ハマログ

株式会社イーツー・インフォの社員ブログ

AWS SSO の PowerUserAccess に iam:PassRole を付与する

今年に入ってから、AWS Control TowerでAWSのマルチアカウントを管理する方式に変更しました。

管理方法にもんだいなく、従来のGoogle WorkspaceをIDプロバイダーとして利用する方法に比べてユーザーとロールの管理が圧倒的に楽になりました。

AWSPowerUserAccessでIAMの参照ができない

AWS Control TowerによりAWSPowerUserAccessのアクセス権限セットが自動的に作成されますが、IAMの参照権限が付与されていないため、一部の操作ができない状態になりました。

以前のように、AWSのIAMポリシーPowerUserAccessでIAM情報の参照ができないの設定で解決できると思いましたが、AWS SSOのアクセス権限セットでは自身で作成したポリシーが参照できませんでした。
そこで、ポリシーをアタッチするのではなく、AWS SSOにカスタムアクセス権限ポリシーを直接指定する方法に切り替えました。
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:Get*",
        "iam:List*",
        "iam:PassRole"
      ],
      "Resource": "*"
    }
  ]
}
IAMロールの参照ができるようになりました。
AWSAWS SSOIAMiam:PassRoleSSOポリシーロール権限

  kaneko tomo   2021年7月4日


関連記事

CloudFront経由でサイトへアクセスする形にしてみた

( ᐛ )「サイトの負荷を軽減するためにCDN入れます。AWS環境ですしClou…

EC2からAWS ElastiCache for Redisへの接続確認(redis-cli)

表題の通り。AWSコンソールから作成したElastiCahce for Redi…

AWSセミナーへ行ってきました!

AWSビジネスセミナーへ行ってきました!! ご無沙汰してます。 おなじみmitc…


← 前の投稿

次の投稿 →