AWS SSO の PowerUserAccess に iam:PassRole を付与する
今年に入ってから、AWS Control TowerでAWSのマルチアカウントを管理する方式に変更しました。
管理方法にもんだいなく、従来のGoogle WorkspaceをIDプロバイダーとして利用する方法に比べてユーザーとロールの管理が圧倒的に楽になりました。
管理方法にもんだいなく、従来のGoogle WorkspaceをIDプロバイダーとして利用する方法に比べてユーザーとロールの管理が圧倒的に楽になりました。
AWSPowerUserAccessでIAMの参照ができない
AWS Control TowerによりAWSPowerUserAccessのアクセス権限セットが自動的に作成されますが、IAMの参照権限が付与されていないため、一部の操作ができない状態になりました。
以前のように、AWSのIAMポリシーPowerUserAccessでIAM情報の参照ができないの設定で解決できると思いましたが、AWS SSOのアクセス権限セットでは自身で作成したポリシーが参照できませんでした。
以前のように、AWSのIAMポリシーPowerUserAccessでIAM情報の参照ができないの設定で解決できると思いましたが、AWS SSOのアクセス権限セットでは自身で作成したポリシーが参照できませんでした。
そこで、ポリシーをアタッチするのではなく、AWS SSOにカスタムアクセス権限ポリシーを直接指定する方法に切り替えました。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:Get*",
"iam:List*",
"iam:PassRole"
],
"Resource": "*"
}
]
}
IAMロールの参照ができるようになりました。
