IAMユーザーを使わないので、IAM Identity Centerに移行すると通常のマネジメントコンソールへのログイン画面ではなく、IAM Identity Centerのログイン画面から利用することになります。
IAM Identity Centerにログインし、そこから自分がアクセスできるアカウントとロールが並んでいるので、「マネジメントコンソールに入る」や「一時的なクレデンシャルを発行する」ことができます。
ここで発行されるクレデンシャルにはIAMロールごとに期限をもたせることができるので、設定次第で1時間から12時間の範囲で自動的に有効期限切れにできます。
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
P22
IAMユーザーが1つあれば、信頼関係にある他のAWSアカウントのIAMロールを使える」ようにできます。
IAMユーザーを管理するAWSアカウントを1つにできるので、管理側からすると人の移動に伴うIAMユーザーの追加/削除の管理が楽になり、
開発者からしても1つのIAMユーザーだけ管理すればいいので手間が大きく減ります。
IAMユーザーは1つになりますが、そこからスイッチロールする先のIAMロールをアカウント側に用意する必要があり、更にスイッチ元(rootアカウント)とスイッチ先(各プロダクトのアカウント)の信頼関係を設定する必要もあります。
アクセス権の管理をする際には、結局IAMユーザー×各アカウントのIAMロールの数だけの確認をすることになります。