Amazon web services 如何在AWS Step函数中安全地传递敏感信息

使用AWS Step函数将lambda串在一起很有趣，但是有没有办法禁用/隐藏执行详细信息屏幕上的日志记录？从一个lambda传递到另一个lambda的私人信息需要能够秘密进行，并且在每个步骤中添加KMS加密/解密是一个巨大的开销，对于生活在VPC中而没有互联网接入的Lambda来说，这是不可能的。

我们已经与Amazon进行了交谈，似乎无法从控制台隐藏这些信息。另一种方法是限制每一步发送到Lambda函数的内容

---

因此，您可以确保某些函数只能看到输入数据的非PII子集。通常的解决方法是根本不传递PII数据，而是将PII数据放在加密的数据存储中，例如S3存储桶或加密的RDS数据库表，并通过状态机传递对该对象的引用。

另一个选项是使用KMS加密将SSM参数存储与

SecureString

类型一起使用。您可以在步骤之间传递SSM参数的名称。lambda函数将使用API在单个请求中检索和解密值。有关如何在Python中使用boto3使用SSM参数存储的文档，请参见下面的链接

---

您必须确保lambda函数的角色提供对SSM参数的访问和对用于加密值的同一KMS密钥的访问。

summertime Sarry:这感觉像是对它们的真正疏忽。step函数有可能成为unix管道，但对于启用网络的应用程序来说则不然。你好，卡马尔，现在有什么消息吗？我正在评估Step函数，并对每个步骤中运行的数据的安全性有着同样的担忧。到目前为止，我找不到任何信息，如果亚马逊修复或没有。“错过了这么重要的一件事，真让人难过。”Yaiba。没有太多更新，但我们仍然可以访问IAM和服务级别，以避免任何未经授权的访问：）