困っていた内容
当方で実行している Step Functions のステートマシンでは、入力・出力(input・output) の履歴に個人情報が記載される可能性があります。
そのため、入出力の閲覧が可能なユーザーを制限したいです。
実現方法を教えてください。
どう対応すればいいの?
GetExecutionHistory
,DescribeExecution
API に入出力の情報が含まれます。
これらの権限を制限するポリシーを、当該のユーザーにアタッチすることをお試しください。
ポリシー例
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"states:DescribeExecution",
"states:GetExecutionHistory"
],
"Resource": "*"
}
]
}
なお、入出力の履歴のみを制限する方法は、現時点では確認できていません(2024.5 現在)。
マネジメントコンソールから見た結果
上述のポリシーをアタッチしたユーザーで、Step Functions の実行結果がマネジメントコンソールにてどのように表示されるのか確認します。
実行タブから一覧を確認することは可能です。また、フィルタリングも可能です。
特定の実行を選択すると、以下のエラーが表示され、実行の詳細の閲覧が不可能であることがわかります。
参考資料
GetExecutionHistory - AWS Step Functions
DescribeExecution - AWS Step Functions