特定のAWS SSOユーザーのみ除外するSCPポリシー例 | DevelopersIOちゃだいん(@chazuke4649)です。 AWS Organizations環境で予防的ガードレールとしてSCPを利用する際に、特定のAWS SSOユーザーを制限から除外したいケースがあります。 例えば「基本的にAWS SSOでユーザー管理を行うので、IAMユーザーを作成できないようにSCPでIAMユーザー作成を禁止したい。ただし、一部の管理者だけ除外したい。」といったパターンなどが挙げられます。 うまくいかない方法 これを行う際に、最初に考えたのはAWS SSOによってユーザーアカウントに自動生成されるIAMロール(SSOユーザーの実体)のARNを使うことでした。ARNを条件キーで指定するのはよくあるパターンです。 しかしながら、このパターンだと、ユーザーアカウントが複数ある場合、IAMロールも各ユーザーアカウントごとに作成されるため、指定するIAMロールのARNがどんどん増えていき
