Co je Azure Databricks Clean Rooms?

Důležité

Tato funkce je ve verzi Public Preview.

Tento článek představuje funkci Vyčistit místnosti, což je funkce Azure Databricks, která využívá rozdílové sdílení a bezserverové výpočetní prostředky k zajištění zabezpečeného prostředí a ochrany osobních údajů, ve kterém může více stran spolupracovat na citlivých podnikových datech bez přímého přístupu k datům ostatních.

Požadavky

Abyste mohli používat čisté místnosti, musíte:

• Máte účet, který je povolený pro výpočetní prostředky bez serveru. Viz Povolení výpočetních prostředků bez serveru.
• Máte pracovní prostor, který je povolený pro katalog Unity. Viz Povolení pracovního prostoru pro katalog Unity.

Jak funguje čištění místností?

Když vytvoříte čistou místnost, vytvoříte následující:

• Zabezpečitelný objekt čisté místnosti v metastoru katalogu Unity.
• "Centrální" čistý pokoj, což je izolované dočasné prostředí spravované Službou Databricks.
• Zabezpečitelný objekt čisté místnosti v metastore katalogu Unity spolupracovníka.

Tabulky, svazky (ne tabulková data) a poznámkové bloky, které sdílejí spolupracovníci v čisté místnosti, se sdílí pouze s centrální čistou místností pomocí rozdílového sdílení.

Spolupracovníci neuvidí data v tabulkách a svazcích ostatních spolupracovníků, ale uvidí názvy sloupců a typy sloupců a můžou spouštět schválený kód poznámkového bloku, který pracuje s tabulkami a svazky. Kód poznámkového bloku běží v centrální čisté místnosti. Poznámkové bloky můžou také generovat výstupní tabulky , které umožňují spolupracovníkům dočasně uložit výstup jen pro čtení do metastoru katalogu Unity, aby s ním mohli pracovat ve svých pracovních prostorech.

Jak čisté místnosti zajišťují prostředí bez vztahu důvěryhodnosti?

Model Vyčištění místností Databricks je "bez vztahu důvěryhodnosti". Všichni spolupracovníci v čisté místnosti bez vztahu důvěryhodnosti mají stejná oprávnění, včetně tvůrce čisté místnosti. Čisté místnosti jsou navržené tak, aby zabránily spuštění neoprávněného kódu a neoprávněnému sdílení dat. Všichni spolupracovníci musí například před spuštěním schválit poznámkový blok. Tento vztah důvěryhodnosti se implicitně vynucuje tím, že spolupracovníkovi brání ve spuštění libovolného poznámkového bloku, který vytvořil sám: poznámkový blok vytvořený jiným spolupracovníkem můžete spustit pouze.

Další bezpečnostní opatření nebo omezení

Kromě implicitního schvalovacího procesu poznámkového bloku, který je uvedený výše, platí následující bezpečnostní opatření:

• Po vytvoření čisté místnosti je uzamčena, aby se noví spolupracovníci nemohli připojit k čisté místnosti.

• Pokud některý spolupracovník odstraní čistou místnost, centrální čistá místnost je neplatná a žádný úkol čisté místnosti nemůže spustit žádný uživatel.

• Během veřejné verze Preview je každá čistá místnost omezená na dva spolupracovníky.

• Čistou místnost nelze přejmenovat.

  Název čisté místnosti musí být v metastoru každého spolupracovníka jedinečný, aby všichni spolupracovníci mohli jednoznačně odkazovat na stejnou čistou místnost.

• Komentáře k zabezpečitelné místnosti v pracovním prostoru každého spolupracovníka se nerozšířijí do ostatních spolupracovníků.

Co se sdílí s dalšími spolupracovníky?

• Čistý název místnosti.
• Cloud a oblast centrální čisté místnosti.
• Název vaší organizace (který může být libovolný název, který zvolíte).
• Identifikátor sdílení čisté místnosti (globální ID metastoru + ID pracovního prostoru + e-mailová adresa uživatele).
• Aliasy sdílených tabulek nebo svazků
• Metadata sloupců (název sloupce nebo alias a typ).
• Poznámkové bloky (jen pro čtení)
• Výstupní tabulky (jen pro čtení, dočasné).
• Systémová tabulka čistých událostí místností.
• Historie spuštění, včetně:
  • Název spuštěného poznámkového bloku
  • Spolupracovník, který poznámkový blok spustil (ne uživatele).
  • Stav spuštění poznámkového bloku
  • Čas spuštění poznámkového bloku

Co se sdílí s centrálním čistým pokojem?

• Všechno, co je uvedené v předchozí části

• Tabulky, svazky a poznámkové bloky jen pro čtení

  Tabulky a svazky se registrují v metastoru centrální čisté místnosti s libovolnými předanými aliasy. Tabulky, svazky a poznámkové bloky se sdílejí v průběhu životního cyklu čisté místnosti.

Omezení

Ve verzi Public Preview platí následující omezení:

• V požadované verzi Databricks Runtime nejsou zahrnuté žádné knihovny Scala přihlašovacích údajů služby.

Kvóty prostředků

Azure Databricks vynucuje kvóty prostředků pro všechny zabezpečitelné objekty v čisté místnosti. Tyto kvóty jsou uvedené v omezeních prostředků. Pokud očekáváte překročení těchto limitů prostředků, obraťte se na svůj tým účtů Azure Databricks.

Využití kvóty můžete monitorovat pomocí rozhraní API kvót katalogu Unity. Viz Monitorování využití kvót prostředků katalogu Unity.

Začínáme

• Vytváření čistých místností
• Spouštění poznámkových bloků v čistých místnostech
• Správa čistých místností
• Práce s čistými místnostmi Azure Databricks jako pozvaným spolupracovníkem