AWS SSO の PowerUserAccess に iam:PassRole を付与する 今年に入ってから、AWS Control TowerでAWSのマルチアカウントを管理する方式に変更しました。 管理方法にもんだいなく、従来のGoogle WorkspaceをIDプロバイダーとして利用する方法に比べてユーザーとロールの管理が圧倒的に楽になりました。 AWSPowerUserAccessでIAMの参照ができない AWS Control TowerによりAWSPowerUserAccessのアクセス権限セットが自動的に作成されますが、IAMの参照権限が付与されていないため、一部の操作ができない状態になりました。 以前のように、AWSのIAMポリシーPowerUserAccessでIAM情報の参照ができないの設定で解決できると思いましたが、AWS SSOのアクセス権限セットでは自身で作成したポリシーが参照できませんでした。 そこで、ポリシーをアタッチするのではなく、AWS SSOにカスタムアクセス権限ポリシーを直接指定する方法に切り替えました。 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:Get*", "iam:List*", "iam:PassRole" ], "Resource": "*" } ] } IAMロールの参照ができるようになりました。 AWSAWS SSOIAMiam:PassRoleSSOポリシーロール権限 https://blog.e2info.co.jp/2021/07/04/aws-sso%e3%81%aeawspoweruseraccess%e3%81%abiampassrole%e3%82%92%e4%bb%98%e4%b8%8e%e3%81%99%e3%82%8b/AWS SSO の PowerUserAccess に iam:PassRole を付与する