SCSK 永見です。
Amazon Q Developerはコード生成などに活用できるAIサービスです。
有料版であるQ Developer Proは、IAM Identity Center(以下、IIC と記載します)が必要になりますが、Organizationsの”子アカウント”であるメンバーアカウントや、Organizationsの機能を利用していないスタンドアロンアカウントでも利用することができます。
そこで今回は、メンバーアカウントでIICアカウントインスタンスを有効化し、Q Developer Proをサブスクライブする方法をお伝えします。
前提知識:IICの組織インスタンスとアカウントインスタンス
一言で表すと、管理アカウントで設定されたIICが組織インスタンス、メンバーアカウントやスタンドアロンで設定されたIICがアカウントインスタンスです。
組織インスタンスとアカウントインスタンス、何が違うの?というのは、公式ドキュメントの表が最もわかりやすいです。
Q Developer Proに必要なAWSマネージドアプリケーションへのシングルサインオン(上の表①)は、IICアカウントインスタンスでも有効です。
IICの機能のイメージとして一番強い、AWSアカウントへのシングルサインオンの機能(上の表②)は、正確にはIIC組織インスタンスの機能です。
今回は、メンバーアカウントでIICアカウントインスタンスを作成し、Q Developer Proをサブスクライブする手順をご紹介します。
Q Developer Proのサブスクライブ手順
全部で4つのステップで実施します。
第一ステップ:メンバーアカウントにてIICアカウントインスタンスの有効化
まずはIICを有効にします。どのリージョンにIICを作成するか決めたうえで作成しましょう。
IICのコンソールへ遷移します。
決めたリージョンにて「有効にする」をクリックします。
もろもろ確認事項を読み、「有効にする」をクリックします。この環境はIIC組織インスタンスがあるので注意書きが出ていますが、共存は可能です。
作成ができました。
ここで作成したリージョンとAWS access portal URLはこの後使いますので控えておきましょう。今回は東京リージョン(ap-northeast-1)、AWS access portal URLはhttps://access_portal_url.awsapps.com/startとして、説明を記載します。
第ニステップ:IICユーザー作成
次にIICにてサブスクライブするためのユーザーを作成します。ユーザーのメールアドレスが必要になります。
IICのコンソール左部「ユーザー」をクリックします。
「ユーザーを追加」をクリックします。
ユーザーの情報を入力します。今回はパスワードの受け取り方法としてワンタイムパスワードを選択します。もちろんEメールへ送信でも問題ありません。
必要に応じてグループに追加します。今回は追加せずに手順を進めます。
ユーザーの情報に間違いがないことを確認し、「ユーザーを追加」をクリックします。
これで作成は完了です。パスワードを控えておきましょう。Eメールへ送信した場合はその手順に従ってください。
第三ステップ:Q Developer Proのサブスクライブ
次は作成したユーザーを使って、Q Developer Proのサブスクライブを行います。
Amazon Q Developerのコンソールへ遷移します。
今回はIICの作成は東京リージョン(ap-northeast-1)で、Q Developer Proのサブスクライブはバージニア北部(us-east-1)で実施します。
Amazon Q Developerのコンソールにて「使用を開始」をクリックします。
第二ステップで作成したユーザーのメールアドレスを入力し、「続行」をクリックします。
初めてQ Developerを利用する際は、プロファイル作成の画面が出てきます。特別な設定は不要なので、任意のプロファイル名、説明を入力し、「作成」をクリックします。
正常にセットアップが完了した旨のメッセージが表示されます。
左上のハンバーガメニューから「セッティング」を開くと、プロファイル等の情報が、「サブスクリプション」を開くと、サブスクライブしているグループやユーザーの情報を見ることができます。
第四ステップ:IDEのセットアップ
最後に、IDEにおける設定を行います。お手持ちのIDEを起動してください。今回はVisual Studio Codeを例にとり説明します。対応のIDEは下記を参照ください。
まずは左端の拡張機能のアイコンから「Amazon Q」を検索し、「install」をクリックします。
インストールが終わると出てくるAmazon Qのアイコンをクリックします。
Company AccountがIICを使ったProプランを指します。Company Accountを選択し、Continueをクリックします。
Start URLにはIICのAWS access portal URL(今回の例ではhttps://access_portal_url.awsapps.com/start)を入力し、RegionにはIICを作成したリージョン(今回の例ではap-northeast-1。Q Developerのプロファイルがあるリージョンではありません)を選択し、Continueをクリックします。
ブラウザを開いてよいかのポップアップが出たら「Open」をクリックします。
ブラウザに遷移し、第三ステップでサブスクライブ済のユーザーでサインインします。
MFAの設定が求められたら使い慣れた方法で設定しておきましょう。
アクセスを許可してよいか を選択する旨のメッセージが出てくるので、「アクセスを許可」をクリックします。
承認された旨のメッセージがブラウザに表示されたら、ブラウザを閉じ、Visual Studio Codeに戻ります。
左側で、CHATが入力できるようになっていたら成功です!
実際の使い方は、下記をご参照ください。
躓きやすいポイント
躓きやすいポイントを3点併せてご紹介します。
サブスクライブはどのユーザーで実施するの?
IAMユーザーでサブスクライブをします。先述のとおり、IICアカウントインスタンスのユーザーはAWSアカウントへのシングルサインオンはできません。
IAMユーザーでコンソールへサインインし、IICアカウントインスタンスのユーザーを指定してサブスクライブする という流れです。
ユーザーを追加したいときはどうするの?
試しにこのユーザーを追加してみましょう。
Q Developerのコンソールの「サブスクリプション」から「サブスクライブ」をクリックすることで追加できます。
何も出てこないのでちょっとびっくりしますが、検索バーへIICユーザーの「表示名」を入力し検索すると選択できるようになります。
セキュリティは大丈夫なの?
セキュリティ観点の一つとして、AIオプトアウトポリシーの設定がなされているか、があります。 管理アカウントの管理者へ問い合わせしてみてください。
まとめ
メンバーアカウントでQ Developer Proを有効化する方法をご紹介しました。
この記事が皆様のお助けになれば幸いです。