Erstellen von Reinräumen

In diesem Artikel erfahren Sie, wie Sie einen Reinraum erstellen – eine sichere und datenschutzfreundliche Umgebung, in der mehrere Parteien gemeinsam an vertraulichen Unternehmensdaten arbeiten können, ohne direkten Zugriff auf die Daten der anderen Partei zu haben.

Voraussetzungen

Die für die Verwendung von Reinräumen erforderlichen Berechtigungen variieren je nach Aufgabe:

• Zum Erstellen eines Reinraums müssen Sie über die Berechtigung CREATE CLEAN ROOM verfügen oder ein Metastore-Administrator sein. Der Ersteller wird im Unity Catalog-Metastore automatisch als Besitzer des Reinraums zugewiesen.

• Zum Initiieren der Teilnahme an einem für Sie freigegebenen Reinraum müssen Sie ein Metastore-Administrator sein.

  Wenn ein Reinraum freigegeben wird, wird dem Metastore-Administrator der Organisation des Projektmitarbeiters automatisch der Besitz des Reinraums zugewiesen. Der Metastore-Administrator kann einen Benutzer, der kein Metastore-Administrator ist, als Besitzer neu zuweisen. Als bewährte Methode für die Datengovernance empfiehlt Databricks, eine Gruppe als Besitzer zuzuweisen.

  Falls Ihrem Arbeitsbereich kein Metastore-Administrator zugewiesen ist, müssen Sie die Rolle zuweisen. Weitere Informationen finden Sie unter Zuweisen eines Metastore-Administrators und Verwalten des Unity Catalog-Objektbesitzes.

• Zum Hinzufügen und Entfernen von Datenressourcen und Notebooks in einem Reinraum müssen Sie der Besitzer des Reinraums sein oder über die Berechtigung MODIFY CLEAN ROOM für den Reinraum verfügen. Darüber hinaus müssen Sie und der Besitzer des Reinraums (wenn Sie nicht der Besitzer sind) über die Berechtigung SELECT für von Ihnen hinzugefügte Tabellen sowie die Berechtigung READ VOLUME für von Ihnen hinzugefügte Volumes verfügen.

Informationen zu den erforderlichen Berechtigungen zum Aktualisieren von Reinräumen und Ausführen von Aufgaben (Notebooks) in Reinräumen finden Sie unter Verwalten von Reinräumen und Ausführen von Notebooks in Reinräumen.

Sie können bis zu fünf Reinräume pro Metastore erstellen.

Schritt 1. Anfordern des Freigabebezeichners des Projektmitarbeiters

Bevor Sie einen Reinraum erstellen können, benötigen Sie den Freigabebezeichner der Organisation, mit der Sie zusammenarbeiten werden. Der Freigabebezeichner ist eine Zeichenfolge, die aus der Cloud, der Region und der UUID (Universally Unique Identifier, eindeutiger Bezeichner für den Metastore) des Metastores des Projektmitarbeiters im Format <cloud>:<region>:<uuid> besteht. Der Projektmitarbeiter kann sich in einer beliebigen Cloud oder Region befinden.

Wenden Sie sich an den Projektmitarbeiter, um seinen Freigabebezeichner anzufordern.

Der Projektmitarbeiter kann den Freigabebezeichner mithilfe der Anweisungen unter Ermitteln Ihres Freigabebezeichners abrufen.

Schritt 2. Erstellen eines Reinraums

Um einen Reinraum zu erstellen, müssen Sie den Katalog-Explorer verwenden.

1. Klicken Sie in Ihrem Azure Databricks-Arbeitsbereich auf Katalog.

2. Klicken Sie auf der Seite Schnellzugriff auf die Schaltfläche Reinräume>.

   Alternativ können Sie oben im Bereich Katalog auf das Zahnradsymbol klicken und Reinräume auswählen.

3. Klicken Sie auf Reinraum erstellen.

4. Geben Sie auf der Seite Reinraum erstellen einen benutzerfreundlichen Namen für den Reinraum ein.

   Der Name darf keine Leerzeichen, Punkte oder Schrägstriche (/) enthalten.

   Sie können den Namen des Reinraums nicht mehr ändern, nachdem er gespeichert wurde. Verwenden Sie einen Namen, der für den Projektmitarbeiter hilfreich und aussagekräftig ist.

5. Wählen Sie den Cloudanbieter und die Region aus, in der der zentrale Reinraum erstellt wird.

   Der Cloudanbieter muss mit dem Ihres aktuellen Arbeitsbereichs identisch sein, die Region jedoch nicht. Berücksichtigen Sie die Datenresidenz oder andere Richtlinien Ihrer Organisation, wenn Sie Ihre Auswahl treffen.

6. (Optional) Fügen Sie einen Kommentar hinzu.

7. Geben Sie den Freigabebezeichner des Projektmitarbeiters ein.

   Weitere Informationen finden Sie unter Schritt 1. Anfordern des Freigabebezeichners des Projektmitarbeiters.

8. Notieren Sie sich die Katalognamen, die Ihnen (dem Ersteller) und dem Projektmitarbeiter zugewiesen sind.

   Alle Datenressourcen, die dem Reinraum hinzugefügt werden, werden unter diesem Katalog im zentralen Reinraum angezeigt und können mithilfe dieses Katalogs im dreistufigen Unity Catalog-Namespace (<catalog>.<schema>.<table-etc>) referenziert werden.

9. Klicken Sie auf Reinraum erstellen.

Schritt 3. Hinzufügen von Datenressourcen und Notebooks zum Reinraum

Jede Partei des Reinraums (Ersteller und Projektmitarbeiter) kann dem Reinraum Tabellen, Volumes und Notebooks hinzufügen.

Erforderliche Berechtigungen:

• Sie müssen der Besitzer sein oder über die Berechtigung MODIFY CLEAN ROOM für den Reinraum verfügen.

• Sie und der Besitzer des Reinraums (wenn Sie nicht der Besitzer sind) müssen über die Berechtigung SELECT für jede Tabelle und die Berechtigung READ VOLUME für jedes Volume, die bzw. das Sie hinzufügen, sowie die Berechtigungen USE CATALOG und USE SCHEMA für den übergeordneten Katalog und das Schema verfügen.

  Der Besitzer des Reinraums muss diese Berechtigungen während der gesamten Lebensdauer des Reinraums besitzen.

So fügen Sie Ressourcen hinzu

1. Klicken Sie in Ihrem Azure Databricks-Arbeitsbereich auf Katalog.

2. Klicken Sie auf der Seite Schnellzugriff auf die Schaltfläche Reinräume>.

   Alternativ können Sie oben im Bereich Katalog auf das Zahnradsymbol klicken und Reinräume auswählen.

3. Suchen Sie nach dem Namen des Reinraums, den Sie aktualisieren möchten, und klicken Sie darauf.

4. Um Datenressourcen (Tabellen und Volumes) hinzuzufügen, klicken Sie auf die Schaltfläche + Datenressourcen hinzufügen.

5. Wählen Sie die Tabellen und Volumes aus, die Sie freigeben bzw. teilen möchten, und klicken Sie auf Datenressourcen hinzufügen.

   Wenn Sie eine Tabelle oder ein Volume freigeben, können Sie optional einen Alias hinzufügen. Der Aliasname ist der einzige Name, der im Reinraum sichtbar ist.

   Wenn Sie eine Tabelle freigeben, können Sie optional Partitionsklauseln hinzufügen, mit denen Sie nur einen Teil der Tabelle freigeben können. Ausführliche Informationen zur Verwendung von Partitionen zum Einschränken der Daten, die Sie freigeben, finden Sie unter Angeben der freizugebenden Tabellenpartitionen.

6. Um Notebooks hinzuzufügen, klicken Sie auf die Schaltfläche + Notebooks hinzufügen, und suchen Sie nach dem Notebook, das Sie hinzufügen möchten.

   Optional können Sie einen alternativen Notebooknamen eingeben.

   Notebooks, die Sie in Reinräumen freigeben, fragen Daten ab und führen Datenanalyseworkloads für die Tabellen und Volumes aus, die Sie und der andere Projektmitarbeiter dem Reinraum hinzugefügt haben.

   Notebooks funktionieren nach dem Prinzip der impliziten Genehmigung: Sie können Notebooks, die Sie erstellen, nicht ausführen. Sie erstellen die Notebooks, die Ihr Projektmitarbeiter verwendet, und der Projektmitarbeiter erstellt die Notebooks, die Sie verwenden.

   Wenn Sie ein Notebook teilen, das Ergebnisse enthält, werden diese Ergebnisse für den Projektmitarbeiter freigegeben.

   Wichtig

   Alle Notebookverweise auf Tabellen oder Volumes, die dem Reinraum hinzugefügt wurden, müssen den Katalognamen verwenden, der beim Erstellen des Reinraums zugewiesen wurde („creator“ für Datenressourcen, die vom Ersteller des Reinraums hinzugefügt wurden, und „collaborator“ für Datenressourcen, die vom eingeladenen Projektmitarbeiter hinzugefügt wurden). Der Name einer vom Ersteller hinzugefügten Tabelle könnte beispielsweise creator.sales.california lauten.

   Stellen Sie ebenfalls sicher, dass das Notebook alle Aliase verwendet, die Datenressourcen im Reinraum zugewiesen wurden.