Создание чистых комнат

В этой статье описывается, как создать изолированную среду, безопасную и защищающую конфиденциальность, в которой несколько сторон могут работать совместно с конфиденциальными корпоративными данными без прямого доступа к данным друг друга.

Подготовка к работе

Привилегии, необходимые для использования чистых помещений, зависят от задачи:

• Чтобы создать чистую комнату, необходимо иметь права CREATE CLEAN ROOM или быть администратором хранилища метаданных. Создатель автоматически назначается владельцем чистой комнаты в хранилище метаданных каталога Unity.

• Чтобы инициировать участие в чистой комнате, к которой вам предоставлен общий доступ, необходимо быть администратором хранилища метаданных.

  Когда общий доступ к чистой комнате предоставлен, администратор хранилища метаданных организации совместной работы автоматически назначается владение чистой комнатой. Администратор хранилища метаданных может переназначить владение неадминистратору хранилища метаданных. В качестве лучшей практики управления данными Databricks рекомендует назначать права владения группе.

  Если рабочая область не назначена администратору хранилища метаданных, необходимо назначить роль. См. Назначьте администратора хранилища метаданных и Управляйте владением объектами каталога Unity.

• Чтобы добавлять и удалять активы данных и записные книжки в чистой комнате, вы должны быть владельцем чистой комнаты или иметь привилегию MODIFY CLEAN ROOM на чистую комнату. Кроме того, вы и владелец чистой комнаты (если вы не являетесь владельцем), должны иметь SELECT в таблицах и представлениях, которые вы добавляете и READ VOLUME на томах, которые вы добавляете.

Сведения о требованиях к разрешениям для обновления чистых комнат и выполнения задач (записных книжек) в чистых комнатах см. в разделе "Управление чистыми комнатами " и "Запуск записных книжек в чистых комнатах".

Вы можете создать до пяти чистых помещений на хранилище метаданных.

Шаг 1. Запрос идентификатора общего доступа участника

Прежде чем создать чистую комнату, необходимо иметь идентификатор общего доступа к чистой комнате организации, с которыми вы будете сотрудничать. Идентификатор общего доступа — это строка, состоящая из глобального хранилища метаданных организации и идентификатора рабочей области и имени пользователя контакта (адрес электронной почты). Сотрудник может находиться в любом облаке или регионе.

Обратитесь к сотруднику, чтобы запросить идентификатор общего доступа.

Сотрудник может получить идентификатор общего доступа, используя инструкции, описанные в Поиск идентификатора общего доступа.

шаг 2. Создание чистой комнаты

Чтобы создать чистую комнату, необходимо использовать Catalog Explorer.

1. В рабочей области Azure Databricks щелкните значок каталога .

2. На странице быстрого доступа нажмите кнопку "Чистые комнаты>".

   Кроме того, щелкните значок шестеренки в верхней части области каталога и выберите "Чистые комнаты".

3. Нажмите кнопку "Создать чистую комнату".

4. На странице "Создание чистой комнаты" введите понятное имя для чистой комнаты.

   Имя не может использовать пробелы, точки или косую черту (/).

   После сохранения не удается изменить имя чистой комнаты. Используйте имя, которое сотрудник найдет полезным и описательным.

5. Выберите поставщика облачных услуг и регион, где будет создана центральная чистая комната.

   Поставщик облачных служб должен совпадать с текущей рабочей областью, но регион не соответствует. При выборе следует учитывать место расположения данных вашей организации или другие политики.

6. (Необязательно) Добавьте комментарий.

7. Введите идентификатор для общего доступа к комнате совместной работы.

   См. , шаг 1. Запросите идентификатор общего доступа участника.

   Вы можете протестировать чистую комнату до полного развертывания с помощью идентификатора общего доступа или идентификатора другого пользователя в текущем хранилище метаданных. Это позволяет создать два чистых помещения в текущем хранилище метаданных. Например, если создать чистую комнату с названием test_clean_room, появится вторая чистая комната с именем test_clean_room_collaborator. Выполнение записных книжек с сотрудником в том же хранилище метаданных функционирует так же, как и с внешним сотрудником. См. запуск записных книжек в чистых комнатах.

8. Обратите внимание на названия каталогов, назначенные вам (создателю) и соавтору.

   Все ресурсы данных, добавленные в чистую комнату, будут отображаться в этом каталоге в центральной чистой комнате и могут ссылаться с помощью этого каталога в трехуровневом пространстве имен каталога Unity (<catalog>.<schema>.<table-etc>).

9. Выберите тип политики доступа к сети. Это невозможно изменить после создания чистой комнаты.

   • полный доступ: неограниченный исходящий доступ к Интернету.
   • ограниченный доступ: это ограничивает исходящий доступ к интернет-ресурсам, которые вы укажете. См. Общие сведения о политике сети и Управление политиками сети для контроля исходящего трафика в бессерверных решениях.

   Примечание.

   ограниченный доступ может отложить доступность ресурсов до десяти минут и не поддерживает сотрудников Google Cloud.

   После создания чистой комнаты можно просмотреть политику доступа к сети на вкладке Безопасность.

10. Нажмите кнопку "Создать чистую комнату".

Если в текущей рабочей области задан профиль безопасности соответствия HIPAA, то при создании чистой комнаты этот параметр применяется к центральному чистому помещению. Сотрудникам необходимо получить доступ к чистому помещению из рабочей области с тем же профилем безопасности. См. профиль безопасности соответствия требованиям .

Шаг 3. Добавление ресурсов данных и записных книжек в чистую комнату

Любой участник в чистой комнате (создатель и коллаборатор) может добавлять таблицы, тома, представления и записные книжки в чистую комнату.

Необходимые разрешения:

• Вы должны быть владельцем или иметь привилегию MODIFY CLEAN ROOM на чистую комнату.

• Вы и владелец чистой комнаты (если вы не владелец) должны иметь SELECT в любой таблице или представлении и READ VOLUME на любом томе, который вы добавляете, а также USE CATALOG и USE SCHEMA в родительском каталоге и схеме.

  Владелец чистой комнаты должен сохранить эти привилегии на протяжении всей жизни чистой комнаты.

Примечание.

В следующих инструкциях предполагается, что вы возвращаетесь в уже созданную чистую комнату для добавления ресурсов. Если вы только что создали чистую комнату в первый раз, мастер поможет вам добавить ресурсы данных и записные книжки. Фактический пользовательский интерфейс для добавления этих ресурсов одинаков, независимо от того, управляете ли вы мастером или нет.

Чтобы добавить ресурсы, выполните приведенные действия.

1. В рабочей области Azure Databricks щелкните значок каталога .

2. На странице быстрого доступа нажмите кнопку "Чистые комнаты>".

   Кроме того, щелкните значок шестеренки в верхней части области каталога и выберите "Чистые комнаты".

3. Найдите и щелкните имя чистой комнаты, которую вы хотите обновить.

4. Щелкните + Добавить ресурсы данных, чтобы добавить таблицы, тома или представления.

5. Выберите ресурсы данных, к которым вы хотите предоставить общий доступ, и щелкните Добавить ресурсы данных.

   При совместном использовании таблицы, тома или представления вы можете добавить псевдоним. Имя псевдонима будет единственным именем, видимым в чистой комнате.

   При совместном использовании таблицы можно добавить предложения секционирования, которые позволяют совместно использовать только часть таблицы. Дополнительные сведения об использовании разделов для ограничения общего доступа см. в статье Указание разделов таблиц для совместного использования.

Примечание.

Чтобы участвовать в закрытой предварительной версии для совместного использования федеративных таблиц, обратитесь к представителю учетной записи Azure Databricks. См. Что такое Федерация Lakehouse?.

1. Чтобы добавить записные книжки, нажмите кнопку +Добавить записные книжки и найдите записную книжку, которую вы хотите добавить.

   При необходимости можно предоставить записную книжку альтернативное имя записной книжки.

   Записные книжки, которыми вы делитесь в чистых комнатах, запрашивают данные и выполняют задачи по анализу данных в таблицах, представлениях и томах, которые вы и другие сотрудники добавили в чистую комнату.

   Записные книжки функционируют на принципе неявного утверждения: вы не можете запускать записные книжки, которые создаете. Вы создаете записные книжки, используемые вашим сотрудником, и ваш сотрудник создает используемые записные книжки.

   Если вы предоставляете общий доступ к записной книжке, включающей результаты, эти результаты будут предоставляться вашему сотруднику.

   Записную книжку можно использовать для создания выходных таблиц, которые временно предоставляются хранилищу метаданных участника при запуске записной книжки. См. статью «Создание и работа с выходными таблицами в Databricks Clean Rooms».

   Чтобы использовать тестовый набор данных, скачайте пример записной книжки .

   Внимание

   Все ссылки в заготовке к таблицам, представлениям или томам, добавленным в чистую комнату, должны использовать имя каталога, назначенное при ее создании ("creator" для ресурсов данных, добавленных создателем чистой комнаты, и "collaborator" для ресурсов данных, добавленных приглашенным соавтором). Например, таблица, добавленная создателем, может быть названа creator.sales.california.

   Аналогичным образом убедитесь, что записная книжка использует все псевдонимы, назначенные всем тем ресурсам данных в изолированной среде.