はじめに
今回は、生成AIを活用したアシスタント「Amazon Q Developer」またはAIエージェントを搭載したIDE「Kiro」を組織的に利用するための認証方式について説明します。
2025年末に新たな生成AIアシスタントとして、Kiroが発表されました。現在、Amazon Q DeveloperとKiroはそれぞれ独立した製品として併存しており、機能やサブスクリプション体系が異なります。少々わかりにくくなっていますので、まずはこの2つの違いについて整理します。
| Amazon Q Developer | Kiro | |
|---|---|---|
| サブスクリプション | Free / Pro($19/月) | Free / Pro($20/月) / Pro+($40/月) / Power User($200/月) |
| 主な利用方法 | VS Code等のIDE拡張 | 独自のIDEであるKiro IDE / Kiro CLI |
| 認証方式 | Builder ID / IAM Identity Center(Proの場合必須) | Builder ID / GitHub / Google / IAM Identity Center(AWSへの一括請求を行う場合に必須) |
| 上限利用時の挙動 | 翌月まで利用不可 | 超過時は追加購入で利用継続可能 |
特にサブスクリプションの互換性がわかりにくいため、下表をご参照ください。 ※本稿執筆時点での情報となるため、変更される可能性があります。
| サブスクリプション | VS Code等のIDE拡張 | Kiro IDE / Kiro CLI |
|---|---|---|
| Amazon Q Developer Pro | 〇(利用可能) | 〇(利用可能。ただしPro+などの上位プランへの変更は不可) |
| Kiro Pro | 〇(利用可能) | 〇(利用可能) |
Amazon Q Developer ProサブスクリプションとKiro Proサブスクリプションは相互互換性があり、どちらのサブスクリプションを契約していてもVS Code等のIDE拡張とKiro IDEの両方を利用できます。
組織的に利用する場合は、Q DeveloperまたはKiroのいずれであっても、Proプランを利用するケースがほとんどだと思います。企業向けのAWS標準化ガイドラインなどを策定する際にも、こうした新しいAIツールの認証・請求管理は重要な検討事項となります。AWSの請求への一本化(一括請求)や、組織単位での一元的なアカウント管理によるガバナンス強化を実現するため、今回はIAM Identity Centerを利用した認証方式での設定方法について説明します。
また、IAM Identity Centerには組織インスタンスとアカウントインスタンスの2種類がありますが、組織全体で利用者を管理するケースを想定し、組織インスタンスを利用する前提で説明します。IAM Identity Centerの組織インスタンスのセットアップに関しては、第6回を参考にしてください。第6回で紹介した委任管理アカウントを設定した以下の構成でQ DeveloperおよびKiroのサブスクリプション管理を行うこととします。
Amazon Q DeveloperおよびKiroのサブスクリプション管理をIAM Identity Centerで行う方法
Amazon Q Developerの認証セットアップ
(1)まずはメンバーアカウントにて、Amazon Q Developerと検索窓に入力し、表示された「Amazon Q Developer」をクリックします。
(2)本稿執筆時点で東京リージョンでの設定はできないため、バージニア北部リージョンを選択します。
(3)AWSコンソール上ではAmazon Q DeveloperとKiroの管理画面が統合されているため、Amazon Q Developerではなく、Kiroの画面へ遷移します。このまま進めて問題ありません。そのままサイドメニューから「セッティング」ボタンをクリックします。
(4)「Kiroにサインアップ」ボタンをクリックします。
(5)「IAM Identity Center」を選択し、「Next」ボタンをクリックします。
(6)「管理者としてアプリケーションをセットアップ」リンクをクリックします。
(7)「有効にする」ボタンをクリックします。
(8)処理に成功すると、以下のような画面が表示されると思います。
なお、筆者の環境では、第30回でマルチリージョンのカスタマーマネージドキーを設定していることが原因で、以下のようなエラーが発生しました
このエラーの原因は、カスタマーマネージドキーのキーポリシーでメンバーアカウントからのアクセスが制限されていたことでした。カスタマーマネージドキーのキーポリシーに以下の記載を追加することで解決しました(※ こちらのブログがキーポリシーの記載例として参考になります)。
{
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": ""
},
"StringLike": {
"kms:ViaService": [
"sso.*.amazonaws.com",
"identitystore.*.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceOrgID": ""
},
"StringLike": {
"kms:ViaService": [
"sso.*.amazonaws.com",
"identitystore.*.amazonaws.com"
]
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
}
}
},
{
"Effect": "Allow",
"Principal": {
"Service": "q.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*"
}
(9)続いてページ末尾のその他のアプリケーションの「有効にする」リンクをクリックします。
(10)「Q Developer Proをユーザー1人あたり19ドルで有効にする」ボタンをクリックします。
(11)処理に成功すると、サイドメニューにAmazon Q Developerの項目が表示されます。
(12)それでは、Q Developer ProのサブスクリプションをIAM Identity Centerのユーザーに付与してみます。ユーザータブの「その他のアクション」から「新しいサブスクリプション」をクリックします。
(13)サブスクリプションを付与するユーザーを選択し、「割り当てる」ボタンをクリックします。
(14)サブスクリプションの割り当てが完了したら、ユーザーはAmazon Q Developer Proを利用できるようになります。サブスクリプションのステータスは「保留中」となっていますが、実際に利用を開始すると「アクティブ」に変更されます。
(15)それでは、Visual Studio Code(VS Code)のAmazon Q拡張機能から動作確認をしてみます。Visual Studio CodeのAmazon Q拡張機能をインストールし、サイドメニューのAmazon Qアイコンをクリックします。Company Accountを選択し、「Continue」ボタンをクリックします。
(16)Start URLにIAM Identity CenterのログインURLを入力し、IAM Identity Centerのリージョンを選択して、「Continue」ボタンをクリックします。
(17)ブラウザを開くことが確認されるため、「Open」ボタンをクリックします。
(18)すでにIAM Identity Centerでログイン済みであれば、ブラウザでVS CodeのAmazon Q拡張機能からのアクセスに関する許可を求められるため、「アクセスを許可」ボタンをクリックします(未ログインの場合はログインを行ってください)。
(19)すると、以下の承認画面が表示されます。
(20)承認が完了すると、VS CodeのAmazon Q拡張機能に戻ります。以下の画像のように、機能が利用できるようになっていれば認証のセットアップは完了です。
Kiroの認証セットアップ
続いて、Kiroの認証セットアップ手順を説明します。先ほどの手順でAmazon Q Developer Proのサブスクリプションを付与したユーザーとは別のユーザーにKiroのサブスクリプションを付与し、動作確認をしてみます。
(1)サイドメニューのKiro配下の「ユーザーとグループ」を選択し、「ユーザーを追加」ボタンをクリックします。
(2)Kiroプランの選択画面が表示されますので、今回はKiro Proを選択し、「続行」ボタンをクリックします。
(3)サブスクリプションを付与するユーザーを選択し、「割り当てる」ボタンをクリックします。
(4)サブスクリプションの割り当てが完了したことを確認します。
(5)それでは、Kiro IDEから動作確認をしてみます。Kiro IDEをインストールし、起動し、「Sign in」ボタンをクリックします。
(6)「Your organization」ボタンをクリックします。
(7)「Sign in via IAM Identity Center instead」リンクをクリックします。
(8)Start URLにIAM Identity CenterのログインURLを入力し、IAM Identity Centerのリージョンを選択して、「Continue」ボタンをクリックします。
(9)すでにIAM Identity Centerでログイン済みであれば、ブラウザでKiroからのアクセスに関する許可を求められるため、「アクセスを許可」ボタンをクリックします(未ログインの場合はログインを行ってください) 。
(10)以下の画面が表示されればブラウザでの操作は完了です。
(11)Kiro IDEに戻り、Kiroによるコード生成などの機能が利用できることを確認してください。以上でKiroの認証セットアップは完了です。
おわりに
今回はAmazon Q DeveloperおよびKiroのIAM Identity Centerを利用した認証セットアップ方法について説明しました。Amazon Q DeveloperとKiroはいずれもAWSが提供する生成AIアシスタントですが、過渡期であることもあり、その認証方法の違いを把握するのは困難に感じる方もいらっしゃるかと思います。そうした方々の参考になれば幸いです。
