クリーンルームの作成

このページでは、共同データ分析のための安全な環境である Databricks クリーンルームの作り方をご紹介します。

主な機能と制限事項:

• 安全なコラボレーション : クリーンルームを使用すると、複数の関係者が互いの生データに直接アクセスすることなく、機密性の高いエンタープライズデータで共同作業を行うことができます。
• コラボレーターのキャパシティ : クリーンルームには、作成者と最大 9 人の他のコラボレーターを含む 10 人のパーティを含めることができます。
• メタストア制限 :メタストアごとに最大5つのクリーンルームを作成できます。

始める前に

クリーンルームを利用するために必要な権限は、タスクによって異なります。

タスク	必要な権限
クリーンルームを見る	クリーンルームの所有者であるか、クリーンルームに対して MANAGE、 MODIFY CLEAN ROOM、 EXECUTE CLEAN ROOM TASK、または BROWSEのいずれかの権限を持っている必要があります。
クリーンルームの所有者を更新する	クリーンルームの所有者であるか、クリーンルームの MANAGE 権限を持っている必要があります。
クリーンルームでのデータ資産の追加または削除	クリーンルームの所有者であるか、クリーンルームに対する MODIFY CLEAN ROOM 権限を持っている必要があります。お客様がクリーンルームの所有者でない場合、お客様とクリーンルームの所有者は、親カタログとスキーマにUSE CATALOGとUSE SCHEMAとともに、テーブルまたはビューにSELECT、追加するボリュームにREAD VOLUMEする必要があります。
クリーンルームでのノートブックの追加と削除	ノートブックのアップローダーの場合: - ノートブックの指定されたランナーである場合は、 EXECUTE CLEAN ROOM TASK または MODIFY CLEAN ROOM の権限を持っている必要があります。 - ノートブックがコラボレーターによって実行可能な場合、アップローダーには MODIFY CLEAN ROOM 権限が必要です。
クリーンルーム内のコメントを更新する	クリーンルームの所有者であるか、クリーンルームに対する MODIFY CLEAN ROOM 権限を持っている必要があります。
クリーンルームへのアクセスを許可する	所有者であるか、クリーンルームに対する MANAGE 権限を持っている必要があります。
クリーンルームの削除	所有者であるか、クリーンルームに対する MANAGE 権限を持っている必要があります。

タスク固有の権限以外にも、クリーンルームを共有すると、共有識別子に添付されたEメール アドレスが自動的に共同作業者の組織の所有者になります。 ステップ 1.コラボレーターの共有識別子を要求します。

クリーンルームの更新とタスク (ノートブック) 実行の権限要件については、クリーンルームの管理 および クリーンルームでのノートブックの実行を参照してください。

注記

中央のクリーンルームには、その協力者の間に最大 2 つの他の非 AWS リージョンを含めることができます。

ステップ1.コラボレーターの共有識別子を要求する

クリーンルームを作成する前に、協力する組織のクリーンルーム共有識別子が必要です。 共有識別子は、組織のグローバルメタストア ID + ワークスペース ID + 連絡先のユーザー名 (Eメール アドレス) で構成される文字列です。 コラボレーターは、任意のクラウドまたはリージョンに所属できます。

コラボレーターに連絡して、共有識別子をリクエストします。共有識別子は、「 共有識別子を検索する」の手順を使用して取得できます。

ステップ2.クリーンルームを作る

クリーンルームを作成するには、カタログエクスプローラーを使用する必要があります。

1. Databricks ワークスペースで、 カタログ をクリックします。

2. クイック アクセス ページで、 クリーン ルーム > ボタンをクリックします。

3. クリーンルームの作成 をクリックします。

4. Create Clean Room ページで、クリーン ルームのわかりやすい名前を入力します。

   名前には、スペース、ピリオド、スラッシュ (/) を使用できません。

   一度保存すると、クリーンルームの名前は変更できません。潜在的なコラボレーターが便利で説明的だと感じる名前を使用してください。

5. 中央クリーンルームを作成するクラウドプロバイダーとリージョンを選択します。

   クラウド プロバイダーは現在のワークスペースと一致する必要がありますが、リージョンは異なる場合があります。選択を行うときは、組織のデータ所在地またはその他のポリシーを考慮してください。

6. 各クリーンルームには、最大10人の協力者を含めることができます。各コラボレーターの クリーンルーム共有識別子 を入力します。ステップ 1.コラボレーターの共有識別子を要求します。

   

   クリーンルームを完全にデプロイする前に、共有識別子または現在のメタストア内の別のユーザーの識別子を使用してテストできます。 これにより、現在のメタストアに2つのクリーンルームが作成されます。 たとえば、 test_clean_roomというタイトルのクリーンルームを作成すると、 test_clean_room_collaborator という名前の 2 つ目のクリーンルームも表示されます。 同じメタストア内のコラボレーターとのノートブックの実行は、外部コラボレーターの場合と同じように機能します。 クリーンルームのでのノートブックの実行を参照してください。

7. 自分と共同作業者に割り当てられたカタログ名をメモします。

   クリーンルームに追加されたすべてのデータアセットは、中央のクリーンルームのそのカタログの下に表示され、Unity Catalog の 3 レベル名前空間 (<catalog>.<schema>.<table-etc>) でそのカタログを使用して参照できます。

8. ネットワークアクセスポリシーの種類を選択します。 クリーンルーム作成後は変更できません。

   • フルアクセス :無制限のアウトバウンドインターネットアクセス。
   • 制限付きアクセス : 指定したインターネットの宛先への送信アクセスを制限します。Network ポリシーの概要およびサーバレス egress 制御のためのネットワーク ポリシーの管理を参照してください。

注記

アクセスが制限されると 、アセットの可用性が最大 10 分遅れる可能性があり、Google Cloud の共同編集者はサポートされません。

クリーンルームを作成したら、[ セキュリティ ]タブでネットワークアクセスポリシーを表示できます。

1. クリーンルームの作成 をクリックします。

現在のワークスペースが HIPPA コンプライアンス セキュリティ プロファイルに設定されている場合、クリーンルームを作成すると、その設定が中央のクリーンルームに適用されます。 コラボレーターは、同じセキュリティプロファイルを持つワークスペースからクリーンルームにアクセスする必要があります。コンプライアンス・セキュリティ・プロファイルを参照してください。

ステップ3.データ資産とノートブックをクリーンルームに追加

作成者と共同作業者の両方が、テーブル、ボリューム、ビュー、ノートブックをクリーンルームに追加できます。

注記

次の手順は、アセットを追加するためにすでに作成されたクリーンルームに戻ることを前提としています。 初めてクリーンルームを作成したばかりの場合は、ウィザードの指示に従ってデータアセットとノートブックを追加できます。 これらのアセットを追加するための実際の UI は、ウィザードにガイドされているかどうかに関係なく同じです。

ノートブックを追加するには:

1. [+ ノートブックを追加 ] ボタンをクリックして、追加するノートブックを参照します。

2. ノートブックに名前を付けます。

3. ノートブックを実行できる共同作業者を選択します。[ あなた ] を選択して、ノートブックを自分で実行します。

   

   オプションで、ノートブックに別の ノートブック名 を付けることができます。

   クリーンルームで共有するノートブックは、自分と他の共同作業者がクリーンルームに追加したテーブル、ビュー、ボリュームでデータをクエリし、データ分析ワークロードを実行します。

   結果を含むノートブックを共有すると、その結果は共同作業者と共有されます。

   ノートブックを使用して、ノートブックを実行するときにコラボレーターのメタストアに一時的に共有される 出力テーブル を作成できます。「Databricks クリーンルームでの出力テーブルの作成と操作」を参照してください。

   テスト データセットを使用するには、 サンプル ノートブックをダウンロードしてください。

important

クリーンルームに追加されたテーブル、ビュー、またはボリュームへのノートブック参照では、クリーンルームの作成時に割り当てられたカタログ名を使用する必要があります (クリーンルーム作成者によって追加されたデータアセットの場合は「creator」、招待されたコラボレーターによって追加されたデータアセットの場合は「collaborator」)。 たとえば、作成者が追加したテーブルに creator.sales.californiaという名前を付けることができます。

同様に、ノートブックが、クリーンルーム内のデータ資産に割り当てられたエイリアスを使用していることを確認します。

アセットを追加するには:

1. Databricks ワークスペースで、 カタログ をクリックします。

2. クイック アクセス ページで、 クリーン ルーム > ボタンをクリックします。

3. 更新するクリーンルームの名前を見つけてクリックします。

4. + データ資産の追加 をクリックして、テーブル、ボリューム、またはビューを追加します。

5. 共有するデータアセットを選択し、 データアセットの追加 をクリックします。

   テーブル、ボリューム、またはビューを共有する場合、オプションでエイリアスを追加できます。 エイリアス名は、クリーンルームで見える唯一の名前になります。

   テーブルを共有する場合、オプションでパーティション句を追加して、テーブルの一部のみを共有できるようにすることができます。 パーティションを使用して共有する内容を制限する方法の詳細については、「 共有するテーブルパーティションの指定」を参照してください。

注記

デフォルトのストレージを使用している場合、テーブルパーティションを共有することはできません。サーバレス ワークスペースのデフォルト ストレージを参照してください。

注記

フェデレーション テーブル共有のプライベート プレビューに参加するには、Databricks アカウント担当者にお問い合わせください。 レイクハウスフェデレーションとはを参照してください。