Utilizzo del supporto delle estensioni delegate di Amazon RDS per PostgreSQL - Amazon Relational Database Service
Supporto delle estensioni delegate per un utenteConfigurazione utilizzata nel supporto delle estensioni delegate RDSDisattivazione di questa funzionalitàVantaggi dell’utilizzo del supporto delle estensioni delegate di Amazon RDS Limitazione del supporto delle estensioni delegate di Amazon RDS per PostgreSQLAutorizzazioni necessarie per determinate estensioniConsiderazioni sulla sicurezzaDisabilitazione dell’eliminazione delle estensioni con l’opzione cascadeEstensioni di esempio con il supporto delle estensioni delegate

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo del supporto delle estensioni delegate di Amazon RDS per PostgreSQL

Utilizzando il supporto delle estensioni delegate di Amazon RDS per PostgreSQL, è possibile delegare la gestione delle estensioni a un utente che non deve essere un rds_superuser. Con questo supporto delle estensioni delegate, viene creato un nuovo ruolo denominato rds_extension che è necessario assegnare a un utente per gestire altre estensioni. Questo ruolo può creare, aggiornare ed eliminare estensioni.

È possibile specificare le estensioni che possono essere installate sull’istanza database RDS, elencandole nel parametro rds.allowed_extensions. Per ulteriori informazioni, consulta Utilizzo delle estensioni PostgreSQL con Amazon RDS per PostgreSQL.

È possibile limitare l’elenco delle estensioni disponibili che possono essere gestite dall’utente con il ruolo rds_extension utilizzando il parametro rds.allowed_delegated_extensions.

Il supporto delle estensioni delegate è disponibile nelle seguenti versioni:

  • Tutte le versioni successive

  • 16.4 e versioni successive alla 16

  • 15.8 e versioni successive alla 15

  • 14.13 e versioni successive alla 14

  • 13.16 e versioni successive alla 13

  • 12.20 e versioni successive alla 12

Attivazione del supporto delle estensioni delegate per un utente

È necessario eseguire le seguenti operazioni per abilitare il supporto delle estensioni delegate per un utente:

  1. Concedere il ruolo rds_extension a un utente: connettersi al database come rds_superuser ed esegui il seguente comando:

    Postgres => grant rds_extension to user_name;

  2. Impostare l’elenco delle estensioni disponibili per la gestione degli utenti delegati: rds.allowed_delegated_extensions consente di specificare un sottoinsieme delle estensioni disponibili utilizzando rds.allowed_extensions nel parametro del cluster di database. È possibile eseguire questa operazione a uno dei seguenti livelli:

    • Nel cluster o nel gruppo di parametri dell’istanza, tramite la AWS Management Console o l’API. Per ulteriori informazioni, consulta Gruppi di parametri per Amazon RDS.

    • Utilizzare il seguente comando a livello di database:

      alter database database_name set rds.allowed_delegated_extensions = 'extension_name_1,
                    extension_name_2,...extension_name_n';

    • Utilizzare il seguente comando a livello di utente:

      alter user user_name set rds.allowed_delegated_extensions = 'extension_name_1,
                    extension_name_2,...extension_name_n';
    Nota

    Non è necessario riavviare il database dopo aver modificato il parametro dinamico rds.allowed_delegated_extensions.

  3. Consentire l’accesso all’utente delegato agli oggetti creati durante il processo di creazione dell’estensione: alcune estensioni creano oggetti che richiedono la concessione di autorizzazioni aggiuntive prima che l’utente con il ruolo rds_extension possa accedervi. rds_superuser deve concedere all’utente delegato l’accesso a tali oggetti. Una delle opzioni consiste nell’utilizzare un trigger di evento per concedere automaticamente l’autorizzazione all’utente delegato. Per ulteriori informazioni, consulta l’esempio di trigger di evento in Disattivazione del supporto per l’estensione delegata.

Configurazione utilizzata nel supporto delle estensioni delegate RDS

Nome configurazione Descrizione Valore predefinito Note Chi può modificare o concedere l’autorizzazione

rds.allowed_delegated_extensions

Questo parametro limita le estensioni che un ruolo rds_extension può gestire in un database. Deve essere un sottoinsieme di rds.allowed_extensions.

stringa vuota

  • Per impostazione predefinita, questo parametro è una stringa vuota, il che significa che nessuna estensione è stata delegata agli utenti con rds_extension.

  • È possibile aggiungere qualsiasi estensione supportata se l’utente dispone dell’autorizzazione per farlo. A tale scopo, impostare il parametro rds.allowed_delegated_extensions su una stringa di nomi di estensione separati da virgole. L’aggiunta di un elenco di estensioni a questo parametro consente di identificare esplicitamente le estensioni che l’utente con il ruolo rds_extension può installare.

  • Se impostato su *, significa che tutte le estensioni elencate in rds_allowed_extensions sono delegate a utenti con il ruolo rds_extension.

Per ulteriori informazioni sulla configurazione di questo parametro, consulta Attivazione del supporto delle estensioni delegate per un utente.

rds_superuser

rds.allowed_extensions

Questo parametro consente all’utente di limitare le estensioni che possono essere installate nell’istanza database RDS. Per ulteriori informazioni, consulta Limitazione dell’installazione delle estensioni PostgreSQL.

"*"

Per impostazione predefinita, questo parametro è impostato su “*”, il che significa che tutte le estensioni supportate su RDS per PostgreSQL e Aurora PostgreSQL possono essere create da utenti con i privilegi necessari.

Vuoto significa che non è possibile installare estensioni nell’istanza database RDS.

administrator

rds-delegated_extension_allow_drop_cascade

Questo parametro controlla la possibilità per l’utente con rds_extension di eliminare l’estensione utilizzando un’opzione cascade.

off

Per impostazione predefinita, rds-delegated_extension_allow_drop_cascade è impostato su off. Ciò significa che gli utenti con rds_extension non sono autorizzati a eliminare un’estensione utilizzando l’opzione cascade.

Per consentire tale funzionalità, il parametro rds.delegated_extension_allow_drop_cascade deve essere impostato su on.

rds_superuser

Disattivazione del supporto per l’estensione delegata

Disattivazione parziale

Gli utenti delegati non possono creare nuove estensioni ma possono comunque aggiornare le estensioni esistenti.

  • Ripristinare rds.allowed_delegated_extensions sul valore predefinito nel gruppo di parametri del cluster di database.

  • Utilizzare il seguente comando a livello di database:

    alter database database_name reset rds.allowed_delegated_extensions;

  • Utilizzare il seguente comando a livello di utente:

    alter user user_name reset rds.allowed_delegated_extensions;
Disattivazione completa

La revoca del ruolo rds_extension a un utente ripristinerà le autorizzazioni standard per l’utente. L’utente non può più creare, aggiornare o eliminare le estensioni. 

postgres => revoke rds_extension from user_name;
Esempio di trigger di evento

Se si desidera consentire a un utente delegato con rds_extension di utilizzare estensioni che richiedono l’impostazione delle autorizzazioni sugli oggetti creati durante la creazione dell’estensione, è possibile personalizzare l’esempio seguente di trigger di evento e aggiungere solo le estensioni per le quali si desidera che gli utenti delegati abbiano accesso alla funzionalità completa. Questo trigger di evento può essere creato su template1 (il modello predefinito), pertanto tutti i database creati da template1 avranno tale trigger di evento. Quando un utente delegato installa l’estensione, questo trigger garantirà automaticamente la proprietà degli oggetti creati dall’estensione.


CREATE OR REPLACE FUNCTION create_ext()

  RETURNS event_trigger AS $$

DECLARE

  schemaname TEXT;
  databaseowner TEXT;

  r RECORD;

BEGIN

  IF tg_tag = 'CREATE EXTENSION' and current_user != 'rds_superuser' THEN
    RAISE NOTICE 'SECURITY INVOKER';
    RAISE NOTICE 'user: %', current_user;
    FOR r IN SELECT * FROM pg_event_trigger_ddl_commands()
    LOOP
        CONTINUE WHEN r.command_tag != 'CREATE EXTENSION' OR r.object_type != 'extension';

        schemaname = (
            SELECT n.nspname
            FROM pg_catalog.pg_extension AS e
            INNER JOIN pg_catalog.pg_namespace AS n
            ON e.extnamespace = n.oid
            WHERE e.oid = r.objid
        );

        databaseowner = (
            SELECT pg_catalog.pg_get_userbyid(d.datdba)
            FROM pg_catalog.pg_database d
            WHERE d.datname = current_database()
        );
        RAISE NOTICE 'Record for event trigger %, objid: %,tag: %, current_user: %, schema: %, database_owenr: %', r.object_identity, r.objid, tg_tag, current_user, schemaname, databaseowner;
        IF r.object_identity = 'address_standardizer_data_us' THEN
            EXECUTE format('GRANT SELECT, UPDATE, INSERT, DELETE ON TABLE %I.us_gaz TO %I WITH GRANT OPTION;', schemaname, databaseowner);
            EXECUTE format('GRANT SELECT, UPDATE, INSERT, DELETE ON TABLE %I.us_lex TO %I WITH GRANT OPTION;', schemaname, databaseowner);
            EXECUTE format('GRANT SELECT, UPDATE, INSERT, DELETE ON TABLE %I.us_rules TO %I WITH GRANT OPTION;', schemaname, databaseowner);
        ELSIF r.object_identity = 'dict_int' THEN
            EXECUTE format('ALTER TEXT SEARCH DICTIONARY %I.intdict OWNER TO %I;', schemaname, databaseowner);
        ELSIF r.object_identity = 'pg_partman' THEN
            EXECUTE format('GRANT SELECT, UPDATE, INSERT, DELETE ON TABLE %I.part_config TO %I WITH GRANT OPTION;', schemaname, databaseowner);
            EXECUTE format('GRANT SELECT, UPDATE, INSERT, DELETE ON TABLE %I.part_config_sub TO %I WITH GRANT OPTION;', schemaname, databaseowner);
            EXECUTE format('GRANT SELECT, UPDATE, INSERT, DELETE ON TABLE %I.custom_time_partitions TO %I WITH GRANT OPTION;', schemaname, databaseowner);
        ELSIF r.object_identity = 'postgis_topology' THEN
            EXECUTE format('GRANT SELECT, UPDATE, INSERT, DELETE ON ALL TABLES IN SCHEMA topology TO %I WITH GRANT OPTION;', databaseowner);
            EXECUTE format('GRANT USAGE, SELECT ON ALL SEQUENCES IN SCHEMA topology TO %I WITH GRANT OPTION;', databaseowner);
            EXECUTE format('GRANT EXECUTE ON ALL FUNCTIONS IN SCHEMA topology TO %I WITH GRANT OPTION;', databaseowner);
            EXECUTE format('GRANT USAGE ON SCHEMA topology TO %I WITH GRANT OPTION;', databaseowner);
        END IF;
    END LOOP;
  END IF;
END;
$$ LANGUAGE plpgsql SECURITY DEFINER;

CREATE EVENT TRIGGER log_create_ext ON ddl_command_end EXECUTE PROCEDURE create_ext();

Vantaggi dell’utilizzo del supporto delle estensioni delegate di Amazon RDS

Utilizzando il supporto delle estensioni delegate di Amazon RDS per PostgreSQL, è possibile delegare in modo sicuro la gestione delle estensioni agli utenti che non dispongono del ruolo rds_superuser. Questa funzionalità fornisce i seguenti vantaggi:

  • È possibile delegare facilmente la gestione delle estensioni agli utenti desiderati.

  • Non è richiesto il ruolo rds_superuser.

  • Offre la possibilità di supportare diversi set di estensioni per diversi database nello stesso cluster di database.

Limitazione del supporto delle estensioni delegate di Amazon RDS per PostgreSQL

  • Gli oggetti creati durante il processo di creazione dell’estensione possono richiedere privilegi aggiuntivi per il corretto funzionamento dell’estensione.

  • Per impostazione predefinita, alcune estensioni non possono essere gestite dall’utente delegato dell’estensione, tra cui: log_fdw, pg_cron, pg_tle, pgactive, pglogical, postgis_raster, postgis_tiger_geocoder, postgis_topology.

Autorizzazioni necessarie per determinate estensioni

Per creare, utilizzare o aggiornare le seguenti estensioni, l’utente delegato deve disporre dei privilegi necessari sulle seguenti funzioni, tabelle e schemi.

Estensioni che richiedono proprietà o autorizzazioni Funzione Tabelle Schema Dizionario di ricerca testuale Commento

address_standardizer_data_us

nessuno

us_gaz, us_lex, us_lex, I.us_rules

nessuno

nessuno

nessuno

amcheck

bt_index_check, bt_index_parent_check

nessuno

nessuno

nessuno

nessuno

dict_int

nessuno

nessuno

nessuno

intdict

nessuno

pg_partman

nessuno

custom_time_partitions, part_config, part_config_sub

nessuno

nessuno

nessuno

pg_stat_statements

nessuno

nessuno

nessuno

nessuno

nessuno

PostGIS

st_tileenvelope

spatial_ref_sys

nessuno

nessuno

nessuno

postgis_raster

nessuno

nessuno

nessuno

nessuno

nessuno

postgis_topology

nessuno

topology, layer

topology

nessuno

L’utente delegato deve essere il proprietario del database

log_fdw

create_foreign_table_for_log_file

nessuno

nessuno

nessuno

nessuno

rds_tools

role_password_encryption_type

nessuno

nessuno

nessuno

nessuno

postgis_tiger_geocoder

nessuno

geocode_settings_default, geocode_settings

tiger

nessuno

nessuno

pg_freespacemap

pg_freespace

nessuno

nessuno

nessuno

nessuno

pg_visibility

pg_visibility

nessuno

nessuno

nessuno

nessuno

Considerazioni sulla sicurezza

Tenere presente che un utente con il ruolo rds_extension sarà in grado di gestire le estensioni su tutti i database su cui ha il privilegio di connessione. Se l’intenzione è fare in modo che un utente delegato gestisca l’estensione su un singolo database, è buona norma revocare tutti i privilegi al pubblico su ciascun database, quindi concedere esplicitamente il privilegio di connessione per tale database specifico all’utente delegato.

Esistono diverse estensioni che possono consentire a un utente di accedere alle informazioni da più database. Prima di aggiungere queste estensioni a rds.allowed_delegated_extensions, assicurarsi che gli utenti a cui si concede rds_extension dispongano di funzionalità su più database. Ad esempio, postgres_fdw e dblink forniscono funzionalità per eseguire query su più database sulla stessa istanza o su istanze remote. log_fdw legge i file di log del motore postgres, che riguardano tutti i database dell’istanza, potenzialmente contenenti query lente o messaggi di errore provenienti da più database. pg_cron consente l’esecuzione di processi pianificati in background sull’istanza database e può configurare i processi per l’esecuzione in un database diverso.

Disabilitazione dell’eliminazione delle estensioni con l’opzione cascade

La possibilità di eliminare l’estensione con l’opzione cascade da parte di un utente con il ruolo rds_extension è controllata dal parametro rds.delegated_extension_allow_drop_cascade. Per impostazione predefinita, rds-delegated_extension_allow_drop_cascade è impostato su off. Ciò significa che agli utenti con il ruolo rds_extension non è consentito eliminare un’estensione utilizzando l’opzione cascade, come mostrato nella query seguente. 

DROP EXTENSION CASCADE;

In questo modo verranno eliminati automaticamente gli oggetti che dipendono dall’estensione e, di conseguenza, tutti gli oggetti che dipendono da tali oggetti. Il tentativo di utilizzare l’opzione cascade genererà un errore.

Per consentire tale funzionalità, il parametro rds.delegated_extension_allow_drop_cascade deve essere impostato su on.

La modifica del parametro dinamico rds.delegated_extension_allow_drop_cascade non richiede il riavvio del database. È possibile eseguire questa operazione a uno dei seguenti livelli:

  • Nel cluster o nel gruppo di parametri dell’istanza, tramite la AWS Management Console o l’API.

  • Utilizzando il seguente comando a livello di database:

    alter database database_name set rds.delegated_extension_allow_drop_cascade = 'on';

  • Utilizzando il seguente comando a livello di utente:

    alter role tenant_user set rds.delegated_extension_allow_drop_cascade = 'on';

Estensioni di esempio che possono essere aggiunte utilizzando il supporto delle estensioni delegate

  • rds_tools

    extension_test_db=> create extension rds_tools;
CREATE EXTENSION
extension_test_db=> SELECT * from rds_tools.role_password_encryption_type() where rolname = 'pg_read_server_files';
ERROR: permission denied for function role_password_encryption_type

  • amcheck

    extension_test_db=> CREATE TABLE amcheck_test (id int);
CREATE TABLE
extension_test_db=> INSERT INTO amcheck_test VALUES (generate_series(1,100000));
INSERT 0 100000
extension_test_db=> CREATE INDEX amcheck_test_btree_idx ON amcheck_test USING btree (id);
CREATE INDEX
extension_test_db=> create extension amcheck;
CREATE EXTENSION
extension_test_db=> SELECT bt_index_check('amcheck_test_btree_idx'::regclass);
ERROR: permission denied for function bt_index_check
extension_test_db=> SELECT bt_index_parent_check('amcheck_test_btree_idx'::regclass);
ERROR: permission denied for function bt_index_parent_check

  • pg_freespacemap

    extension_test_db=> create extension pg_freespacemap;
CREATE EXTENSION
extension_test_db=> SELECT * FROM pg_freespace('pg_authid');
ERROR: permission denied for function pg_freespace
extension_test_db=> SELECT * FROM pg_freespace('pg_authid',0);
ERROR: permission denied for function pg_freespace

  • pg_visibility

    extension_test_db=> create extension pg_visibility;
CREATE EXTENSION
extension_test_db=> select * from pg_visibility('pg_database'::regclass);
ERROR: permission denied for function pg_visibility

  • postgres_fdw

    extension_test_db=> create extension postgres_fdw;
CREATE EXTENSION
extension_test_db=> create server myserver foreign data wrapper postgres_fdw options (host 'foo', dbname 'foodb', port '5432');
ERROR: permission denied for foreign-data wrapper postgres_fdw