AWS Organizations サービスコントロールポリシーでの AWS マネジメントコンソールのプライベートアクセスの使用

AWS 組織で、特定のサービスを許可するサービスコントロールポリシー (SCP) を使用している場合は、許可されたアクションに signin:* を追加する必要があります。このアクセス許可が必要なのは、プライベートアクセスの VPC エンドポイント経由で AWS マネジメントコンソールにサインインすると、アクセス許可なしで SCP がブロックする IAM 承認が実行されるためです。一例として、次のサービスコントロールポリシーは、Amazon EC2 サービスと CloudWatch サービスを組織内で使用することを許可します。これには、AWS マネジメントコンソールのプライベートアクセスのエンドポイントを使用してアクセスする場合も含まれます。。

{
  "Effect": "Allow",
  "Action": [
    "signin:*",
    "ec2:*",
    "cloudwatch:*",
    ... Other services allowed
  },
  "Resource": "*"
}

SCP の詳細については、AWS Organizations ユーザーガイド の「サービスコントロールポリシー (SCP)」を参照してください。