala limpa.
Permissões necessárias:
Você deve ser o proprietário ou ter o
MODIFY CLEAN ROOMprivilégio na sala limpa.Você e o proprietário da sala limpa (se você não for o proprietário) devem ter
SELECTem qualquer tabela ou exibição eREAD VOLUMEem qualquer volume adicionado, juntamente comUSE CATALOGeUSE SCHEMAno catálogo pai e no esquema.O proprietário da sala limpa deve manter esses privilégios durante toda a vida da sala limpa.
Nota
As instruções a seguir pressupõem que você esteja retornando a uma sala limpa já criada para adicionar ativos. Se você acabou de criar uma sala limpa pela primeira vez, um assistente o orientará na adição de ativos de dados e blocos de anotações. A interface do usuário real para adicionar esses ativos é a mesma, independentemente de você ser guiado pelo assistente ou não.
Para adicionar ativos:
No seu espaço de trabalho do Azure Databricks, clique em
Catálogo.Na página Acesso rápido, clique no botão Salas > limpas.
Como alternativa, clique no
ícone de engrenagem na parte superior do painel Catálogo e selecione Salas limpas.Localize e clique no nome da sala limpa que deseja atualizar.
Clique em + Adicionar ativos de dados para adicionar tabelas, volumes ou exibições.
Selecione os ativos de dados que deseja compartilhar e clique em Adicionar ativos de dados .
Quando partilha uma tabela, um volume ou uma vista, pode, opcionalmente, adicionar um alias. O nome do alias será o único nome visível na sala limpa.
Ao compartilhar uma tabela, você pode, opcionalmente, adicionar cláusulas de partição que permitem compartilhar apenas parte da tabela. Para obter detalhes sobre como usar partições para limitar o que você compartilha, consulte Especificar partições de tabela para compartilhar.
Para adicionar blocos de notas, clique no botão + Adicionar blocos de notas e procure o bloco de notas que pretende adicionar.
Opcionalmente, você pode dar ao bloco de anotações um nome alternativo para o bloco de anotações.
Os blocos de anotações que você compartilha em salas limpas consultam dados e executam cargas de trabalho de análise de dados nas tabelas, exibições e volumes que você e o outro colaborador adicionaram à sala limpa.
Os blocos de notas funcionam com base no princípio da aprovação implícita: não é possível executar blocos de notas que você cria. Você cria os blocos de anotações que seu colaborador usa e seu colaborador cria os blocos de anotações que você usa.
Se partilhar um bloco de notas que inclua resultados, esses resultados serão partilhados com o seu colaborador.
Você pode usar um bloco de anotações para criar tabelas de saída que são compartilhadas temporariamente com o metastore do seu colaborador quando ele executa o bloco de anotações. Consulte Criar e trabalhar com tabelas de saída em Salas limpas do Databricks.
Importante
Todas as referências de bloco de anotações a tabelas, exibições ou volumes que foram adicionados à sala limpa devem usar o nome do catálogo atribuído quando a sala limpa foi criada ("criador" para ativos de dados adicionados pelo criador da sala limpa e "colaborador" para ativos de dados adicionados pelo colaborador convidado). Por exemplo, uma tabela adicionada pelo criador pode ser chamada
creator.sales.californiade .Da mesma forma, verifique se o bloco de anotações usa quaisquer aliases atribuídos aos ativos de dados na sala limpa.