PostgreSQL 的可信语言扩展允许开发人员使用他们最喜欢的语言在 AWS 管理的 Postgres 数据库系统上安全地构建高性能扩展。
2022年12月1日,云计算巨头Amazon Web Services推出了 PostgreSQL 可信语言扩展,这是一种安全工具,允许开发人员使用他们最喜欢的语言在 AWS 管理的Postgres 数据库系统上安全地构建高性能扩展。
AWS 在本周于拉斯维加斯举行的 AWS re:Invent 大会的第三天发布了一款新的安全工具。
Trusted Language Extensions for PostgreSQL 是一个开源开发工具包,它允许开发人员安装以他们的首选语言编写的扩展,具有内置的安全防护机制,可以在Amazon Aurora PostgreSQL 兼容版和Amazon Relational Database Service (RDS) for PostgreSQL 上运行。
根据AWS 首席开发倡导者Channy Yun撰写的随附博客文章,可信语言扩展让“数据库管理员可以控制谁可以安装扩展和运行它们的权限模型,让应用程序开发人员在确定后立即交付新功能扩展满足他们的需求。”
解决安全性和合规性难题
AWS 开源战略和营销主管David Nalley在发布后立即与 The New Stack 坐下来讨论该产品。当他称其为“本周迄今为止对我来说最激动人心的公告,因为它解决了以任何规模使用 PostgreSQL 的任何人的重大安全性和合规性难题”时,很容易看出他对该项目的热情。
他指出需要这样的工具:“如果您运行多个数据库,或者您需要一个以上的集成,它可以为您解决一个重要的问题集,因为它本质上为您提供了一种创建一组脚手架,用于固定物品。
“尤其是从安全角度来看,因为 PostgreSQL 扩展本质上是可信的。”
这是创新因需而生的另一个例子。Nally 说:“我们的客户告诉我们,他们希望能够在 RDS 和 Aurora 内部运行扩展。”
“通过创建边界来确保安全”
从表面上看,这听起来很简单。但是自定义扩展会带来巨大的安全风险。AWS 在 re:Invent 上明确表示安全性非常重要,因此它不会授予对不熟悉代码的访问权限,尤其是当授予的访问权限与 PostgreSQL 数据库本身具有相同的安全级别时。那是不行的。
但 AWS 不想让客户在这个问题上说“不”然后走开。因此,它的开发人员重新回到绘图板,创建一个解决方案,为客户提供编写扩展的机会,同时将安全性保持在需要的水平。解决方案是扩展但带有护栏。Nally 简明扼要地解释道:“通过创建边界来确保安全。”
在创建成品之前,需要克服一些技术变化。“我们花了很多时间关注的事情之一是确保 [it] 与上游 PostgreSQL 的操作方式真正兼容,”Nally 说。很多早期的设计时间都花在了这上面。
然后是定义边界的挑战。之前没有“安全”的扩展,所以这个概念完全是 Nally 和他的团队发明的。创建安全的定义对他们来说是一个巨大的挑战。
支持当今大多数常用语言——包括JavaScript、 Perl 和 PL/pgSQL。AWS 开源该产品的原因是,Nally 说,它希望“为人们提供一些东西,可以显着降低 RDS 客户的复杂性,但同时,对于运行 PostgreSQL 的 DBA 来说,这也是一个非常大的问题。”
该产品目前在 GitHub(https://github.com/aws/pg_tle/blob/main/README.md) 上可用,可供使用。
文章来源:https://thenewstack.io/aws-brings-trusted-extension-support-to-managed-postgres/
