共用方式為


什麼是 Azure Databricks Clean Rooms?

重要

這項功能處於公開預覽狀態

本文介紹 Clean Rooms,這是一項 Azure Databricks 功能,其使用差異共用和無伺服器計算來提供安全且隱私權保護的環境,讓多方可以在不直接存取彼此的數據的情況下,共同處理機密企業數據。

需求

若要有資格使用乾淨的會議室,您必須:

清理室如何運作?

當您建立乾淨的房間時,您會建立下列專案:

  • Unity 目錄中繼存放區中的安全性可清除空間物件。
  • 「中央」清潔室,這是由 Databricks 管理的隔離暫時環境。
  • 共同作業者 Unity 目錄中繼存放區中的安全性可清除空間物件。

數據表、資料量(非表格數據)、檢視和筆記本中,任何由共同參與者在資料清理室內分享的項目只會通過 Delta Sharing 與中央資料清理室分享。

共同作業者無法查看其他共同作業者數據表、檢視或磁碟區中的數據,但可以看到數據行名稱和數據行類型,而且可以執行可操作數據資產的已核准筆記本程序代碼。 筆記本程序代碼會在中央乾淨的會議室中執行。 筆記本也可以產生 輸出數據表 ,讓您的共同作業者暫時將只讀輸出儲存至其 Unity 目錄中繼存放區,讓他們可以在工作區中使用它。

使用輸出數據表清理會議室的簡單架構和流程

清理室如何確保不信任的環境?

Databricks Clean Rooms 模型是「不信任」。 不信任清潔室中的所有共同作業者都有同等的許可權,包括清潔室的建立者。 Clean Rooms 的設計目的是防止執行未經授權的程式代碼,以及未經授權的數據共用。 例如,所有共同作業者都必須核准筆記本,才能執行。 藉由防止共同作業者執行自己建立的任何筆記本,以隱含方式強制執行此信任:您只能執行其他共同作業者所建立的筆記本。

其他保護措施或限制

除了上述隱含筆記本核准程式之外,還有下列保護措施:

  • 建立乾淨的房間之後,就會鎖定它,以防止新的共同作業者加入乾淨的房間。

  • 如果任何共同作業者刪除清理室,中央清潔室會是 void,而且任何使用者都無法執行任何清理室工作。

  • 在公開預覽期間,每個乾淨的房間限製為兩個共同作業者。

  • 您無法重新命名乾淨的房間。

    每個共同作業者的中繼存放區中都必須是唯一的,因此所有共同作業者都可以明確地參考相同的清理室。

  • 不會將每個共同作業者工作區中乾淨空間安全性實體的批注傳播至其他共同作業者。

與其他共同作業者共享什麼?

  • 乾淨的房間名稱。
  • 中央清潔室的雲端和區域。
  • 您的組織名稱(可以是您選擇的任何名稱)。
  • 您的清理室共用識別碼(全域中繼存放區標識元 + 工作區標識碼 + 使用者電子郵件位址)。
  • 共享數據表、檢視或磁碟區的別名。
  • 數據行元數據(資料行名稱或別名和類型)。
  • 筆記本(只讀)。
  • 輸出數據表 (唯讀的暫時性)。
  • 清除會議室事件系統數據表。
  • 執行歷程記錄,包括:
    • 正在執行的筆記本名稱
    • 執行筆記本的合作者(不是使用者)。
    • 筆記本執行的狀態。
    • 筆記本執行的開始時間。

與中央乾淨的房間共享什麼?

  • 上一節所列的所有專案。

  • 唯讀資料表、磁碟、檢視、筆記本。

    數據表、視圖和卷會使用任何指定的別名註冊到中央潔淨室的中繼資料庫中。 數據資產會在清理室的整個生命週期中共用。

限制

在公開預覽期間,適用下列限制:

  • 必要 Databricks 執行時間版本未包含任何服務認證 Scala 連結庫。

資源配額

Azure Databricks 會在所有 Clean Room 安全性實體對象上強制執行資源配額。 這些配額列在資源限制中。 如果你預期超過這些資源限制,請連絡你的 Azure Databricks 帳戶團隊。

你可以使用 Unity 目錄資源配額 API 來監視配額使用。 請參閱 監視 Unity 目錄資源配額的使用方式

開始使用