私はAWS Organizations周りのマルチアカウント系サービスに疎いため、個人のAWSアカウントでおひとりさまOrganizationを作成して検証しているのですが、初歩的なところでつまづいたので小ネタ共有です。
発生した問題
IAM Identity Center (旧AWS SSO)でユーザーを作成し、Organizations管理下のAWSアカウントにログインすると請求関連のサービスへのアクセス権限がない!
※当該SSOユーザーのIAMロールにはAdministratorAccess相当のフル権限を渡しているはずなのですが…
個人のAWSアカウントで一番大事なコストの確認ができないのは不便すぎる!ということで調べました。
原因
請求情報へのアクセスは、事前にルートユーザー(AWSアカウント作成時のメールアドレスに紐づく代表ユーザー)で「IAMによる請求情報へのアクセス」を有効にしておく必要がありました!
※「アカウント」設定から飛べます。「請求とコスト管理」から飛べないので分かりづらいですね。
補足情報(1/29追記)
星野ぽぽぽさん、ありがとうございます!
おわりに
AWS Organizatons利用時は、なるべく個々のアカウント内にIAMユーザーを個別作成せず、IAM IdC内でSSOユーザーを一括管理するのがベストプラクティスです。
各アカウントのルートユーザーにはMFAを設定したうえでアクセスキーの払い出し等は避け、なるべくIdCユーザーで普段の作業を実施するようにしましょう!