AWS SSO 管理者が AWS アカウント利用者に対して、 IAM ロールを作成する際に指定したポリシーを Permissions Boundary に割り当てることを強制することで権限を制限する方法を紹介します。 ユーザーを一元的に管理する AWS SSO の管理者と AWS アカウントの利用者が分かれている場合に、利用者が IAM ロール 作成時に付与できる権限を制限したい場合があります。 本ブログでは、利用者に対して IAM ユーザーの作成を禁止する次のシナリオを想定し、解決策の一つとして Permissions boundary を用いて IAM ロール作成時に付与できる権限を制限する方法を紹介します。 AWS SSO 管理者がユーザーを一元的に管理する AWS SSO 管理者は利用者にユーザーを払い出し、IAM ユーザーの作成権限は与えない AWS SSO 管理者は利用者に対し