Я никогда не использовал SSM, но если вы просто хотите перечислить группы ресурсов в целевой учетной записи из своей учетной записи ИТ, вы можете создать роль в целевой учетной записи, скажем, «list-resource-groups» -роле ", и дайте ему разрешение на list-groups. Вы делаете ИТ-учетную запись доверенным объектом роли (вы даже можете сделать пользователя в ИТ-учетной записи доверенным объектом). Затем в своей учетной записи ИТ вы даете пользователю, который будет выполнять действие со списком групп, для принятия роли, которую вы создали в целевой учетной записи. Затем пользователь может принять «list-resource-groups-role» для достижения цели.
Через assume_role пользователь может временно притвориться другим пользователем, поэтому может выполнять некоторые действия что другому пользователю разрешено.
Я не уверен, какой SDK вы используете, но здесь - это документы 'accept_role' для python SDK.