AWS SSOで Control Tower 読み取り専用なユーザー割り当てを作成する

はじめに

(2022/02/12 現在) デフォルトの読み取り権限、 ViewOnlyAccess や ReadOnlyAccess では Control Tower を 読み取り権限で閲覧することができません。

追加で必要な権限は以下ブログに紹介しています。

• 【小ネタ】AWS Control Tower の 読み取り専用(ReadOnly)に必要なアクセス権限 | DevelopersIO

今回は備忘録も兼ねて、 この権限を持ったユーザー割り当てを AWS SSO 上に作ります。

1. アクセス権限セットの作成

[AWS SSO > AWS アカウント > アクセス権限セット] から [アクセス権限セットを作成] を選択します。

[カスタムアクセス権限セットを作成] を選択します。

名前は適当に指定します (例: ReadOnlyAccess_AWSControlTower )。

※リレーステートは https://ap-northeast-1.console.aws.amazon.com/console/home しておくと良いでしょう。

• 参考: AWS SSO経由でマネジメントコンソールにサインインするときに常に東京リージョンのホーム画面を表示する方法 | DevelopersIO

ポリシーの含め方については [AWS 管理ポリシーをアタッチ] および [カスタムアクセス権限ポリシーを作成] にチェックを入れてください。

まずAWS 管理ポリシーとして ReadOnlyAccess にチェックを入れます。

カスタムアクセス権限ポリシーには以下値を入れてください。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "controltower:Get*",
        "controltower:List*",
        "controltower:Describe*",
        "sso:getpermissionset",
        "sso:DescribeRegisteredRegions",
        "sso:ListDirectoryAssociations",
        "sso-directory:DescribeDirectory"
      ],
      "Resource": "*"
    }
  ]
}

最後の [確認] ページにて [作成] を選択します。

2. グループの作成

[AWS SSO > グループ] から [グループの作成] を選択します。

名前は適当に指定します (例: ManagementAccount_ReadOnly )。

3. ユーザーの追加

次にユーザーを追加します。 追加したいユーザーのページの [グループ] にて [グループに追加] を選択します。

作成したグループにチェックを入れて 追加します。

4. 割り当て

[AWS SSO > AWSアカウント > AWS 組織] から 管理アカウントにチェックを入れて [ユーザーの割り当て] を選択します。

[グループ] タブにて先程作成したグループを選択します。

先ほど作成したアクセス権限セットを選択します。

[完了] を選択して適用します。

▼ 完了後の画面

おわりに(確認)

AWS SSO ポータルへログインします。 管理アカウントにて 該当のアクセス権限セット (例: ReadOnlyAccess_AWSControlTower ) があればOKです。

マネジメントコンソールでアクセスします。 Control Tower の画面を閲覧できることを確認できました。

管理アカウントは影響を与える範囲が「とても大きい」ので、 普段見る分にはこの閲覧権限で見たいですね。 どなたかの参考になれば幸いです。

参考

• 【小ネタ】AWS Control Tower の 読み取り専用(ReadOnly)に必要なアクセス権限 | DevelopersIO
• How to get read-only visibility into the AWS Control Tower console | AWS Security Blog