Как вы предоставляете разрешение дочерней учетной записи для поставщика SAML другой учетной записи?

Я начну с того, что у меня нет опыта настройки разрешений для нескольких учетных записей (пытаясь исправить это). Я настроил инфраструктуру с несколькими учетными записями в AWS. У меня есть корневая учетная запись с поставщиком SAML, и она успешно позволяет мне подключаться к другим дочерним учетным записям. У меня есть несколько настроек стеков CDK в учетных записях дочерних приложений (dev, staging, production). Когда я пытаюсь выполнить развертывание, я получаю сообщение об ошибке, указывающее, что у меня нет доступа к провайдеру SAML, что имеет смысл, поскольку развертывание выполняется для учетной записи разработчика. Вот соответствующая часть рассматриваемого стека...

      const samlProvider = iam.SamlProvider.fromSamlProviderArn(this, "saml-provider", "arn:aws:iam::XXXXXX");
    const endpoint = this.vpc.addClientVpnEndpoint('Endpoint', {
      cidr: '10.10.0.0/16',
      serverCertificateArn: this.domainCert.certificateArn,
      userBasedAuthentication: ec2.ClientVpnUserBasedAuthentication.federated(samlProvider),
      authorizeAllUsersToVpcCidr: true,
    });

Я считаю, что мне нужно добавить встроенную политику для учетной записи root, предоставляющую доступ к поставщику SAML, но я не уверен в синтаксисе. Любая помощь в выяснении этого будет оценена по достоинству.

Я не был уверен, какие действия необходимы, поэтому я просто добавил все разрешения на получение

Я попробовал следующую политику...

          {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "GetSamlProvider",
            "Effect": "Allow",
            "Action": [
                "iam:GetSAMLProvider"
            ],
            "Resource": [
                "arn:aws:iam::XXXXXXX"
            ]
        }
    ]
}

Я все еще получаю ту же ошибку разрешений. У вас нет доступа к предоставленному поставщику SAML номеру.