【小ネタ】AWS Control Tower の 読み取り専用(ReadOnly)に必要なアクセス権限

ReadOnlyAccess だけでは Control Tower にアクセスできない

AWS管理ポリシーの ReadOnlyAccess だけでは Control Tower へのコンソールに入れません。以下のようなエラーが出ます。

追加で必要な権限

以下 ポリシーをユーザーに追加で付けてあげる必要があります。 Control Tower および SSOに関連するリスト・読み取りアクションです。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "controltower:Get*",
        "controltower:List*",
        "controltower:Describe*",
        "sso:getpermissionset",
        "sso:DescribeRegisteredRegions",
        "sso:ListDirectoryAssociations",
        "sso-directory:DescribeDirectory"
      ],
      "Resource": "*"
    }
  ]
}

ポリシー付与後の確認

以下のように Control Tower コンソールへ読み取り専用で入れました。

参考

• How to get read-only visibility into the AWS Control Tower console | AWS Security Blog