T1-Q08: Identity Centerのカスタマーマネージドポリシーは各アカウントに同名で必要
Permission Setの割り当て失敗を、ポリシーロジック競合ではなく対象アカウント側の同名ポリシー有無で解く。
AWS SCS-C03 IAM Identity Center Permission Set
対象誤答: T1 Q08 IDENTITY CENTER CMP
あなたの選択と正答
| 観点 | 内容 |
|---|---|
| あなたの選択 | AWS マネージドポリシーとカスタマーマネージドポリシーのロジックを再評価し、競合を解決してからデプロイする。 |
| 正答 | パーミッションセットを割り当てる各アカウントに、同じ名前と権限を持つカスタマーマネージドポリシーを作成する。 |
| 誤答の引力 | 割り当て失敗をポリシー内容の衝突として見ている。Identity Centerの実装条件は、対象アカウントに同名/同パスのCustomer managed policyが存在すること。 |
| 判断軸 | Identity Centerのpermission setにCustomer managed policyを含める場合、Identity Centerがメンバーアカウントにポリシーを作成してくれるわけではない。 |
この問題の芯
T1-Q08 は IAM Identity Center の permission set に AWS managed policy と customer managed policy を付け、複数アカウントへ割り当てようとしたら失敗する問題。あなたはポリシーロジックの競合を疑った。正解は、割り当て先の各アカウントに同じ名前とパスの customer managed policy を作ること。
Identity Centerがやること、やらないこと
Identity Center は permission set をテンプレートとして使い、対象アカウントに IAM ロールを作ってポリシーをアタッチする。ただし customer managed policy そのものを各アカウントへ自動作成するわけではない。
つまりこういう流れ。
- Identity Center に permission set を作る
- permission set に customer managed policy 名を指定する
- 割り当て先アカウントに同名・同パスのIAMポリシーが存在する必要がある
- Identity Center が作るロールへ、そのポリシーがアタッチされる
ここでの誤読
「割り当て失敗」と聞くと、Allow/Deny の競合を疑いたくなる。しかしこの問題ではユーザーが複数アカウントへアクセスできる状態で、permission set の適用に失敗している。これは認可評価の失敗ではなく、展開先アカウントに参照先ポリシーがないという構成不備。
次回の秒殺ルール
Identity Center + customer managed policy + 複数アカウント + 割り当て失敗。
この4点が揃ったら「各アカウントに同名/同パスのポリシーがあるか」を最初に見る。
仕上げの一問一答
- この問題の主語は何か: Identity Center
- 先に除外する選択肢: 問題文の主語と違うサービス責務に寄っているもの。
- 最後に確認する語: 「最もコスト効率」「組織全体」「未指定を拒否」「監査」「自動有効化」などの制約語。