はじめに
-
AWS Summit Japan 2025のGameDayに参戦してきて、Amazon Q Developer(以下 Q Developer)のすごさを実感してきました
-
ということで業務効率化とお布施の意味を込めて、Q DeveloperのProサブスクリプションを有効化してみようかと思い、導入してみました
-
ただ、私は個人利用でありつつもAWS Organizations(以下 Organizations)で複数組織(OU)を利用し、AWS IAM Identity Center(以下 Identity Center)でサインイン管理をしています
- 検証やハンズオンを行う場合、その権限やゴミ掃除を行う手間を省くため、一時アカウントを作成し、OUに属させるということをしています
- 毎度AWSアカウントを作成して、Identity Centerに属させて...を手動で行うのはめんどくさすぎるので、Terraformで作成/設定を行っています
- こちらの紹介はまた別記事にて...
-
この場合、Organizationsの管理アカウントで、Q DeveloperのProサブスクリプションを有効化すると、どの範囲までアクセスができるのでしょうか
-
実際の設定手順と操作範囲を調査してみました
Q DeveloperとQ Developer Proサブスクリプション
Amazon Q Developerとは?
- Q Developerは、AWSアプリケーションの理解、構築、拡張、運用を支援する生成AI搭載の対話型アシスタントです
- AWSアーキテクチャ、AWSリソース、ベストプラクティス、ドキュメント、サポートなどについて質問することができます
- Amazon Qは常に機能を更新しており、質問に対して最も文脈に関連した実用的な回答を提供します
- 統合開発環境(IDE)で使用する場合、Amazon Qはソフトウェア開発支援を提供します
- Amazon Qはコードについてチャットしたり、インラインでのコード補完を提供したり、全く新しいコードを生成したり、セキュリティ脆弱性についてコードをスキャンしたり、言語更新、デバッグ、最適化などのコードアップグレードや改善を行うことができます
- Amazon QはAmazon Bedrockを基盤としており、これはAPIを通じて基盤モデル(FM)を利用可能にする完全マネージド型サービスです
- Amazon Qを支えるモデルは、高品質なAWSコンテンツで強化されており、AWSでの構築を加速するために、より完全で実用的かつ参照可能な回答を提供します
Q Developer Proサブスクリプション
-
Amazon Q Developer Proの有効化をどのアカウントで行うか
- Q Developer Proサブスクリプションは、個人アカウント(Builder ID)を持つユーザー、およびIAM Identity CenterでIDを持つユーザーが使用できます
- 次の表を参照して、サインイン方法に応じて Q Developer Proサブスクリプションのさまざまなインターフェイスで Amazon Q が使用可能かどうかを確認ができます
-
Identity Centerの管理アカウント/メンバーアカウントのどちらでQ Developer Proを有効化するかによって、利用可能な機能/範囲は異なります
- 管理アカウントを使用して組織インスタンスをデプロイする場合
- 組織インスタンスを使用すると、すべてのサブスクリプションを1つのアカウントから管理できます
- さらに、管理アカウントからサブスクリプションを作成した場合は、アクセスできる任意のアカウントを使用してQ Developerチャットにアクセスできます
- メンバーアカウントを使用してアカウントインスタンスをデプロイする
- アカウントインスタンスを使用する場合は、メンバーアカウントからのみサブスクリプションを管理できます
- サブスクリプションは読み取り専用です
- また、他のメンバーアカウントでQ Developerチャットにアクセスするには、そのアカウントに Q Developer Pro のサブスクリプションが必要です
- メンバーアカウントにサブスクリプションがない場合、Q Developerチャットはデフォルトで無料利用枠になります
- 参考:組織またはアカウントのインスタンスでサブスクリプションを管理する
- 管理アカウントを使用して組織インスタンスをデプロイする場合
目的
- Identity Centerに属するユーザーで、Q DeveloperのProサブスクリプションを有効にする手順を確認する
- Identity Centerに属するユーザーで、Q DeveloperのProサブスクリプションを有効したとき、どの範囲のAWSアカウントで操作ができるのかを確認する
前提
- 親アカウントとなるAWS アカウントを作成していること
- Organizations有効化していること
- Identity Centerを有効化していること
- Identity Centerで、Q Developerを契約したいユーザーを作成していること
上記が未達成の場合は、以下を参照ください
Q Developer Proサブスクリプション有効化手順
-
"Identity Center"⇒"設定"⇒"ID 強化セッション"を有効化する
※注意:本機能は一度有効化すると、そのIdentity Center内では無効化できません-
無効化状態
-
ID 強化セッション 隣の"有効化する"をクリックして有効化
-
有効化状態
-
-
Q Developer Profile を作成する
-
"Q Developer (Including Amazon CodeWhisperer)"を検索
-
Q Developer Profileがサポートされているリージョンを選択します
- Q Developerは"アジアパシフィック (東京)"をサポートしていますが、残念ながらQ Developer Profileは"アジアパシフィック (東京)"をサポートしていません(2025年6月末時点)
- "米国 (バージニア北部)"と"欧州 (フランクフルト)"が選択できますが、以下の制約があり、よっぽどの理由がなければ"米国 (バージニア北部)"を選択しましょう
- 欧州 (フランクフルト)でサポートされない機能
・サポートとのチャット ・Amazon Q のトラブルシューティングリソース ・IDE での .NET 変換 ・チャットアプリケーションにおける Amazon Q (Slack 向け) ・AWS コンソールモバイルアプリケーションの Amazon Q - IAM Identity Center workforce users
- 欧州 (フランクフルト)でサポートされない機能
-
Q Developerの画面で、"利用を開始"をクリック
-
Q Developerプロファイルを作成
-
プロファイル名を指定して、"作成"をクリック
-
1~2分待つと次に進めます
-
-
"割り当て ユーザーとグループ"画面が表示されますが、"完了"をクリック
-
【オプション】Q Developer のログ記録を有効化
-
(説明省略)ログ保管用のS3バケットを作成
※S3バケットは、項番2の"Q Developer Profileを作成"で選択したリージョンに作成する必要があります -
(説明省略)以下の形式でバケットポリシーを設定
- "region"は基本"us-east-1"を指定します
{ "Version": "2012-10-17", "Statement": [ { "Sid": "QDeveloperLogsWrite", "Effect": "Allow", "Principal": { "Service": "q.amazonaws.com" }, "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::bucketName/prefix/*" ], "Condition": { "StringEquals": { "aws:SourceAccount": "accountId" }, "ArnLike": { "aws:SourceArn": "arn:aws:codewhisperer:region:accountId:*" } } } ] } -
"Q Developer"⇒"プリファレンス"⇒"編集"をクリック
-
"Q 開発者プロンプトロギング"のトグルをONにし、"S3の場所"に用意しておいたS3バケット名を記載して"保存"をクリック
※プレフィクスは必須のようです
-
設定が完了すると、以下のようになります
-
-
【オプション】CloudTrail を使用して IDE または CLI が出力する Q Developer イベントをログに記録する
- IDEまたはCLIから取得できるイベントは、CloudTrailデータイベントです
- デフォルトでは、CloudTrailはデータイベントをログに記録しないため、CloudTrailイベント履歴でイベントを確認することはできません
- IDEまたはCLIが出力したQ DeveloperイベントをCloudTrailに記録するには、データイベントを記録するカスタム証跡を作成します
- 手順はこちらをご覧ください
-
サブスクリプションビューの設定を有効化する
-
"Q Developer"⇒"セッティング"⇒"サブスクリプションビューの設定"の"編集"をクリック
-
トグルをONにして、"保存"をクリック
-
信頼されたアクセスが有効になっていることを確認する
-
-
Q Developer Proサブスクリプションをサブスクライブする
-
"Amazon Q Developer"⇒"サブスクリプション"⇒"サブスクライブ"をクリック
-
検索窓でProサブスクリプションを付与したいアカウントを検索し、表示させる
-
"割り当てる"をクリック
-
-
サブスクリプションの割り当てを待つ
-
サブスクリプションの割り当て直後
-
サブスクリプションが割り当てられた後
-
1-2分経つと、画面上部に「1 名のユーザーの Amazon Q Developer Pro サブスクリプションが正常に作成されました」と表示されましたが、該当ユーザーのサブスクリプションステータス上は「利用不可」と表示されます
- ※私の環境では、当初項番8を実施し忘れていたため"利用不可"と表示されていましたが、上記手順通りに実施するとまた異なる表示になる可能性があります
-
「ユーザーがサブスクリプションに正常にアクセスできるようになるまでに最大 24 時間かかることがあります。」とのことで、時間を空けて再度アクセスしてみましょう
-
-
-
サブスクリプションの有効化を確認する
-
ユーザーの有効化であれば1~2時間、グループの有効化だと24時間程度待ち時間があるといわれていましたが、私の環境では約3時間かかりました
-
"Q Developer"⇒"サブスクリプション"
- 該当のユーザーで"サブスクリプションのステータス"が"アクティブ"になっていることを確認
- 該当のユーザーで"サブスクリプションのステータス"が"アクティブ"になっていることを確認
-
アクティベートされたメールが届くことを確認する
-
-
VSCodeでQ Developerを有効化
-
VSCode⇒"拡張機能"⇒"Amazon Q"と検索⇒"インストール"をクリック
-
VSCodeのアクティビティバー(画面左)にQ Developerのアイコンが表示されていることを確認する
-
Q Developerにサインイン
-
Q Developerのアイコンをクリック
-
"Company account"⇒"Continue"をクリック
-
Identity Centerのサインイン情報を入力
-
サインイン用のURLを開く
-
サインイン用のユーザー名/パスワード/(設定している方はMFAも)を入力し、サインインする
-
VSCodeでデータアクセスを許可する
-
VSCodeの左下に以下が表示されればサインイン成功
-
-
チャットでQ Developerと会話してみる
-
Amazon Qアイコンをクリックし、チャットを入力する
- 入力したプロンプト(事前にtestフォルダは作成済み)
こんにちは! testディレクトリに、terraformで、Bedrockアプリを作るコードを作成してください
- 入力したプロンプト(事前にtestフォルダは作成済み)
-
問題なく動いてくれました
-
Q DeveloperはOrganization内のAWSアカウントの垣根を越えられるのか
-
やりたかったことは以下です
-
結果は以下です
-
指示
-
回答
-
-
AWSアカウントをリストしてくれという指示に対して、リストしてくれている...ように見えるのですが、これはIdentity Centerで設定しているAWSアカウントではなく、ローカルの"~/.aws/*"に保存されている認証情報を拾ってきているだけです
-
すなわち、やってほしかった、同時に複数のAWSアカウントを操作することはできないようです
結果をまとめてみると
-
Identity Centerに紐づけてQ Developerを有効化したとしても、そこに紐づくAWSアカウントの認証情報を取得できるものでは無いようです
- すなわち、Q Developerのサインインという操作は、"aws sso get-role-credentials"のようなAWSアカウントのクレデンシャル(アクセスキー/シークレットアクセスキー/トークン)を入手する操作とは異なるようです
-
そのため、Q Developerを利用するためのサインインと、その後操作したいAWSアカウントの認証は分けて考える必要があります
-
これはデメリットかと一瞬思ったのですが、一転メリットであると考えています
-
すなわち、Q Developerは1つだけ契約しておいて、Organizationの内外の複数AWSアカウントの認証を移動しつつ操作させることができる、ということです
-
図解すると以下の選択肢②が正しかったようです
-
うまく組み合わせて、Q Developerを使いこなして行きましょう
ちなみに...
q Chat at Macも試してみたのですが、仕様はVSCodeの拡張機能版と変わりませんでした
おわりに
- 以下についてまとめました
- Q DeveloperとQ Developer Proについて
- Q DeveloperをOrganization/Identity Center環境での有効化手順
- VSCodeでのQ Developerの有効化手順
- Organization/Identity Center環境下でのQ Developerが操作できるAWSアカウントの範囲
- 使ってみればそりゃあそうだよな...となるのですが、Organization/Identity Center環境では、同時に複数のAWSアカウントに対して操作することは残念ながらできませんでした
- AWSアカウントのセキュリティの境界がしっかりしている、ということを知ることができました
参考
- Amazon Q Developer Pro が AWS Organizations および IAM Identity Center と連携するしくみを教えてください。
- IAM Identity Center の開始方法
- Amazon Q Developer Pro を組織で使う際の設定あれこれ
- Amazon Q Developer Pro (月額19ドル) をメンバーアカウントでサブスクライブ利用してみた
- Implementing Identity-Aware Sessions with Amazon Q Developer
- [アップデート]Amazon Q DeveloperがついにIDEとCLIで日本語サポート!実際に試してみた
- https://docs.aws.amazon.com/ja_jp/amazonq/latest/qdeveloper-ug/q-in-IDE-setup.html
- Amazon Q Developer Pro へのオンボーディングと VSCode のユーザー切り替えを行う