Vertrauliche Daten mit Data-Clean-Room teilen

Data-Clean-Rooms bieten eine sicherheitsoptimierte Umgebung, in der mehrere Parteien ihre Daten-Assets freigeben, zusammenführen und analysieren können, ohne die zugrunde liegenden Daten zu verschieben oder weiterzugeben.

BigQuery Data-Clean-Rooms basieren auf der Analytics Hub-Plattform. Während Standard-Analytics Hub-Datenaustausche eine Möglichkeit bieten, Daten über mehrere Organisationsgrenzen hinweg in großem Umfang zu teilen, können Sie mit Data-Clean-Rooms auf vertrauliche und geschützte Anwendungsfälle für die Freigabe reagieren. Data-Clean-Rooms bieten zusätzliche Sicherheitskontrollen, mit denen Sie die zugrunde liegenden Daten schützen und Analyseregeln erzwingen können, die der Dateninhaber definiert.

Im Folgenden sind die wichtigsten Anwendungsfälle aufgeführt:

  • Kampagnenplanung und Zielgruppeninformationen: Zwei Parteien (z. B. Verkäufer und Käufer) können eigene Daten kombinieren und die Datenanreicherung auf datenschutzkonforme Weise verbessern.
  • Analyse und Attribution Gleichen Sie Kunden- und Medienleistungsdaten ab, um die Effektivität Ihrer Marketingmaßnahmen besser nachzuvollziehen und fundiertere Geschäftsentscheidungen zu treffen.
  • Aktivierung Kombinieren Sie Kundendaten mit Daten anderer Anbieter, um das Kundenverhalten zu erweitern und so bessere Segmentierungsfunktionen und eine effektivere Medienaktivierung zu ermöglichen.

Neben der Marketingbranche gibt es auch weitere Anwendungsfälle für Data-Clean-Rooms:

  • Einzelhandel und Verbrauchsgüter Optimieren Sie Marketing- und Werbeaktivitäten, indem Sie Kassendaten von Einzelhändlern und Marketingdaten von Verbrauchsgüterunternehmen kombinieren.
  • Finanzdienstleistungen Verbessern Sie die Betrugserkennung, indem Sie sensible Daten von anderen Finanz- und Regierungsbehörden kombinieren. Erstellen Sie eine Kreditrisikobewertung, indem Sie Kundendaten aus mehreren Banken zusammenfassen.
  • Gesundheitswesen Daten zwischen Ärzten und Pharmaforschern austauschen, um zu erfahren, wie Patienten auf Behandlungen reagieren.
  • Lieferkette, Logistik und Transport Kombinieren Sie Daten von Lieferanten und Werbetreibenden, um ein vollständiges Bild der Leistung der Produkte während ihres gesamten Lebenszyklus zu erhalten.

Rollen

Es gibt drei Hauptrollen für BigQuery Data-Clean-Rooms:

  • Inhaber eines Data-Clean-Rooms: Ein Nutzer, der die Berechtigungen, Sichtbarkeit und Mitgliedschaft eines oder mehrerer Data-Clean-Rooms in einem Projekt verwaltet. Diese Rolle ist analog zum Analytics Hub Administrator.
  • Daten-Mitwirkender: Ein Nutzer, der vom Inhaber des Data-Clean-Rooms zugewiesen wurde, um Daten in einem Data-Clean-Room zu veröffentlichen. In vielen Fällen ist ein Inhaber eines Data-Clean-Rooms auch ein Mitwirkender. Diese Rolle entspricht dem Analytics Hub Publisher.
  • Abonnent: Ein Nutzer, der vom Inhaber des Data-Clean-Rooms zugewiesen wurde, um die in einem Data-Clean-Room veröffentlichten Daten zu abonnieren, damit er Abfragen der Daten ausführen kann. Diese Rolle entspricht einer Kombination aus Analytics Hub-Abonnent und Inhaber des Analytics Hub-Abos. Abonnenten müssen Angebote mit On-Demand-Preisen oder Enterprise Plus haben.

Architektur

BigQuery Data-Clean-Rooms basieren auf einem Modell zum Veröffentlichen und Abonnieren von BigQuery-Daten. Die BigQuery-Architektur bietet eine Trennung zwischen Computing und Speicher. So können Daten-Mitwirkende Daten freigeben, ohne mehrere Kopien der Daten erstellen zu müssen. Die folgende Abbildung bietet einen Überblick über die Architektur des BigQuery Data-Clean-Rooms:

Daten-Mitwirkende veröffentlichen im Data-Clean-Room Daten, die Abonnenten mit Datenschutzfiltern abfragen können.

Data-Clean-Room

Ein Data-Clean-Room ist eine Umgebung für die gemeinsame Nutzung sensibler Daten, in der der Rohzugriff verhindert und Abfrageeinschränkungen erzwungen werden. Nur Nutzer oder Gruppen, die in einem Data-Clean-Room als Abonnenten hinzugefügt werden, können die freigegebenen Daten abonnieren. Inhaber von Data-Clean-Rooms können in Analytics Hub beliebig viele Data-Clean-Rooms erstellen.

Freigegebene Ressourcen

Eine freigegebene Ressource ist die Einheit der Datenfreigabe in einem Data-Clean-Room. Die Ressource muss eine BigQuery-Tabelle oder -Ansicht sein. Als Datenbeitragende erstellen Sie in Ihrem Projekt eine BigQuery-Ressource oder verwenden eine vorhandene BigQuery-Ressource, die Sie mit Ihren Abonnenten teilen möchten.

Einträge

Ein Eintrag wird erstellt, wenn ein Dateninhaber einem Data-Clean-Room Daten hinzufügt. Es enthält einen Verweis auf die freigegebene Ressource des Datenbeitragenden sowie beschreibende Informationen, die Abonnenten bei der Nutzung der Daten helfen. Als Mitwirkender können Sie einen Eintrag erstellen und Informationen wie eine Beschreibung, Beispielabfragen und Links zur Dokumentation für Ihre Abonnenten hinzufügen.

Verknüpfte Datasets

Ein verknüpftes Dataset ist ein schreibgeschütztes BigQuery-Dataset, das als symbolische Verknüpfung zu allen Daten in einem Data-Clean-Room dient. Wenn Abonnenten Ressourcen in einem verknüpften Dataset abfragen, werden Daten aus den gemeinsam genutzten Ressourcen zurückgegeben, die den Analyseregeln des Datenerstellers entsprechen. Als Abonnent wird ein verknüpftes Dataset in Ihrem Projekt erstellt, wenn Sie einen Data-Clean-Room abonnieren. Dabei wird keine Kopie der Daten erstellt und Abonnenten können bestimmte Metadaten wie Ansichtsdefinitionen nicht sehen.

Analyseregeln

Als Datenbeitragender konfigurieren Sie Analyseregeln für die Ressourcen, die Sie im Data-Clean-Room freigeben. Analyseregeln verhindern den Rohzugriff auf zugrunde liegende Daten und erzwingen Abfrageeinschränkungen. Beispielsweise unterstützen Daten-Clean-Rooms die Analyseregel für den Aggregationsschwellenwert, mit der Abonnenten Daten nur über Aggregationsabfragen analysieren können.

Einstellungen für ausgehenden Datentraffic

Steuerelemente für ausgehenden Datentraffic sind automatisch aktiviert, um zu verhindern, dass Abonnenten Rohdaten aus einem Data-Clean-Room kopieren und exportieren. Daten-Mitwirkende können zusätzliche Kontrollen konfigurieren, um das Kopieren und Exportieren von Abfrageergebnissen zu verhindern, die von den Abonnenten abgerufen werden.

Beschränkungen

Für BigQuery Data-Clean-Rooms gelten die folgenden Beschränkungen:

  • Sie können Analyseregeln nur für Ansichten festlegen, nicht für Tabellen oder materialisierte Ansichten. Aufgrund dieser Einschränkung hat ein Mitwirkender Tabellen oder materialisierte Ansichten (oder Ansichten ohne Analyseregeln) direkt in einem Data-Clean-Room, dann haben Abonnenten Rohzugriff auf die Daten in diesen Ressourcen.
  • Da die Data-Clean-Rooms auf der Analytics Hub-Plattform basieren, gelten alle Einschränkungen für Analytics Hub.
  • Data-Clean-Rooms sind nur in Analytics Hub-Regionen verfügbar.
  • Als Abonnent können Sie nicht nach freigegebenen Ressourcen in Dataplex oder Data Catalog suchen.
  • Als Abonnent können Sie keine INFORMATION_SCHEMA-Ansichten für verknüpfte Datasets abfragen.
  • Als Datenbeitragende können Sie ein ganzes Dataset nicht direkt in einem Data-Clean-Room veröffentlichen.
  • Als Datenbeitragender können Sie keine Modelle oder Routinen in einem Data-Clean-Room veröffentlichen.
  • Sie können einem Data-Clean-Room maximal 100 freigegebene Ressourcen hinzufügen. Wenn Sie dieses Limit erhöhen möchten, wenden Sie sich an bq-dcr-feedback@google.com.

Hinweise

Weisen Sie IAM-Rollen (Identity and Access Management) zu, die Nutzern die erforderlichen Berechtigungen zum Ausführen der einzelnen Aufgaben in diesem Dokument gewähren, die Analytics Hub API aktivieren und dem Data-Clean-Room die Rolle „Analytics Hub-Administrator“ zuweisen Inhaber (der Nutzer, der den Data-Clean-Room erstellt).

Erforderliche Berechtigungen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle BigQuery-Data Editor (roles/bigquery.dataEditor) zuzuweisen, um die Berechtigungen zu erhalten, die Sie für die Verwendung von Data-Clean-Rooms benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierte Rolle enthält die Berechtigungen, die zum Verwenden von Data-Clean-Rooms erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind für die Verwendung von Data-Clean-Rooms erforderlich:

  • serviceUsage.services.get
  • serviceUsage.services.list
  • serviceUsage.services.enable

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Weitere Informationen zu IAM-Rollen und Berechtigungen in BigQuery finden Sie unter Einführung in IAM.

Analytics Hub API aktivieren

Wählen Sie eine der folgenden Optionen aus, um die Analytics Hub API zu aktivieren:

Console

Öffnen Sie die Analytics Hub API-Seite für Ihr Google Cloud-Projekt und aktivieren Sie sie.

Analytics Hub API aktivieren

bq

Führen Sie den Befehl gcloud services enable aus:

gcloud services enable analyticshub.googleapis.com

Nachdem Sie die Analytics Hub API aktiviert haben, können Sie auf die Analytics Hub-Seite zugreifen.

Rolle „Analytics Hub-Administrator“ zuweisen

Der Inhaber des Data-Clean-Rooms muss die Rolle „Analytics Hub-Administrator“ (roles/analyticshub.admin) haben. Informationen zum Zuweisen dieser Rolle an andere Nutzer finden Sie unter Analytics Hub-Administratoren erstellen.

Workflows für Data-Clean-Rooms

Als Inhaber eines Data-Clean-Rooms können Sie Folgendes tun:

  • Erstellen Sie einen Data-Clean-Rooms.
  • Aktualisieren Sie die Attribute des Data-Clean-Rooms.
  • Löschen Sie einen Data-Clean-Room.
  • Mitwirkende verwalten
  • Abonnenten verwalten
  • Teilen Sie einen Data-Clean-Room.

Zusätzliche Berechtigungen für Inhaber von Data-Clean-Rooms

Sie benötigen die Rolle „Analytics Hub-Administrator“ (roles/analyticshub.admin) für Ihr Projekt, um Aufgaben des Eigentümers des Data-Clean-Rooms auszuführen. Diese Rolle kann gegebenenfalls auch auf Ordner- oder Organisationsebene zugewiesen werden.

Data-Clean-Room erstellen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Analytics-Hub auf.

    Zum Analytics Hub

  2. Klicken Sie auf Data-Clean-Room erstellen.

  3. Wählen Sie als Projekt das Projekt für den Data-Clean-Room aus. Die Analytics Hub API muss für das Projekt aktiviert sein.

  4. Geben Sie Speicherort, Name, primärer Kontakt, Symbol (optional) und Beschreibung für den Data-Clean-Room an. Nur Ressourcen, die sich in derselben Region wie der Data-Clean-Room befinden, können im Data-Clean-Room aufgelistet werden.

  5. Klicken Sie auf Data-Clean-Room erstellen.

  6. Optional: Fügen Sie im Abschnitt Berechtigungen für Data-Clean-Room andere Inhaber von Data-Clean-Rooms, Mitwirkende oder Abonnente hinzu.

    Bereich „Data-Clean-Room erstellen“.

API

Verwenden Sie die Methode projects.locations.dataExchanges.create und legen Sie die Freigabeumgebung auf dcrExchangeConfig fest.

Das folgende Beispiel zeigt, wie die Methode projects.locations.dataExchanges.create mit dem Befehl curl aufgerufen wird:

  curl -H "Authorization: Bearer $(gcloud auth print-access-token)" -H "Content-Type: application/json" -L -X POST https://analyticshub.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/dataExchanges?data_exchange_id=CLEAN_ROOM_ID -d
  '{
    display_name: "CLEAN_ROOM_NAME",
    sharing_environment_config: {dcr_exchange_config: {}}
  }'

Ersetzen Sie Folgendes:

  • PROJECT_ID: Ihre Projekt-ID.
  • LOCATION: den Standort des Data-Clean-Rooms
  • CLEAN_ROOM_ID: Ihre Data-Clean-Room-ID
  • CLEAN_ROOM_NAME: der Anzeigename Ihres Data-Clean-Rooms

Data-Clean-Room aktualisieren

Console

  1. Rufen Sie in der Google Cloud Console die Seite Analytics-Hub auf.

    Zum Analytics Hub

  2. Klicken Sie auf den Anzeigenamen des Data-Clean-Rooms, den Sie aktualisieren möchten.

  3. Klicken Sie auf dem Tab Details auf Details des Data-Clean-Rooms bearbeiten.

  4. Aktualisieren Sie nach Bedarf den Namen, den primären Kontakt, das Symbol oder die Beschreibung des Data-Clean-Rooms.

  5. Klicken Sie auf Speichern.

API

Verwenden Sie die Methode projects.locations.dataExchanges.patch und legen Sie die Freigabeumgebung auf dcrExchangeConfig fest.

Das folgende Beispiel zeigt, wie die Methode projects.locations.dataExchanges.patch mit dem Befehl curl aufgerufen wird:

curl -H "Authorization: Bearer $(gcloud auth print-access-token)" -H "Content-Type: application/json" -L -X PATCH https://analyticshub.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/dataExchanges/data_exchange_id=CLEAN_ROOM_ID?updateMask=displayName -d
'{
  display_name: "CLEAN_ROOM_NAME",
  sharing_environment_config: {dcr_exchange_config: {}}
}'

Ersetzen Sie Folgendes:

  • PROJECT_ID: Ihre Projekt-ID.
  • LOCATION: den Standort des Data-Clean-Rooms
  • CLEAN_ROOM_ID: Ihre Data-Clean-Room-ID
  • CLEAN_ROOM_NAME: der Anzeigename Ihres Data-Clean-Rooms

Data-Clean-Room löschen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Analytics-Hub auf.

    Zum Analytics Hub

  2. Klicken Sie in der Zeile des Data-Clean-Rooms, der gelöscht werden soll, auf Weitere Aktionen > Löschen.

  3. Geben Sie zur Bestätigung delete ein und klicken Sie dann auf Löschen. Sie können die Aktion nicht rückgängig machen.

API

Verwenden Sie die Methode projects.locations.dataExchanges.delete und legen Sie die Freigabeumgebung auf dcrExchangeConfig fest.

Das folgende Beispiel zeigt, wie die Methode projects.locations.dataExchanges.delete mit dem Befehl curl aufgerufen wird:

curl -H "Authorization: Bearer $(gcloud auth print-access-token)" -H "Content-Type: application/json" -L -X DELETE https://analyticshub.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/dataExchanges?data_exchange_id=CLEAN_ROOM_ID

Ersetzen Sie Folgendes:

  • PROJECT_ID: Ihre Projekt-ID.
  • LOCATION: den Standort des Data-Clean-Rooms
  • CLEAN_ROOM_ID: Ihre Data-Clean-Room-ID
  • CLEAN_ROOM_NAME: der Anzeigename Ihres Data-Clean-Rooms

Wenn Sie einen Data-Clean-Room löschen, werden alle darin enthaltenen Einträge gelöscht. Die freigegebenen Ressourcen und verknüpften Datasets werden jedoch nicht gelöscht. Die Verknüpfung der Datasets mit den Quell-Datasets wird aufgehoben. Daher schlägt das Abfragen von Ressourcen im Data-Clean-Room bei Abonnenten fehl.

Daten-Mitwirkende verwalten

Als Inhaber eines Data-Clean-Rooms verwalten Sie, welche Nutzer, also Ihre Mitwirkenden, Ihren Data-Clean-Rooms Daten hinzufügen können. Damit ein Nutzer einem Data-Clean-Room Daten hinzufügen kann, müssen Sie ihm für einen bestimmten Data-Clean-Room die Rolle „Analytics Hub-Publisher“ (roles/analyticshub.publisher) zuweisen:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Analytics-Hub auf.

    Zum Analytics Hub

  2. Klicken Sie auf den Anzeigenamen des Data-Clean-Rooms, dem Sie Berechtigungen erteilen möchten.

  3. Klicken Sie im Tab Details auf Berechtigungen festlegen.

  4. Klicken Sie auf Hauptkonto hinzufügen.

  5. Geben Sie unter Neue Hauptkonten die Nutzernamen oder E-Mail-Adressen der Mitwirkenden ein, die Sie hinzufügen.

  6. Wählen Sie unter Rolle auswählen die Option Analytics Hub > Analytics Hub-Publisher aus.

  7. Klicken Sie auf Speichern.

Sie können Mitwirkende jederzeit löschen und aktualisieren, indem Sie auf Berechtigungen festlegen klicken.

API

Verwenden Sie die Methode projects.locations.dataExchanges.setIamPolicy:

Das folgende Beispiel zeigt, wie die Methode projects.locations.dataExchanges.setIamPolicy mit dem Befehl curl aufgerufen wird:

curl -H "Authorization: Bearer $(gcloud auth print-access-token)" -H "Content-Type: application/json" -L -X POST https://analyticshub.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/dataExchanges/data_exchange_id=CLEAN_ROOM_ID:setIamPolicy -d
'{
  "policy": {
    "bindings": [
      {
        "members": [
          "my-service-account@my-project.iam.gserviceaccount.com"
        ],
        "role": "roles/analyticshub.publisher"
      }
    ]
  }
}'

Die Richtlinie im Anfragetext muss der Struktur einer Richtlinie entsprechen.

Sie können die Rolle „Analytics Hub-Publisher“ für ein gesamtes Projekt über die Seite „IAM“ zuweisen, wodurch ein Nutzer die Berechtigung erhält, Daten zu jedem Data-Clean-Room in einem Projekt hinzuzufügen. Wir raten jedoch davon ab, da dies dazu führen kann, dass Nutzer zu umfassende Berechtigungen haben.

Abonnenten verwalten

Als Inhaber eines Data-Clean-Room verwalten Sie, welche Nutzer Ihre Data-Clean-Rooms (Ihre Abonnenten) abonnieren können. Damit ein Nutzer einen Data-Clean-Room abonnieren kann, weisen Sie ihm die Rollen Analytics Hub-Abonnent (roles/analyticshub.subscriber) und Analytics Hub-Abo-Inhaber (roles/analyticshub.subscriptionOwner) in einem bestimmten Data-Clean-Room zu:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Analytics-Hub auf.

    Zum Analytics Hub

  2. Klicken Sie auf den Anzeigenamen des Data-Clean-Rooms, dem Sie Berechtigungen erteilen möchten.

  3. Klicken Sie im Tab Details auf Berechtigungen festlegen.

  4. Klicken Sie auf Hauptkonto hinzufügen.

  5. Geben Sie unter Neue Hauptkonten die Nutzernamen oder E-Mail-Adressen der Abonnenten ein, die Sie hinzufügen.

  6. Wählen Sie unter Rolle auswählen die Option Analytics Hub > Analytics Hub-Abonnent aus.

  7. Klicken Sie auf Weitere Rolle hinzufügen.

  8. Wählen Sie unter Rolle auswählen die Option Analytics Hub > Analytics Hub-Aboinhaber aus.

  9. Klicken Sie auf Speichern.

Sie können Abonnenten jederzeit löschen und aktualisieren, indem Sie auf Berechtigungen festlegen klicken.

API

Verwenden Sie die Methode projects.locations.dataExchanges.setIamPolicy:

Das folgende Beispiel zeigt, wie die Methode projects.locations.dataExchanges.setIamPolicy mit dem Befehl curl aufgerufen wird:

curl -H "Authorization: Bearer $(gcloud auth print-access-token)" -H "Content-Type: application/json" -L -X POST https://analyticshub.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/dataExchanges/data_exchange_id=CLEAN_ROOM_ID:setIamPolicy -d
'{
  "policy": {
    "bindings": [
      {
        "members": [
          "user:mike@example.com"
        ],
        "role": "roles/analyticshub.subscriptionOwner"
      },
      {
        "members": [
          "user:mike@example.com"
        ],
        "role": "roles/analyticshub.subscriber"
      }
    ]
  }
}'

Die Richtlinie im Anfragetext muss der Struktur einer Richtlinie entsprechen.

Sie können die Rollen „Analytics Hub-Abonnent“ und „Analytics Hub-Aboinhaber“ für ein ganzes Projekt auf der IAM-Seite zuweisen. Dadurch erhält ein Nutzer die Berechtigung, jeden Data-Clean-Room in einem Projekt zu abonnieren. Wir raten jedoch davon ab, da dies dazu führen kann, dass Nutzer zu umfassende Berechtigungen haben.

Einen Data-Clean-Room freigeben

Sie können einen Data-Clean-Room direkt für Abonnenten freigeben:

  1. Rufen Sie in der Google Cloud Console die Seite Analytics-Hub auf.

    Zum Analytics Hub

  2. Klicken Sie in der Zeile des Data-Clean-Rooms, in dem Sie Daten teilen möchten, auf Weitere Aktionen > Link zum Teilen kopieren.

  3. Geben Sie den kopierten Link für Abonnenten frei, damit sie den Data-Clean-Room aufrufen und abonnieren können.

Workflows des Daten-Mitwirkenden

Als Mitwirkender können Sie Folgendes tun:

  • Fügen Sie einem Data-Clean-Room Daten hinzu, indem Sie einen Eintrag erstellen.
  • Einen Eintrag aktualisieren
  • Einen Eintrag löschen
  • Einen Data-Clean-Room teilen.
  • Überwachen Sie Einträge.

Zusätzliche Berechtigungen für Daten-Mitwirkende

Zum Ausführen von Aufgaben von Daten-Mitwirkenden benötigen Sie die Rolle „Analytics Hub-Publisher“ (roles/analyticshub.publisher) für einen Data-Clean-Room.

Darüber hinaus benötigen Sie die Berechtigung bigquery.datasets.link für die Datasets, die die Ressourcen enthalten, die Sie in einem Data-Clean-Room auflisten möchten. Sie benötigen außerdem die Berechtigung resourcemanager.organization.get, wenn Sie Data-Clean-Rooms in Ihrer Organisation aufrufen möchten, die sich nicht in Ihrem aktuellen Projekt befinden.

Einen Eintrag erstellen (Daten hinzufügen)

So bereiten Sie Daten mit Analyseregeln vor und veröffentlichen sie in einem Data-Clean-Room als Eintrag:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Analytics-Hub auf.

    Zum Analytics Hub

  2. Klicken Sie auf den Anzeigenamen des Data-Clean-Rooms, in dem Sie einen Eintrag erstellen möchten.

    Wenn Sie sich in einer anderen Organisation als der Inhaber des Data-Clean-Rooms befinden und der Data-Clean-Room für Sie nicht sichtbar ist, bitten Sie den Inhaber des Data-Clean-Rooms um einen direkten Link.

  3. Klicken Sie auf Daten hinzufügen.

  4. Geben Sie unter Dataset auswählen und Tabellen-/Ansichtsname die Tabelle oder Ansicht ein, die Sie im Data-Clean-Room und im entsprechenden Dataset auflisten möchten. Sie fügen Analyseregeln hinzu, um in wenigen Schritten den Rohzugriff auf diese zugrunde liegenden Daten zu verhindern.

  5. Wählen Sie die Spalten der Ressource aus, die Sie veröffentlichen möchten.

  6. Legen Sie den Ansichtsnamen, den primären Kontakt und die Beschreibung (optional) für den Eintrag fest.

  7. Klicken Sie auf Weiter.

  8. Wählen Sie eine Analyseregel für Ihren Eintrag aus und konfigurieren Sie die Details.

  9. Legen Sie die Steuerelemente für ausgehenden Datenverkehr für den Eintrag fest.

  10. Klicken Sie auf Weiter.

  11. Prüfen Sie die Daten- und Analyseregel, die Sie dem Data-Clean-Room hinzufügen.

  12. Klicken Sie auf Daten hinzufügen. Eine Ansicht wird für Ihre Daten erstellt und dem Data-Clean-Room als Eintrag hinzugefügt. Die Quelltabelle oder -ansicht selbst wird nicht hinzugefügt.

API

Verwenden Sie die Methode projects.locations.dataExchanges.listings.create:

Das folgende Beispiel zeigt, wie die Methode projects.locations.dataExchanges.listings.create mit dem Befehl curl aufgerufen wird:

  curl -H "Authorization: Bearer $(gcloud auth print-access-token)" -H "Content-Type: application/json" -H 'x-goog-user-project:DCR_PROJECT_ID' -X POST https://analyticshub.googleapis.com/v1/projects/DCR_PROJECT_ID/locations/LOCATION/dataExchanges/data_exchange_id=CLEAN_ROOM_ID/listings?listingId=LISTING_ID -d
  '{"bigqueryDataset":{"dataset":"projects/PROJECT_ID/datasets/DATASET_ID","selectedResources":[{"table":"projects/PROJECT_ID/datasets/DATASET_ID/tables/VIEW_ID"}],},"displayName":LISTING_NAME"}'

Ersetzen Sie Folgendes:

  • DCR_PROJECT_ID: die Projekt-ID des Projekts, in dem der Data-Clean-Room erstellt wurde
  • PROJECT_ID: die Projekt-ID des Projekts, in dem sich das Quell-Dataset befand
  • DATASET_ID: die ID des Quell-Datasets
  • LOCATION: den Standort des Data-Clean-Rooms
  • CLEAN_ROOM_ID: Ihre Data-Clean-Room-ID
  • LISTING_ID: Ihre Eintrags-ID
  • LISTING_NAME: Name Ihres Eintrags
  • VIEW_ID: Ihre Datenansicht-ID. Die Ansicht, die Sie einem Data-Clean-Room hinzufügen, muss eine autorisierte Ansicht sein, die mit Analyseregeln konfiguriert ist.

Wenn Sie eine Ressource in einem Data-Clean-Room auflisten, gewähren Sie allen aktuellen und zukünftigen Abonnenten des Data-Clean-Rooms Zugriff auf die Daten in Ihrer freigegebenen Ressource.

Wenn Sie versuchen, einen Eintrag mit einer freigegebenen Ressource zu erstellen, die keine Analyseregel hat, wird Ihnen eine Warnung angezeigt, dass Abonnenten auf die Rohdaten für diese Ressource zugreifen können. Wenn Sie bestätigen, dass Sie diese Ressourcen freiwillig ohne Analyseregeln veröffentlichen, können Sie den Eintrag trotzdem erstellen.

Wenn der Fehler Failed to save listing angezeigt wird, prüfen Sie, ob Sie die erforderlichen Berechtigungen zum Ausführen von Daten-Mitwirkenden-Aufgaben haben.

Eintrag aktualisieren

Console

  1. Rufen Sie in der Google Cloud Console die Seite Analytics-Hub auf.

    Zum Analytics Hub

  2. Klicken Sie auf den Anzeigenamen des Data-Clean-Rooms, der den Eintrag enthält.

  3. Klicken Sie in der Zeile des Eintrags, den Sie aktualisieren möchten, auf Weitere Aktionen > Eintrag bearbeiten.

  4. Aktualisieren Sie den primären Kontakt oder die Beschreibung nach Bedarf.

  5. Klicken Sie auf Weiter.

  6. Aktualisieren Sie die Analyseregel nach Bedarf. Sie können nur die Parameter der ausgewählten Regel aktualisieren. Sie können nicht zu einer anderen Regel wechseln.

  7. Klicken Sie auf Weiter.

  8. Prüfen Sie den Eintrag und klicken Sie auf Daten hinzufügen.

API

Verwenden Sie die Methode projects.locations.dataExchanges.listings.patch:

Das folgende Beispiel zeigt, wie die Methode projects.locations.dataExchanges.listings.patch mit dem Befehl curl aufgerufen wird:

curl -H "Authorization: Bearer $(gcloud auth print-access-token)" -H "Content-Type: application/json" -H 'x-goog-user-project:DCR_PROJECT_ID' -X PATCH https://analyticshub.googleapis.com/v1/projects/DCR_PROJECT_ID/locations/LOCATION/dataExchanges/data_exchange_id=CLEAN_ROOM_ID/listings/listingId=LISTING_ID?updateMask=displayName -d
'{"displayName":LISTING_NAME"}'

Ersetzen Sie Folgendes:

  • DCR_PROJECT_ID: die Projekt-ID des Projekts, in dem der Reinraum erstellt wurde
  • LOCATION: den Standort des Data-Clean-Rooms
  • CLEAN_ROOM_ID: Ihre Data-Clean-Room-ID
  • LISTING_ID: Ihre Eintrags-ID
  • LISTING_NAME: Name Ihres Eintrags

Sie können die Quellressource oder die Steuerelemente für ausgehenden Traffic für einen Eintrag nach der Erstellung nicht mehr ändern.

Eintrag löschen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Analytics-Hub auf.

    Zum Analytics Hub

  2. Klicken Sie auf den Anzeigenamen des Data-Clean-Rooms, der den Eintrag enthält.

  3. Klicken Sie in der Zeile des Eintrags, den Sie löschen möchten, auf Weitere Aktionen > Einträge löschen.

  4. Geben Sie zur Bestätigung delete ein und klicken Sie dann auf Löschen. Diese Aktion kann nicht rückgängig gemacht werden.

API

Verwenden Sie die Methode projects.locations.dataExchanges.listings.delete:

Das folgende Beispiel zeigt, wie die Methode projects.locations.dataExchanges.listings.delete mit dem Befehl curl aufgerufen wird:

curl -H "Authorization: Bearer $(gcloud auth print-access-token)" -H "Content-Type: application/json" -H 'x-goog-user-project:DCR_PROJECT_ID' -X DELETE https://analyticshub.googleapis.com/v1/projects/DCR_PROJECT_ID/locations/LOCATION/dataExchanges/data_exchange_id=CLEAN_ROOM_ID/listings?listingId=LISTING_ID

Ersetzen Sie Folgendes:

  • DCR_PROJECT_ID: die Projekt-ID des Projekts, in dem der Reinraum erstellt wurde
  • LOCATION: den Standort des Data-Clean-Rooms
  • CLEAN_ROOM_ID: Ihre Data-Clean-Room-ID
  • LISTING_ID: Ihre Eintrags-ID

Wenn Sie einen Eintrag löschen, werden die freigegebenen Ressourcen und verknüpften Datasets nicht gelöscht. Die Verknüpfung der verknüpften Datasets mit den Quell-Datasets ist daher nicht mehr möglich. Daher schlägt das Abfragen von Daten in dieser Auflistung für Abonnenten fehl.

Einen Data-Clean-Room freigeben

Sie können einen Data-Clean-Room direkt für Abonnenten freigeben:

  1. Rufen Sie in der Google Cloud Console die Seite Analytics-Hub auf.

    Zum Analytics Hub

  2. Klicken Sie in der Zeile des Data-Clean-Rooms, in dem Sie Daten teilen möchten, auf Weitere Aktionen > Link zum Teilen kopieren.

  3. Geben Sie den kopierten Link für Abonnenten frei, damit sie den Data-Clean-Room aufrufen und abonnieren können.

Einträge überwachen

Sie können die Nutzungsmesswerte für die Quell-Datasets der Ressourcen aufrufen, die Sie in einem Data-Clean-Room freigeben. Fragen Sie dazu die Ansicht INFORMATION_SCHEMA.SHARED_DATASET_USAGE ab.

So rufen Sie die Abonnenten Ihres Eintrags auf:

  1. Rufen Sie in der Google Cloud Console die Seite Analytics-Hub auf.

    Zum Analytics Hub

  2. Klicken Sie auf den Anzeigenamen des Data-Clean-Rooms.

  3. Klicken Sie in der Zeile eines Eintrags, den Sie sich ansehen möchten, auf Weitere Aktionen > Abos ansehen.

Abonnenten-Workflows

Ein Abonnent kann einen Data-Clean-Room ansehen und abonnieren. Wenn Sie einen Data-Clean-Room abonnieren, wird ein verknüpftes Dataset im Projekt des Abonnenten erstellt. Jedes verknüpfte Dataset hat den gleichen Namen wie der Data-Clean-Room.

Sie können einen bestimmten Eintrag in einem Data-Clean-Room nicht abonnieren. Sie können den Data-Clean-Room nur abonnieren.

Zusätzliche Abonnentenberechtigungen

Sie benötigen den Analytics Hub-Abonnenten (roles/analyticshub.subscriber) und den Analytics Hub-Abo-Inhaber (roles/analyticshub.subscriptionOwner) in einem Data-Clean-Room, um Abonnentenaufgaben auszuführen.

Darüber hinaus benötigen Sie die Berechtigung bigquery.datasets.create in einem Projekt, um ein verknüpftes Dataset zu erstellen, wenn Sie einen Data-Clean-Room abonnieren.

Einen Data-Clean-Room abonnieren

Wenn Sie einen Data-Clean-Room abonnieren, erhalten Sie Zugriff auf die Daten in den Einträgen, indem Sie in Ihrem Projekt ein verknüpftes Dataset erstellen. So abonnieren Sie einen Data-Clean-Room:

Console

  1. Öffnen Sie in der Google Cloud Console die Seite BigQuery.

    BigQuery aufrufen

  2. Klicken Sie im Bereich Explorer auf Hinzufügen.

  3. Wählen Sie Analytics Hub aus. Eine Discovery-Seite wird geöffnet.

  4. Wählen Sie in der Liste der Filter die Option Data-Clean-Rooms aus, um die Data-Clean-Rooms anzuzeigen, auf die Sie Zugriff haben.

  5. Klicken Sie auf den Data-Clean-Room, die Sie abonnieren möchten. Es wird eine Beschreibung des Data-Clean-Rooms geöffnet.

  6. Klicken Sie auf Abonnieren.

  7. Wählen Sie das Zielprojekt für das Abo aus und klicken Sie auf Abonnieren.

API

Verwenden Sie die Methode projects.locations.dataExchanges.subscribe:

Das folgende Beispiel zeigt, wie die Methode projects.locations.dataExchanges.subscribe mit dem Befehl curl aufgerufen wird:

  curl -H "Authorization: Bearer $(gcloud auth print-access-token)" -H "Content-Type: application/json" -L -X POST https://analyticshub.googleapis.com/v1/projects/DCR_PROJECT_ID/locations/LOCATION/dataExchanges/CLEAN_ROOM_ID:subscribe  --data '{"destination":"projects/SUBSCRIBER_PROJECT_ID/locations/LOCATION","subscription":"SUBSCRIPTION"}'

Ersetzen Sie Folgendes:

  • DCR_PROJECT_ID: die Projekt-ID des Projekts, in dem der Reinraum erstellt wurde
  • SUBSCRIBER_PROJECT_ID: die Projekt-ID des Abonnentenprojekts
  • LOCATION: den Standort des Data-Clean-Rooms
  • CLEAN_ROOM_ID: Ihre Data-Clean-Room-ID
  • SUBSCRIPTION: der Name Ihres Abos

Dem von Ihnen angegebenen Projekt wird nun ein verknüpftes Dataset hinzugefügt, das abgefragt werden kann.

Als Abonnent können Sie einige Metadaten Ihrer verknüpften Datasets bearbeiten, z. B. Beschreibung und Labels. Sie können auch Berechtigungen für Ihre verknüpften Datasets festlegen. Änderungen an verknüpften Datasets wirken sich jedoch nicht auf die Quell-Datasets aus. Sie können auch keine Ansichtsdefinitionen sehen.

Ressourcen, die in verknüpften Datasets enthalten sind, sind schreibgeschützt. Als Abonnent können Sie keine Daten oder Metadaten für Ressourcen in verknüpften Datasets bearbeiten. Sie können auch keine Berechtigungen für einzelne Ressourcen im verknüpften Dataset festlegen.

Wenn Sie sich vom Data-Clean-Room abmelden möchten, löschen Sie das verknüpfte Dataset.

Daten in einem verknüpften Dataset abfragen

Verwenden Sie zum Abfragen von Daten in einem verknüpften Dataset die SELECT WITH AGGREGATION_THRESHOLD-Syntax. Damit können Sie Abfragen in Ansichten ausführen, die durch Analyseregeln erzwungen werden. Ein Beispiel für diese Syntax finden Sie unter Analyseregel für Aggregationsschwellenwerte abfragen.

Beispielszenario: Attributionsanalyse für Werbetreibende und Publisher

Ein Werbetreibender möchte die Effektivität seiner Marketingkampagnen erfassen. Der Werbetreibende verfügt über selbst erhobene Daten zu seinen Kunden, einschließlich Bestellverlauf, demografischer Merkmale und Interessen. Der Publisher hat Daten von seiner Website, z. B. welche Anzeigen den Besuchern präsentiert wurden und welche Conversions erzielt wurden.

Der Werbetreibende und der Publisher vereinbaren, einen Data-Clean-Room zu verwenden, um Daten zu kombinieren und die Ergebnisse ihrer Kampagnen zu messen. In diesem Fall erstellt der Publisher den Data-Clean-Room und stellt seine Daten dem Werbetreibenden für die Analyse zur Verfügung. Das Ergebnis ist ein Attributionsbericht, der dem Werbetreibenden zeigt, welche Anzeigen am effektivsten zum Umsatz geführt haben. Der Werbetreibende kann diese Informationen dann nutzen, um seine zukünftigen Marketingkampagnen zu verbessern.

Der Werbetreibende und der Publisher orchestrieren den BigQuery-Data-Clean-Room auf folgende Weise:

Data-Clean-Room erstellen (Publisher)

  1. Ein Inhaber eines Data-Clean-Rooms in der Publisher-Organisation aktiviert die Analytics Hub API in seinem BigQuery-Projekt und weist Nutzer A die Rolle des Inhabers des Data-Clean-Rooms zu (Analytics Hub-Administrator).
  2. Nutzer A erstellt einen Data-Clean-Room mit dem Namen Campaign Analysis und weist die folgenden Berechtigungen zu:
    • Daten-Mitwirkender (Analytics Hub-Publisher): Nutzer B, Data Engineer in der Publisher-Organisation.
    • Abonnent (Analytics Hub-Abonnent und Abo-Inhaber): Nutzer C, Marketinganalyst in der Werbetreibendenorganisation.

Daten zum Data-Clean-Room hinzufügen (Publisher)

  1. Nutzer B erstellt im Data-Clean-Room einen neuen Eintrag mit dem Namen Publisher Conversion Data. Im Rahmen der Erstellung der Auflistung wird eine neue Ansicht mit Analyseregeln erstellt.

Data-Clean-Room abonnieren (Werbetreibender)

  1. Nutzer C abonniert den Data-Clean-Room, was ein verknüpftes Dataset für alle Einträge im Data-Clean-Room erstellt, einschließlich des Eintrags Publisher Conversion Data.
  2. Nutzer C kann jetzt Aggregationsabfragen ausführen, um die Daten aus diesem verknüpften Dataset mit seinen selbst erhobenen Daten zu kombinieren, um die Effektivität der Kampagne zu messen.

Entitätsauflösung

In Anwendungsfällen für den Data-Clean-Room müssen häufig Entitäten über Datasets von Daten-Mitwirkenden und Abonnenten hinweg verknüpft werden, die keine gemeinsame Kennzeichnung haben. Abonnenten und Daten-Mitwirkende können dieselben Datensätze in mehreren Datasets unterschiedlich darstellen, entweder weil Datasets aus verschiedenen Datenquellen stammen oder weil Datasets Kennzeichnungen aus verschiedenen Namespaces verwenden.

Im Rahmen der Datenvorbereitung tut die Entitätsauflösung in BigQuery Folgendes:

  • Für Daten-Mitwirkende werden Datensätze in ihren freigegebenen Ressourcen mithilfe von Kennungen eines gemeinsamen Anbieters ihrer Wahl dedupliziert und aufgelöst. Durch diesen Prozess werden Joins über Mitwirkende hinweg ermöglicht.
  • Für Abonnenten werden Daten in eigenen Datasets dedupliziert und aufgelöst und Entitäten sind in Datasets von Daten-Mitwirkenden verknüpft. Dieser Prozess ermöglicht Joins zwischen Daten von Abonnenten und Daten-Mitwirkenden.

Informationen zum Einrichten der Entitätsauflösung mit dem Identitätsanbieter Ihrer Wahl finden Sie unter Entitätsauflösung in BigQuery konfigurieren und verwenden.

Assets von Data-Clean-Rooms entdecken

So finden Sie alle Data-Clean-Rooms, auf die Sie Zugriff haben:

  • Inhaber von Data-Clean-Rooms und Daten-Mitwirkende rufen Sie in der Google Cloud Console die Seite Analytics Hub auf.

    Zum Analytics Hub

    Alle Data-Clean-Rooms, auf die Sie zugreifen können, werden aufgelistet.

  • Führen Sie für Abonnenten folgende Schritte aus:

    1. Öffnen Sie in der Google Cloud Console die Seite BigQuery.

      BigQuery aufrufen

    2. Klicken Sie im Bereich Explorer auf Hinzufügen.

    3. Wählen Sie Analytics Hub aus. Eine Discovery-Seite wird geöffnet.

    4. Wählen Sie in der Liste der Filter die Option Data-Clean-Rooms aus, um die Data-Clean-Rooms anzuzeigen, auf die Sie Zugriff haben.

Führen Sie den folgenden Befehl in einer Befehlszeilenumgebung aus, um alle verknüpften Datasets zu finden, die von Data-Clean-Rooms in Ihrem Projekt erstellt wurden:

PROJECT=PROJECT_ID \
for dataset in $(bq ls --project_id $PROJECT | tail +3); \
do [ "$(bq show -d --project_id $PROJECT $dataset | egrep LINKED)" ] \
&& echo $dataset; done

Ersetzen Sie PROJECT_ID durch das Projekt, das die verknüpften Datasets enthält.

Preise

Daten-Mitwirkenden wird nur die Datenspeicherung in Rechnung gestellt. Abonnenten wird nur Computing (Analyse) in Rechnung gestellt, wenn sie Abfragen ausführen.

Abonnenten müssen Angebote mit On-Demand-Preisen oder Enterprise Plus haben.

Nächste Schritte