AWS Multi-Account Accessを承認する
AWS Multi-Account Accessカードを初めてフローに追加すると、関連するAWS IAM Identity Centerアカウントとの接続の設定が求められます。アカウント情報を保存すると、将来のAWS Multi-Account Accessフローで接続を再利用できるようになります。
ヒント
複数の接続を作成し、[Connections(接続)]ページから管理できます。
アクションカードから新規接続を作成するには、次の手順を実行します。
-
[New Connection(新規接続)]をクリックします。
-
[Connection Nickname(接続ニックネーム)]を入力します。これは、チームで共有するために複数のAWS IAM Identity Center接続の作成を計画している場合に便利です。
-
[Account ID(アカウントID)]から関連付けられたロールの信頼ポリシーへIDをコピーします。「Providing access to AWS accounts owned by third parties」を参照してください。
-
[External ID(外部ID)]から、関連付けられているロールの信頼ポリシーにIDをコピーします。「Providing access to AWS accounts owned by third parties」を参照してください。
-
[Role Amazon Resource Name (ARN) (ロールAmazonリソースネーム(ARN))]を入力します。「IAM Identifiers」を参照してください。
-
[Create(作成)]をクリックします。
AWS Multi-Account Access操作用に作成するロールには、次のポリシー例に含まれるアクションが許可されるようにIAMポリシーを添付する必要があります。
{
"Version": "2012-10-17",
"Statement":
[
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action":
[
"sso:ListAccountAssignments",
"organizations:ListAccounts",
"sso:ListPermissionSets",
"sso:CreateAccountAssignment",
"sso:ListInstances",
"sso:DeleteAccountAssignment",
]
"Resource": "*"
}
]
}