使用 AWS Step Functions 将 Lambda 串在一起很有趣,但是有没有办法在执行详细信息屏幕上禁用/隐藏日志记录?从一个 lambda 传递到另一个 lambda 的私有信息需要能够秘密完成,并且在每个步骤中添加 KMS 加密/解密是大量开销,而且对于没有互联网访问权限的 VPC 中的 lambdas 来说是不可能的。
问问题
2184 次
2 回答
8
我们已经与亚马逊进行了交谈,看起来无法从控制台隐藏此信息。另一种方法是限制在每一步发送到 Lambda 函数的内容。
因此,您可以确保某些函数只能看到输入数据的非 PII 子集。通常的解决方法是根本不传递 PII 数据,而是将 PII 数据放在加密的数据存储中,例如 S3 存储桶或加密的 RDS 数据库表,并通过状态机传递对该对象的引用。
于 2017-09-20T22:00:07.570 回答
3
另一种选择是将 SSM 参数存储与SecureString
使用 KMS 加密的类型一起使用。您将在步骤之间传递 SSM 参数的名称。lambda 函数将使用 API 来检索和解密单个请求中的值。有关如何在 Python 中使用 boto3 处理 SSM 参数存储的文档,请参阅下面的链接。
http://boto3.readthedocs.io/en/latest/reference/services/ssm.html#SSM.Client.get_parameter
您必须确保 lambda 函数的角色提供对 SSM 参数的访问权限以及对用于加密值的相同 KMS 密钥的访问权限。
于 2018-02-27T04:53:40.470 回答