Skapa rena rum

Den här artikeln beskriver hur du skapar ett rent rum, en säker och sekretessskyddande miljö där flera parter kan arbeta tillsammans med känsliga företagsdata utan direkt åtkomst till varandras data.

Innan du börjar

Vilka privilegier som krävs för att använda rena rum varierar beroende på uppgiften:

• Om du vill skapa ett rent rum måste du ha CREATE CLEAN ROOM behörighet eller vara metaarkivadministratör. Skaparen tilldelas automatiskt som ägare till det rena rummet i sitt Unity Catalog-metaarkiv.

• Om du vill initiera deltagande i ett rent rum som delas med dig måste du vara metaarkivadministratör.

  När ett rent rum delas tilldelas samarbetspartnerorganisationens metaarkivadministratör automatiskt ägarskapet för det rena rummet. Metaarkivadministratören kan tilldela om ägarskapet till en administratör som inte är metaarkivadministratör. Som bästa praxis för datastyrning rekommenderar Databricks att ägarskapet tilldelas till en grupp.

  Om din arbetsyta inte har tilldelats någon administratör för metaarkivet måste du tilldela rollen. Se Tilldela en metaarkivadministratör och Hantera objektägarskap för Unity Catalog.

• Om du vill lägga till och ta bort datatillgångar och anteckningsböcker i ett rent rum måste du vara ägare till det rena rummet eller ha MODIFY CLEAN ROOM behörighet i det rena rummet. Dessutom måste du och ägaren av det rena rummet (om du inte är ägare) ha SELECT på tabeller och vyer som du lägger till och READ VOLUME på volymer som du lägger till.

Mer information om behörighetskrav för uppdatering av rena rum och aktiviteter som körs (notebook-filer) i rena rum finns i Hantera rena rum och Kör notebook-filer i rena rum.

Du kan skapa upp till fem rena rum per metaarkiv.

Steg 1. Begär medarbetarens delningsidentifierare

Innan du kan skapa ett rent rum måste du ha identifieraren för delning av rent rum för den organisation som du ska samarbeta med. Delningsidentifieraren är en sträng som består av organisationens globala metaarkiv-ID + arbetsyte-ID + kontaktens användarnamn (e-postadress). Medarbetaren kan finnas i alla moln eller regioner.

Kontakta medarbetaren för att begära deras delningsidentifierare.

Medarbetaren kan hämta delningsidentifieraren med hjälp av anvisningarna i Hitta din delningsidentifierare.

Steg 2. Skapa ett rent rum

Om du vill skapa ett rent rum måste du använda Katalogutforskaren.

1. På din Azure Databricks-arbetsyta klickar du på ikonen Katalog.

2. På sidan Snabbåtkomst klickar du på knappen Rensa rum > .

   Du kan också klicka på kugghjulsikonen överst i fönstret Catalog och välja Clean Rooms.

3. Klicka på Skapa rent rum.

4. På sidan Skapa rent rum anger du ett användarvänligt namn för det rena rummet.

   Namnet kan inte använda blanksteg, punkter eller snedstreck (/).

   Du kan inte ändra namnet på det rena rummet när det har sparats. Använd ett namn som medarbetaren kommer att finna användbar och beskrivande.

5. Välj den molnleverantör och region där det centrala rena rummet ska skapas.

   Molnleverantören måste vara samma som din aktuella arbetsyta, men det gör inte regionen. Överväg organisationens datahemvist eller andra principer när du gör ditt val.

6. (Valfritt) Lägg till en kommentar.

7. Ange medarbetarens clean room-delningsidentifierare.

   Se steg 1. Begär medarbetarens delningsidentifierare.

   Du kan testa ditt rena rum före fullständig distribution med hjälp av antingen delningsidentifieraren eller identifieraren för en annan användare i ditt aktuella metaarkiv. På så sätt skapas två rena rum i ditt aktuella metaarkiv. Om du till exempel skapar ett rent rum med titeln test_clean_roomvisas även ett andra rent rum med namnet test_clean_room_collaborator. Att köra notebooks med en kollega i samma metadatalager fungerar på samma sätt som med en extern kollega. Se till att exekvera anteckningsböcker i rena rum.

8. Anteckna katalognamnen som tilldelats dig (skaparen) och medarbetaren.

   Alla datatillgångar som läggs till i det rena rummet visas under katalogen i det centrala rena rummet och kan refereras med den katalogen i Unity Catalog-namnområdet på tre nivåer (<catalog>.<schema>.<table-etc>).

9. Välj principtypen för nätverksåtkomst. Detta kan inte ändras när det rena rummet har skapats.

   • fullständig åtkomst: Obegränsad utgående internetåtkomst.
   • Begränsad åtkomst: Detta begränsar utgående åtkomst till internetmål som du anger. Se Översikt över nätverksprinciper och Hantera nätverksprinciper för serverlös utgående kontroll.

   Kommentar

   Begränsad åtkomst kan fördröja tillgångens tillgänglighet i upp till tio minuter och stöder inte Google Cloud-medarbetare.

   När du har skapat det rena rummet kan du visa principen för nätverksåtkomst på fliken Säkerhet.

10. Klicka på Skapa rent rum.

Om din aktuella arbetsyta är inställd på HIPAA-efterlevnadssäkerhetsprofilen tillämpas den inställningen på det centrala rena rummet när du skapar ett rent rum. Medarbetare måste komma åt det rena rummet från en arbetsyta med samma säkerhetsprofil. Se Efterlevnadssäkerhetsprofil.

Steg 3. Lägga till datatillgångar och anteckningsböcker i det rena rummet

Endera parten i det rena rummet (skaparen och medarbetaren) kan lägga till tabeller, volymer, vyer och anteckningsböcker i det rena rummet.

Behörigheter som krävs:

• Du måste vara ägare eller ha MODIFY CLEAN ROOM privilegiet i det rena rummet.

• Du och ägaren av det rena rummet (om du inte är ägare) måste ha SELECT på valfri tabell eller vy och READ VOLUME på alla volymer som du lägger till, tillsammans med USE CATALOG och USE SCHEMA i den överordnade katalogen och schemat.

  Den rena rum ägare måste hålla dessa privilegier under hela livet av det rena rummet.

Kommentar

Följande instruktioner förutsätter att du återgår till ett redan skapat rent rum för att lägga till tillgångar. Om du just har skapat ett rent rum för första gången vägleder en guide dig genom att lägga till datatillgångar och anteckningsböcker. Det faktiska användargränssnittet för att lägga till dessa tillgångar är detsamma, oavsett om du vägleds av guiden eller inte.

Så här lägger du till tillgångar:

1. På din Azure Databricks-arbetsyta klickar du på ikonen Katalog.

2. På sidan Snabbåtkomst klickar du på knappen Rensa rum > .

   Du kan också klicka på kugghjulsikonen överst i fönstret Catalog och välja Clean Rooms.

3. Leta upp och klicka på namnet på det rena rum som du vill uppdatera.

4. Klicka på + Lägg till datatillgångar för att lägga till tabeller, volymer eller vyer.

5. Välj de datatillgångar som du vill dela och klicka på Lägg till datatillgångar.

   När du delar en tabell, volym eller vy kan du lägga till ett alias. Aliasnamnet är det enda namn som visas i det rena rummet.

   När du delar en tabell kan du lägga till partitionssatser som gör att du bara kan dela en del av tabellen. Mer information om hur du använder partitioner för att begränsa vad du delar finns i Ange tabellpartitioner att dela.

Kommentar

Om du vill delta i den privata förhandsversionen för federerad tabelldelning kontaktar du din Azure Databricks-kontorepresentant. Se Vad är Lakehouse Federation?.

1. Om du vill lägga till notebook-filer klickar du på knappen + Lägg till anteckningsböcker och bläddrar efter den notebook-fil som du vill lägga till.

   Du kan också ge notebook-filen ett alternativt notebook-namn.

   Anteckningsböcker som du delar i rena rum söker data och kör dataanalys-uppgifter på tabeller, vyer och volymer som du och den andra medarbetaren har lagt till i det rena rummet.

   Notebook-filer fungerar enligt principen om implicit godkännande: du kan inte köra notebook-filer som du skapar. Du skapar de anteckningsböcker som din medarbetare använder, och din medarbetare skapar de anteckningsböcker som du använder.

   Om du delar en notebook-fil som innehåller resultat delas dessa resultat med din medarbetare.

   Du kan använda en anteckningsbok för att skapa utdatatabeller som tillfälligt delas med din medarbetares metaarkiv när de kör anteckningsboken. Se Skapa och arbeta med utdatatabeller i Databricks Clean Rooms.

   Om du vill använda en testdatauppsättning laddar du ned vår exempelanteckningsbok.

   Viktigt!

   Alla notebook-referenser till tabeller, vyer eller volymer som lades till i det rena rummet måste använda katalognamnet som tilldelades när det rena rummet skapades ("skapare" för datatillgångar som lagts till av skaparen av det rena rummet och "medarbetare" för datatillgångar som lagts till av den inbjudna medarbetaren). En tabell som har lagts till av skaparen kan till exempel namnges creator.sales.california.

   På samma sätt kontrollerar du att notebook-filen använder de alias som tilldelats och som var datatillgångar i renrummet.