AWS SSO の PowerUserAccess に iam:PassRole を付与する
今年に入ってから、AWS Control TowerでAWSのマルチアカウントを管理する方式に変更しました。
管理方法にもんだいなく、従来のGoogle WorkspaceをIDプロバイダーとして利用する方法に比べてユーザーとロールの管理が圧倒的に楽になりました。
管理方法にもんだいなく、従来のGoogle WorkspaceをIDプロバイダーとして利用する方法に比べてユーザーとロールの管理が圧倒的に楽になりました。
AWSPowerUserAccessでIAMの参照ができない
AWS Control TowerによりAWSPowerUserAccessのアクセス権限セットが自動的に作成されますが、IAMの参照権限が付与されていないため、一部の操作ができない状態になりました。
以前のように、AWSのIAMポリシーPowerUserAccessでIAM情報の参照ができないの設定で解決できると思いましたが、AWS SSOのアクセス権限セットでは自身で作成したポリシーが参照できませんでした。
以前のように、AWSのIAMポリシーPowerUserAccessでIAM情報の参照ができないの設定で解決できると思いましたが、AWS SSOのアクセス権限セットでは自身で作成したポリシーが参照できませんでした。
![](https://blog.e2info.co.jp/wp-content/uploads/2021/07/awssso2.png)
![](https://blog.e2info.co.jp/wp-content/uploads/2021/07/awssso.png)
そこで、ポリシーをアタッチするのではなく、AWS SSOにカスタムアクセス権限ポリシーを直接指定する方法に切り替えました。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:Get*", "iam:List*", "iam:PassRole" ], "Resource": "*" } ] }
![](https://blog.e2info.co.jp/wp-content/uploads/2021/07/awssso3-1024x782.png)
IAMロールの参照ができるようになりました。
![](https://blog.e2info.co.jp/wp-content/uploads/2021/07/awssso4.png)