Step Functions の入力・出力の情報の閲覧を制限する方法を教えてください

困っていた内容

当方で実行している Step Functions のステートマシンでは、入力・出力（input・output） の履歴に個人情報が記載される可能性があります。
そのため、入出力の閲覧が可能なユーザーを制限したいです。
実現方法を教えてください。

どう対応すればいいの?

GetExecutionHistory,DescribeExecution API に入出力の情報が含まれます。
これらの権限を制限するポリシーを、当該のユーザーにアタッチすることをお試しください。

ポリシー例

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "states:DescribeExecution",
                "states:GetExecutionHistory"
            ],
            "Resource": "*"
        }
    ]
}

なお、入出力の履歴のみを制限する方法は、現時点では確認できていません（2024.5 現在）。

マネジメントコンソールから見た結果

上述のポリシーをアタッチしたユーザーで、Step Functions の実行結果がマネジメントコンソールにてどのように表示されるのか確認します。

実行タブから一覧を確認することは可能です。また、フィルタリングも可能です。

特定の実行を選択すると、以下のエラーが表示され、実行の詳細の閲覧が不可能であることがわかります。

参考資料

GetExecutionHistory - AWS Step Functions
DescribeExecution - AWS Step Functions