AWS IAM Identity Center のアクセス許可セットにおいて ReadOnlyAccess に AWS Control Tower の読み取り権限を追加する

AWS IAM Identity Center のアクセス許可セットにおいて ReadOnlyAccess に AWS Control Tower の読み取り権限を追加する

Clock Icon2023.07.22

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

AWS マネージドポリシー(AWS 管理ポリシー)の ReadOnlyAccess には AWS Control Tower の読み取り権限がありません。そこで、本ブログでは AWS IAM Identity Center のアクセス許可セットにおいて、インラインポリシーを用いて ReadOnlyAccess に AWS Control Tower の読み取り権限を追加してみます。

AWS Control Tower の読み取り権限を追加

AWS マネージドポリシーの ReadOnlyAccess を用いて AWS Control Tower にアクセスすると下記画像のように拒否されます。

そこで、AWS IAM Identity Center のアクセス許可セットにおいて、インラインポリシーとして次のポリシーを追加することで AWS Control Tower の読み取り権限を追加できます。

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"controltower:List*",
				"controltower:Describe*",
				"controltower:Get*"
			],
			"Resource": "*"
		}
	]
}


アクセス許可セットの設定例です。AWS マネージドポリシーで ReadOnlyAccess を選択するのに加えて、インラインポリシー に AWS Control Tower の読み取り権限を設定します。

上記設定のアクセス許可セットを関連付けたユーザーでは AWS Control Tower へのアクセスができました。

Control Tower のアクション一覧の確認方法

AWS Control Tower のアクション一覧はユーザーガイドの次のページで記載されています。

AWS Control Tower のアクション、リソース、および条件キー - サービス認可リファレンス


上記ページのリストでアクセスレベルが「リスト」「読み取り」であるアクションをワイルドカードで指定したポリシーがインラインポリシーで設定した下記内容となります。

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"controltower:List*",
				"controltower:Describe*",
				"controltower:Get*"
			],
			"Resource": "*"
		}
	]
}


なお、アクセスレベル「読み取り」の中で 1 点だけ上記ポリシーに当てはまらないPerformPreLaunchChecks アクションがあるのですが、ランディングゾーン設定の更新前の起動前チェックに関する権限のようでしたので、通常の読み取り作業時には不要と思い、今回は含めませんでした。

さいごに

AWS Control Tower 環境では、AWS IAM Identity Center を利用することが多く、AWS Control Tower の読み取り権限がほしいことが多かったので設定してみました。

以前にも同様のブログが公開されていますが、AWS Single Sign-On から AWS IAM Identity Center に名称変更され、設定項目名も変わっていたため、改めて書きました。

以上、このブログがどなたかのご参考になれば幸いです。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.