このページでは、UI を使用して Databricks のクリーン ルームを作成する方法について説明します。 クリーン ルームは、共同作業によるデータ分析のための安全な環境です。
主な機能と制限事項:
- セキュリティで保護されたコラボレーション: クリーン ルームを使用すると、複数の関係者が互いの生データに直接アクセスすることなく、機密性の高いエンタープライズ データに対して共同作業を行うことができます。
- コラボレーターの容量: クリーン ルームには、作成者や最大 9 人の他のコラボレーターを含む 10 のパーティーを開催できます。
- メタストアの制限: Azure Databricks では、すべてのクリーン ルームのセキュリティ保護可能なオブジェクトにリソース クォータが適用されます。 リソース制限に関するページを参照してください。
REST API を使用するには、「 クリーン ルームを作成する」を参照してください。
はじめに
クリーン ルームを使用するために必要なアクセス許可は、タスクによって異なります。
| 課題 | 必要な特権 |
|---|---|
| クリーン ルームを表示する | クリーン ルームの所有者であるか、または MANAGE、 MODIFY CLEAN ROOM、 EXECUTE CLEAN ROOM TASK、または BROWSEのいずれかの権限を持っている必要があります。 |
| クリーン ルームの所有者を更新する | クリーン ルームの所有者であるか、またはクリーン ルームの MANAGE 特権を持っている必要があります。 |
| クリーン ルームでデータ資産を追加または削除する | クリーン ルームの所有者であるか、またはクリーン ルームに対する MODIFY CLEAN ROOM 特権を持っている必要があります。 クリーンルームの所有者でない場合、あなたとクリーンルームの所有者は、そのテーブルまたはビューにSELECTを持ち、追加するボリュームにREAD VOLUMEを持ち、さらに親カタログとスキーマにUSE CATALOGとUSE SCHEMAを持っている必要があります。 |
| クリーン ルームでノートブックを追加または削除する | ノートブックのアップローダーの場合:
|
| クリーン ルームでコメントを更新する | クリーン ルームの所有者であるか、またはクリーン ルームに対する MODIFY CLEAN ROOM 特権を持っている必要があります。 |
| クリーン ルームへのアクセスを許可する | 所有者であるか、またはクリーン ルームに対する MANAGE 特権を持っている必要があります。 |
| クリーン ルームを削除する | 所有者であるか、またはクリーン ルームに対する MANAGE 特権を持っている必要があります。 |
タスク固有の特権を超えて、クリーン ルームが共有されると、共有識別子に添付されたメール アドレスがコラボレーターの組織内の所有者になります。 手順 1 を参照してください。コラボレーターの共有識別子を要求します。
クリーン ルームの更新とクリーン ルームでのタスク (ノートブック) の実行に関するアクセス許可の要件については、「クリーン ルームを管理する」および「クリーン ルームでノートブックを実行する」を参照してください。
注
中央のクリーン ルームには、共同作業者の間で中央のクリーン ルームリージョン以外の最大 2 つのリージョンを含めることができます。
ステップ 1。 コラボレーターの共有識別子を要求する
クリーン ルームを作成する前に、共同作業を行う組織のクリーン ルーム共有識別子が必要です。 共有識別子は、組織のグローバル メタストア ID + ワークスペース ID + 連絡先のユーザー名 (メール アドレス) で構成される文字列です。 コラボレーターは、任意のクラウドまたはリージョンに存在できます。
コラボレーターに連絡して、共有識別子を要求します。 共有識別子を取得するには、共有識別子の検索に関する手順に従ってください。
ステップ 2。 クリーン ルームを作成する
クリーン ルームを作成するには、カタログ エクスプローラーを使用する必要があります。
Azure Databricks ワークスペースで、[
![データ] アイコンをクリックします。](../_static/images/product-icons/dataicon.svg)
カタログ。[クイック アクセス] ページで、[クリーン ルーム]> ボタンをクリックします。
[クリーン ルームを作成する] をクリックします。
[クリーン ルームを作成する] ページで、クリーン ルームに設定するわかりやすい名前を入力します。
名前にスペース、ピリオド、またはスラッシュ (/) を使用することはできません。
いったん保存すると、クリーン ルーム名を変更することはできません。 潜在的なコラボレーターが役に立つわかりやすい名前を使用します。
中央クリーン ルームを作成するクラウド プロバイダーとリージョンを選択します。
クラウド プロバイダーは現在のワークスペースと一致する必要がありますが、リージョンは異なる場合があります。 選択するときは、組織のデータ所在地またはその他のポリシーを検討してください。
各クリーン ルームには、最大 10 人のコラボレーターを配置できます。 各コラボレーターの クリーン ルーム共有識別子 を入力します。 手順 1 を参照してください。コラボレーターの共有識別子を要求します。
フル デプロイの前に、共有識別子または現在のメタストア内の別のユーザーの識別子を使用して、クリーン ルームをテストできます。 これにより、現在のメタストアに 2 つのクリーン ルームが作成されます。 たとえば、
test_clean_roomという名前のクリーン ルームを作成すると、test_clean_room_collaboratorという名前の 2 つ目のクリーン ルームも表示されます。 同じメタストア内のコラボレーターを使用してノートブックを実行すると、外部コラボレーターと同じように機能します。 「クリーン ルームでノートブックを実行する」を参照してください。自分とコラボレーターに割り当てられているカタログ名を書き留めます。
クリーン ルームに追加されたすべてのデータ資産は、中央クリーン ルームでそのカタログの下に表示され、Unity Catalog の 3 レベルの名前空間 (
<catalog>.<schema>.<table-etc>) でそのカタログを使用して参照できます。
ネットワーク アクセス ポリシーの種類を選択します。 これは、クリーン ルームの作成後は変更できません。
- フルアクセス: 無制限の外向きインターネットアクセス。
- 制限付きアクセス: 指定したインターネット宛先への送信アクセスが制限されます。 サーバーレスエグレス制御については、「 ネットワーク ポリシーの概要 」と 「ネットワーク ポリシーの管理」を参照してください。
注
アクセスが制限されている 場合、資産の可用性が最大 10 分間遅れる可能性があります。
クリーン ルームを作成したら、ネットワーク アクセス ポリシーを [セキュリティ] タブで表示できます。
- [クリーン ルームを作成する] をクリックします。
現在のワークスペースが HIPAA コンプライアンス セキュリティ プロファイルに設定されている場合、クリーン ルームを作成すると、その設定が中央のクリーン ルームに適用されます。 コラボレーターは、同じセキュリティ プロファイルを持つワークスペースからクリーン ルームにアクセスする必要があります。 コンプライアンス セキュリティ プロファイル を参照してください。
ステップ 3。 データ資産とノートブックをクリーン ルームに追加する
作成者とコラボレーターはどちらも、テーブル、ボリューム、ビュー、ノートブックをクリーン ルームに追加できます。
注
次の手順では、アセットを追加するために既に作成されているクリーン ルームに戻ると仮定します。 初めてクリーン ルームを作成した場合は、ウィザードでデータ資産とノートブックを追加する手順が示されます。 これらのアセットを追加するための実際の UI は、ウィザードによるガイドの有無に関係なく同じです。
ノートブックを追加するには:
[ + ノートブックの追加 ] ボタンをクリックし、追加するノートブックを参照します。
ノートブックに名前を付けます。
ノートブックを実行できるコラボレーターを選択します。 [ You]\(自分 \) を選択してノートブックを自分で実行します。
必要に応じて、ノートブックに別のノートブック名を指定できます。
クリーン ルームで共有するノートブックは、データのクエリを実行し、自分や他のコラボレーターがクリーン ルームに追加したテーブル、ビュー、ボリュームに対してデータ分析ワークロードを実行します。
結果を含むノートブックを共有すると、それらの結果はコラボレーターと共有されます。
ノートブックを使用して、ノートブックの実行時にコラボレーターのメタストアと一時的に共有される 出力テーブル を作成できます。 「Databricks クリーン ルームで出力テーブルを作成して操作する」を参照してください。
テスト データセットを使用するには、サンプル ノートブックをダウンロードします。
重要
クリーン ルームに追加されたテーブル、ビュー、またはボリュームへのノートブック参照では、クリーン ルームの作成時に割り当てられたカタログ名 (クリーン ルーム作成者によって追加されたデータ資産の場合は "作成者"、招待されたコラボレーターによって追加されたデータ資産の "コラボレーター") を使用する必要があります。 たとえば、作成者が追加したテーブルには
creator.sales.californiaという名前が付けられます。同様に、ノートブックで、クリーン ルーム内のデータ資産だったエイリアスが割り当てられ、使用されていることを確認します。
資産を追加する手順を以下に示します。
Azure Databricks ワークスペースで、[
カタログ。[クイック アクセス] ページで、[クリーン ルーム]> ボタンをクリックします。
更新するクリーン ルームの名前を見つけてクリックします。
[+ データ資産の追加] をクリックして、テーブル、ボリューム、またはビューを追加します。
共有するデータ資産を選択し、[データ資産の追加] クリックします。
テーブル、ボリューム、またはビューを共有する場合は、必要に応じてエイリアスを追加できます。 エイリアス名は、クリーン ルームに表示される唯一の名前になります。
テーブルを共有する場合、オプションで、テーブルの一部のみを共有できるようにするパーティション句を追加できます。 パーティションを使用して共有する内容を制限する方法の詳細については、「共有するテーブル パーティションを指定する」を参照してください。
注
フェデレーション テーブル共有のプライベート プレビューに参加するには、Azure Databricks アカウントの担当者にお問い合わせください。 「Lakehouse フェデレーションとは何ですか?」を参照してください。