我正在从运行代码优先EF核心的容器化asp.net核心3.1应用程序连接到具有PostgreSQL兼容性的Amazon Aurora实例,并希望执行数据库凭证轮换。我已经设置了一个代表数据库所有者的角色,一个代表了我们将过期并替换为新凭据的当前有效登录凭据的角色。
我遵循了此博客文章中的建议:http://davidhollenberger.com/2017/03/16/postgres-credential-rotation/,本质上是:
create role db_owner nologin;
create role foo_a with encrypted password ...;
grant db_owner to foo_a;
alter role foo_a set role db_owner;
我知道,只要foo_a登录到postgres,它们的默认角色就会设置为db_owner。如果我使用psql登录数据库,这似乎可以正常工作。
但是,在使用EF Core的情况下,使用foo_a数据库凭据进行连接时,将数据库迁移到新架构时,新对象的对象所有者将列为foo_a。
示例:
List of relations
Schema | Name | Type | Owner
--------+------+-------+----------------------------------------
public | test | table | foo_a
我希望所有者为db_owner,因为foo_a应始终以db_owner身份登录。
是否可以通过EF Core进行设置,或者在设置postgresql数据库时可以做的事情使我们能够将用户创建的所有对象的默认所有权设置为代表数据库所有者的角色组?我不希望使这些临时帐户成为该实例的“超级用户”,因为我们在数据库实例中有多个租户,而我希望具有类似于拥有数据库和数据库所有权的“ dbo”角色的功能。临时用户将始终以“ dbo”角色进行连接。
池连接使用DISCARD ALL语句重置,这又将会话和当前用户标识符重置为原始身份验证的用户名。换句话说:
DISCARD ALL(https://www.postgresql.org/docs/current/sql-discard.html)SET SESSION AUTHORIZATION DEFAULT(https://www.postgresql.org/docs/8.1/sql-set-session-authorization.html)在数据库迁移期间,这将为用户设置创建的任何对象的所有者,而不是他由ALTER ROLE... SET ROLE...自动继承的dbo角色。>
解决此问题的选项取决于您的需求。我们考虑了一些解决此问题的方法:
IDBCommandInterceptor设置适当的角色。这是一种更具侵入性的解决方案,会影响您的.net核心项目,但是,如果您的要求涉及一个或仅几个项目的证书轮换,则可能是可行的。No reset on close=true附加到npgsql连接字符串。但是,请注意,如果您使用连接池,则存在泄漏会话状态的风险。参考:https://www.npgsql.org/doc/connection-string-parameters.html#performance其他选项,例如运行代理,也值得考虑。