こんにちは、阿形です。

IAM Identity Centerでシングルサインオンでユーザー管理すると便利なんですが、権限周りはIAMと同様に細かく管理していかないといけないのは相変わらず面倒ですね。

今回はViewOnlyAccessにHealth Dashboard関連の権限がなかったので、それに対応したお話しです。

事前定義ポリシーの権限不足

直接的に作業を行わず、AWSの状況だけ見るユーザーにIAM Identity Centerの許可セットで、AWSマネージドポリシーのViewOnlyAccessをアタッチしていました。

ですが、この権限だけではHealth Dashboardが見られないということで、確認したところ、確かにHealth Dashboard関連の権限は付与されていませんでした。

監視業務の人とか見れた方がいいんですけどねぇ…。まあ仕方ないので、自前で権限を追加することにしました。

ポリシーの作成

IAMでポリシーを作成します。

ポリシーは以下のような内容で、health:Describe〜を全て許可するようにします。
必要に応じてこの辺りはアレンジしてください。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "health:Describe*"
            ],
            "Resource": "*"
        }
    ]
}

ポリシーの作成は以下のような手順で行います。

1. AWSコンソールで、IAM＞ポリシーでポリシーを作成をクリックします。
2. ポリシーエディタをJSONに切り替え、以下のJSONを入力します。
3. 入力したら、「次へ」をクリックします。
4. ポリシー名や説明を適宜入力し、「ポリシーの作成」をクリックします。

複数のAWSアカウントで設定を行う場合、この作業を対象となるAWSアカウント全てに対して行います。この際に、ポリシー名を同一にしておく必要があります。

ポリシーのアタッチ

作成したポリシーをアタッチします。

1. IAM Identity Center＞許可セットに移動し、対象の許可セットをクリックします。
2. カスタマーマネージドポリシーの「ポリシーをアタッチ」をクリックします。
3. ポリシー名を入力し、「ポリシーをアタッチ」をクリックします。

これでHaelth Dashboardが見られるようになっているはずです。