AWS SSO の PowerUserAccess に iam:PassRole を付与するBy kaneko tomo / 2021年7月4日 今年に入ってから、AWS Control TowerでAWSのマルチアカウントを管理する方式に変更しました。 管理方法にもんだいなく、従来のGoogle WorkspaceをIDプロバイダーとして利用する方法に比べてユーザーとロールの管理が圧倒的に楽になりました。 AWSPowerUserAccessでIAMの参照ができない AWS Control TowerによりAWSPowerUserAccessのアクセス権限セットが自動的に作成されますが、IAMの参照権限が付与されていないため、一部の操作ができない状態になりました。 以前のように、AWSのIAMポリシーPowerUserAccessでIAM情報の参照ができないの設定で解決できると思いましたが、AWS SSOのアクセス権限セットでは自身で作成したポリシーが参照できませんでした。 そこで、ポリシーをアタッチするのではなく、AWS SSOにカスタムアクセス権限ポリシーを直接指定する方法に切り替えました。 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:Get*", "iam:List*", "iam:PassRole" ], "Resource": "*" } ] } IAMロールの参照ができるようになりました。
AWS CDKでパラメーターストア (SecureString) を参照するときはfromSecureStringParameterAttributesを使う AWS, システム開発 / By koni AWSで環境変数をSystems Managerの…