Freigeben über

Erstellen von Reinräumen

Auf dieser Seite wird beschrieben, wie Sie einen Reinraum für Databricks erstellen, eine sichere Umgebung für die gemeinsame Datenanalyse.

Wichtige Features und Einschränkungen:

  • Sichere Zusammenarbeit: Mit Reinräumen können mehrere Parteien an vertraulichen Unternehmensdaten zusammenarbeiten, ohne direkten Zugriff auf die Rohdaten der anderen zu haben.
  • Mitarbeiterkapazität: Ein Reinraum kann zehn Parteien haben, einschließlich des Erstellers und bis zu neun weitere Mitarbeiter.
  • Metastore-Grenzwert: Sie können bis zu zehn Reinräume pro Metastore erstellen.

Voraussetzungen

Die für die Verwendung von Reinräumen erforderlichen Berechtigungen variieren je nach Aufgabe:

Aufgabe Erforderliche Berechtigungen
Einen Reinraum anzeigen Muss der Besitzer des Reinraums sein oder eine der folgenden Berechtigungen für den Reinraum haben: MANAGE, MODIFY CLEAN ROOM, EXECUTE CLEAN ROOM TASK, oder BROWSE.
Den Besitzer eines Reinraums aktualisieren Muss der Besitzer des Reinraums sein oder das MANAGE Recht auf den Reinraum haben.
Hinzufügen oder Entfernen von Datenressourcen in einem Reinraum Muss der Besitzer des Reinraums sein oder über die MODIFY CLEAN ROOM Berechtigungen für den Reinraum verfügen. Wenn Sie nicht der Besitzer des Reinraums sind, müssen Sie und der Besitzer des Reinraums über SELECT auf jeder beliebigen Tabelle oder Ansicht, READ VOLUME auf jedem hinzufügten Volume sowie über USE CATALOG und USE SCHEMA auf dem übergeordneten Katalog und Schema verfügen.
Hinzufügen oder Entfernen von Notizbüchern in einem Reinraum Für den Uploader des Notizbuchs:
  • Wenn sie die festgelegte ausführende Person des Notizbuchs sind, müssen sie über die EXECUTE CLEAN ROOM TASK oder MODIFY CLEAN ROOM Berechtigungen verfügen.
  • Wenn das Notizbuch von einem Mitarbeiter ausgeführt werden kann, muss der Uploader über die MODIFY CLEAN ROOM Berechtigung verfügen.
Aktualisieren eines Kommentars in einem Reinraum Muss der Besitzer des Reinraums sein oder über die MODIFY CLEAN ROOM Berechtigungen für den Reinraum verfügen.
Gewähren des Zugriffs auf einen Reinraum Muss der Besitzer sein oder das MANAGE Privileg für einen Reinraum haben.
Löschen eines Reinraums Muss der Besitzer sein oder über die MANAGE Berechtigungen für den Reinraum verfügen.

Über die aufgabenspezifischen Berechtigungen hinaus wird, wenn ein Reinraum geteilt wird, die E-Mail-Adresse, die der Freigabe-ID zugeordnet ist, automatisch zum Besitzer in der Organisation des Mitarbeiters. Siehe Schritt 1. Fordern Sie den Freigabebezeichner des Mitarbeiters an.

Informationen zu den erforderlichen Berechtigungen zum Aktualisieren von Reinräumen und Ausführen von Aufgaben (Notebooks) in Reinräumen finden Sie unter Verwalten von Reinräumen und Ausführen von Notebooks in Reinräumen.

Hinweis

Der zentrale Reinraum kann maximal zwei andere Regionen als die zentrale Reinraumregion zusätzlich unter seinen Mitarbeitern haben.

Schritt 1. Anfordern der Freigabe-ID des Kooperationspartners

Bevor Sie einen Reinraum erstellen können, müssen Sie den Clean Room Freigabe-Identifikator der Organisationen haben, mit denen Sie zusammenarbeiten werden. Der Freigabe-Identifikator ist eine Zeichenfolge, die sich aus der globalen Metastore-ID der Organisation plus der Arbeitsbereichs-ID und dem Benutzernamen des Kontakts (E-Mail-Adresse) zusammensetzt. Ihre Mitarbeiter können sich in einer beliebigen Cloud oder Region befinden.

Wenden Sie sich an Ihre Mitarbeiter, um deren Freigabe-ID anzufordern. Sie können den Freigabebezeichner mithilfe der Anweisungen unter "Freigabebezeichner suchen" abrufen.

Schritt 2. Erstellen eines Reinraums

Um einen Reinraum zu erstellen, müssen Sie den Katalog-Explorer verwenden.

  1. Klicken Sie im Azure Databricks-Arbeitsbereich auf das Datensymbol.Katalog.

  2. Klicken Sie auf der Seite Schnellzugriff auf die Schaltfläche Reinräume >.

  3. Klicken Sie auf Reinraum erstellen.

  4. Geben Sie auf der Seite Reinraum erstellen einen benutzerfreundlichen Namen für den Reinraum ein.

    Der Name darf keine Leerzeichen, Punkte oder Schrägstriche (/) enthalten.

    Sobald er gespeichert ist, kann der Name des Reinraums nicht mehr geändert werden. Verwenden Sie einen Namen, den potenzielle Mitarbeiter hilfreich und beschreibend finden.

  5. Wählen Sie den Cloudanbieter und die Region aus, in der der zentrale Reinraum erstellt wird.

    Der Cloudanbieter muss Ihrem aktuellen Arbeitsbereich entsprechen, die Region kann jedoch unterschiedlich sein. Berücksichtigen Sie die Datenresidenz Ihrer Organisation oder andere Richtlinien, wenn Sie eine Auswahl treffen.

  6. Jeder Reinraum kann bis zu zehn Mitarbeiter haben. Geben Sie die Clean-Room-Freigabe-ID für jeden Teilnehmer ein. Siehe Schritt 1. Fordern Sie den Freigabebezeichner des Mitarbeiters an.

    Sie können Ihren Reinraum vor der vollständigen Bereitstellung testen, indem Sie entweder Ihren Freigabebezeichner oder den Bezeichner eines anderen Benutzers in Ihrem aktuellen Metastore verwenden. Dadurch werden zwei Reinräume im aktuellen Metastore erstellt. Wenn Sie beispielsweise einen reinen Raum mit dem Titel test_clean_roomerstellen, wird auch ein zweiter Reinraum mit dem Namen test_clean_room_collaborator angezeigt. Das Ausführen von Notebooks mit einer am Projekt beteiligten Person in demselben Metastore funktioniert genauso wie bei einer externen Person. Weitere Informationen finden Sie unter Ausführen von Notebooks in Reinräumen.

  7. Notieren Sie sich die Katalognamen, die Ihnen und Ihren Mitarbeitern zugewiesen sind.

    Alle Datenressourcen, die dem Reinraum hinzugefügt werden, werden unter diesem Katalog im zentralen Reinraum angezeigt und können mithilfe dieses Katalogs im dreistufigen Unity Catalog-Namespace (<catalog>.<schema>.<table-etc>) referenziert werden.

  1. Wählen Sie den Richtlinientyp für den Netzwerkzugriff aus. Dies kann nicht geändert werden, nachdem der Reinraum erstellt wurde.

Netzwerkrichtlinientyp.

Hinweis

Der eingeschränkte Zugriff kann die Verfügbarkeit von Ressourcen für bis zu zehn Minuten verzögern.

Nachdem Sie den Reinraum erstellt haben, können Sie die Netzwerkzugriffsrichtlinie auf der Registerkarte Sicherheit anzeigen.

  1. Klicken Sie auf Reinraum erstellen.

Wenn Ihr aktueller Arbeitsbereich auf das HIPAA-Compliancesicherheitsprofil festgelegt ist, wird diese Einstellung beim Erstellen eines Reinraums auf den zentralen Reinraum angewendet. Mitarbeiter müssen über einen Arbeitsbereich mit demselben Sicherheitsprofil auf den Reinraum zugreifen. Weitere Informationen finden Sie unter Compliancesicherheitsprofil.

Schritt 3. Hinzufügen von Datenressourcen und Notebooks zum Reinraum

Sowohl der Ersteller als auch die Mitarbeiter können dem Reinraum Tabellen, Volumes, Ansichten und Notizbücher hinzufügen.

Hinweis

In den folgenden Anweisungen wird davon ausgegangen, dass Sie zu einem bereits erstellten Reinraum zurückkehren, um Ressourcen hinzuzufügen. Wenn Sie zum ersten Mal einen Reinraum erstellt haben, führt Sie ein Assistent durch die Schritte zum Hinzufügen von Datenressourcen und Notebooks. Die eigentliche Benutzeroberfläche zum Hinzufügen der Ressourcen ist identisch, unabhängig davon, ob Sie den Assistenten verwenden oder nicht.

So fügen Sie Notizbücher hinzu:

  1. Klicken Sie auf die Schaltfläche "+Notizbücher hinzufügen ", und suchen Sie nach dem Notizbuch, das Sie hinzufügen möchten.

  2. Benennen Sie das Notizbuch.

  3. Wählen Sie aus, welche Mitarbeiter das Notizbuch ausführen können. Wählen Sie Sie aus, um das Notebook selbst auszuführen.

    Selbsternannter Läufer.

    Optional können Sie einen alternativen Notebooknamen eingeben.

    Notizbücher, die Sie in Reinräumen freigeben, führen Datenabfragen und Datenanalyse-Arbeitslasten aus an den Tabellen, Ansichten und Speicherbereichen, die Sie und andere Mitarbeiter zum Reinraum hinzugefügt haben.

    Wenn Sie ein Notizbuch freigeben, das Ergebnisse enthält, werden diese Ergebnisse für Ihre Mitarbeiter freigegeben.

    Sie können ein Notizbuch verwenden, um Ausgabetabellen zu erstellen, die beim Ausführen des Notizbuchs vorübergehend für den Metastore Ihres Mitarbeiters freigegeben werden. Siehe Erstellen und Arbeiten mit Ausgabetabellen in Databricks Clean Rooms.

    Um ein Testdatenset zu verwenden, laden Sie unser Beispielnotizbuchherunter.

    Wichtig

    Alle Notizbuchverweise auf Tabellen, Ansichten oder Datenträger, die dem Reinraum hinzugefügt wurden, müssen den ihnen bei der Erstellung des Reinraums zugewiesenen Katalognamen verwenden („Ersteller“ für Datenressourcen, die vom Ersteller des Reinraums hinzugefügt wurden, und „Kooperationspartner“ für Datenressourcen, die vom eingeladenen Kooperationspartner hinzugefügt wurden). Der Name einer vom Ersteller hinzugefügten Tabelle könnte beispielsweise creator.sales.california lauten.

    Überprüfen Sie ebenfalls, ob das Notebook alle Aliase verwendet, die Datenressourcen im Reinraum zugewiesen wurden.

So fügen Sie Ressourcen hinzu

  1. Klicken Sie im Azure Databricks-Arbeitsbereich auf das Datensymbol.Katalog.

  2. Klicken Sie auf der Seite Schnellzugriff auf die Schaltfläche Reinräume >.

  3. Suchen Sie nach dem Namen des Reinraums, den Sie aktualisieren möchten, und klicken Sie darauf.

  4. Klicken Sie auf und dann auf "Datenobjekte hinzufügen", um Tabellen, Volumen oder Ansichten hinzuzufügen.

  5. Wählen Sie die Datenobjekte aus, die Sie freigeben möchten, und klicken Sie auf Datenressourcen hinzufügen.

    Wenn Sie eine Tabelle, ein Volume oder eine Sicht freigeben, können Sie optional einen Alias hinzufügen. Der Aliasname ist der einzige Name, der im Reinraum sichtbar ist.

    Wenn Sie eine Tabelle freigeben, können Sie optional Partitionsklauseln hinzufügen, mit denen Sie nur einen Teil der Tabelle freigeben können. Ausführliche Informationen zur Verwendung von Partitionen zum Einschränken der Daten, die Sie freigeben, finden Sie unter Angeben der freizugebenden Tabellenpartitionen.

Hinweis

Wenden Sie sich an Ihrem Azure Databricks-Kontovertreter, um an der Privaten Vorschau für die Gemeinsame Nutzung von Verbundtabellen teilzunehmen. Weitere Informationen finden Sie unter Was ist ein Lakehouse-Verbund?.