AWS SSOで Control Tower 読み取り専用なユーザー割り当てを作成する

2022.02.14

はじめに

(2022/02/12 現在) デフォルトの読み取り権限、 ViewOnlyAccessReadOnlyAccess では Control Tower を 読み取り権限で閲覧することができません。

追加で必要な権限は以下ブログに紹介しています。

今回は備忘録も兼ねて、 この権限を持ったユーザー割り当てを AWS SSO 上に作ります。

1. アクセス権限セットの作成

[AWS SSO > AWS アカウント > アクセス権限セット] から [アクセス権限セットを作成] を選択します。

img

[カスタムアクセス権限セットを作成] を選択します。

img

名前は適当に指定します (例: ReadOnlyAccess_AWSControlTower )。

img

※リレーステートは https://ap-northeast-1.console.aws.amazon.com/console/home しておくと良いでしょう。

ポリシーの含め方については [AWS 管理ポリシーをアタッチ] および [カスタムアクセス権限ポリシーを作成] にチェックを入れてください。

img

まずAWS 管理ポリシーとして ReadOnlyAccess にチェックを入れます。

img

カスタムアクセス権限ポリシーには以下値を入れてください。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "controltower:Get*",
        "controltower:List*",
        "controltower:Describe*",
        "sso:getpermissionset",
        "sso:DescribeRegisteredRegions",
        "sso:ListDirectoryAssociations",
        "sso-directory:DescribeDirectory"
      ],
      "Resource": "*"
    }
  ]
}

img

最後の [確認] ページにて [作成] を選択します。

img

2. グループの作成

[AWS SSO > グループ] から [グループの作成] を選択します。

img

名前は適当に指定します (例: ManagementAccount_ReadOnly )。

img

3. ユーザーの追加

次にユーザーを追加します。 追加したいユーザーのページの [グループ] にて [グループに追加] を選択します。

img

作成したグループにチェックを入れて 追加します。

img

4. 割り当て

[AWS SSO > AWSアカウント > AWS 組織] から 管理アカウントにチェックを入れて [ユーザーの割り当て] を選択します。

img

[グループ] タブにて先程作成したグループを選択します。

img

先ほど作成したアクセス権限セットを選択します。

img

[完了] を選択して適用します。

▼ 完了後の画面

img

おわりに(確認)

AWS SSO ポータルへログインします。 管理アカウントにて 該当のアクセス権限セット (例: ReadOnlyAccess_AWSControlTower ) があればOKです。

img

マネジメントコンソールでアクセスします。 Control Tower の画面を閲覧できることを確認できました。

img

管理アカウントは影響を与える範囲が「とても大きい」ので、 普段見る分にはこの閲覧権限で見たいですね。 どなたかの参考になれば幸いです。

参考