AWS SSOで Control Tower 読み取り専用なユーザー割り当てを作成する
この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
はじめに
(2022/02/12 現在) デフォルトの読み取り権限、
ViewOnlyAccess や ReadOnlyAccess では Control Tower を
読み取り権限で閲覧することができません。
追加で必要な権限は以下ブログに紹介しています。
今回は備忘録も兼ねて、 この権限を持ったユーザー割り当てを AWS SSO 上に作ります。
1. アクセス権限セットの作成
[AWS SSO > AWS アカウント > アクセス権限セット] から [アクセス権限セットを作成] を選択します。
[カスタムアクセス権限セットを作成] を選択します。
名前は適当に指定します (例: ReadOnlyAccess_AWSControlTower )。
※リレーステートは https://ap-northeast-1.console.aws.amazon.com/console/home しておくと良いでしょう。
ポリシーの含め方については [AWS 管理ポリシーをアタッチ] および [カスタムアクセス権限ポリシーを作成] にチェックを入れてください。
まずAWS 管理ポリシーとして ReadOnlyAccess にチェックを入れます。
カスタムアクセス権限ポリシーには以下値を入れてください。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"controltower:Get*",
"controltower:List*",
"controltower:Describe*",
"sso:getpermissionset",
"sso:DescribeRegisteredRegions",
"sso:ListDirectoryAssociations",
"sso-directory:DescribeDirectory"
],
"Resource": "*"
}
]
}
最後の [確認] ページにて [作成] を選択します。
2. グループの作成
[AWS SSO > グループ] から [グループの作成] を選択します。
名前は適当に指定します (例: ManagementAccount_ReadOnly )。
3. ユーザーの追加
次にユーザーを追加します。 追加したいユーザーのページの [グループ] にて [グループに追加] を選択します。
作成したグループにチェックを入れて 追加します。
4. 割り当て
[AWS SSO > AWSアカウント > AWS 組織] から 管理アカウントにチェックを入れて [ユーザーの割り当て] を選択します。
[グループ] タブにて先程作成したグループを選択します。
先ほど作成したアクセス権限セットを選択します。
[完了] を選択して適用します。
▼ 完了後の画面
おわりに(確認)
AWS SSO ポータルへログインします。
管理アカウントにて 該当のアクセス権限セット (例: ReadOnlyAccess_AWSControlTower ) があればOKです。
マネジメントコンソールでアクセスします。 Control Tower の画面を閲覧できることを確認できました。
管理アカウントは影響を与える範囲が「とても大きい」ので、 普段見る分にはこの閲覧権限で見たいですね。 どなたかの参考になれば幸いです。
