はじめに
Amazon Q Developerは、開発者が AWS アプリケーションをより効率的に理解、構築、拡張、運用できるようするための AI アシスタントおよびコードジェネレーターです。
Amazon Q Developer は無料枠 (Free Tier) とユーザー数課金の有償版 (Pro Tier) 2 種類の価格帯で提供されます。Pro 版を検証する機会があったので組織レベルで使う際の必要な設定を本記事でまとめます。Amazon Q Developer が提供する機能そのものには触れません。
2025/5/8 最新の AWS コンソールや機能に合わせて内容を更新しました。
AWS Organization 関連の設定
AI サービスオプトアウトポリシー
設定対象: 管理アカウント
概要
生成 AI を業務利用するためのルールとして、サービスの利用データを AI の学習に使用させないことを前提としている企業も多いのではないでしょうか。
Amazon Q Developer Pro を使用している場合は、ユーザーデータがサービスの改善に使用されることはありません。無料枠の場合は Amazon Q への質問や、Q が生成するレスポンスとコードなどがサービス改善に使用される可能性があります。
AWS Organizations で AI サービスオプトアウトポリシーを設定すると組織内のメンバーアカウントに対し、ユーザーコンテンツの保存と利用を一律オプトアウトできます。
AI サービスオプトアウトポリシーでサポートされているサービスのリストは以下に記載があります。
- Amazon CodeWhisperer (now part of Amazon Q Developer)
- Amazon Q
の記載がありますね。
ケースによりますが、必ずしも全ユーザーが Pro プランを契約するわけではなく、無料枠を利用するユーザーもいることを考えるとオプトアウトは設定しておくべきでしょう。
設定方法
AWS Organizations のコンソールからポリシー→ AI サービスのオプトアウトポリシーをクリックします。
進んだ画面で「AI サービスのオプトアウトポリシーを有効にする」をクリックします。
ここではすべてのサービスからオプトアウトをクリックします。
これにより現在サポートするサービスおよび将来的に追加されるすべてのサービスについてオプトアウトをおこなうカスタマー管理ポリシー OptOutFromAllAIServces が作成され、組織の Root にアタッチされます。
{
"services": {
"@@operators_allowed_for_child_policies": [
"@@none"
],
"default": {
"@@operators_allowed_for_child_policies": [
"@@none"
],
"opt_out_policy": {
"@@operators_allowed_for_child_policies": [
"@@none"
],
"@@assign": "optOut"
}
}
}
}
ポリシーは特殊な文法になっていますが、以下を押さえることで記載内容が理解できると思います。
-
@@operators_allowed_for_child_policies: ["@@none"]で子ポリシーでのポリシー上書きを禁止します-
servicesセクション: 個々のサービスに対して、子ポリシーが新しいセクションを追加することを防いでいます -
services.defaultセクション: 子ポリシーでopt_out_policy以外の新しいセクションを追加することを防いでいます -
services.default.opt_out_policyセクション: 子ポリシーが outOut 設定の値を変更したり、設定を追加したりすることを防ぎます
-
- オプトアウトは
@@assign演算子を使用して指定します
サービス毎にポリシーをカスタマイズしたい場合などはドキュメントを参照ください。
AI サービスオプトアウトポリシーでオプトアウトできるのは、マネジメントコンソール、モバイルアプリ、AWS ウェブサイト、AWS Chatbot に限定されます。
無料プランにおける IDE でのデータ共有をオプトアウトするには、利用者ごとに利用者自身で設定をおこなう必要があります。組織の管理者がまとめて管理することはできません。手順はエディタごとに異なるため以下のドキュメントを参照してください。
信頼されたアクセスの有効化
設定対象: 管理アカウント
信頼されたアクセスとは特定の AWS サービスが、ユーザーに代わって組織およびそのメンバーアカウントで特定のタスクを実行できるようにする機能です。
Amazon Q Developer Pro は、信頼されたアクセスを使用して、組織の管理アカウントで行われた設定を同じ組織のメンバーアカウントと共有します。
これにより組織の管理者が組織全体のサブスクリプション利用状況を確認できるようになったり、Amazon Q Customizations による提案のカスタマイズをすべてのメンバーアカウントに対して有効化できるようになります。
信頼されたアクセスの有効化は後述の Amazon Q Developer 関連の設定の中でおこなうため、ここでは手順を割愛します。
AWS IAM Identity Center 関連の設定
インスタンスタイプの選択
設定対象: 管理アカウント
Amazon Q Developer Pro は IAM Identity Center によるユーザー管理が必須です。組織インスタンスまたはアカウントインスタンスのどちらでも利用が可能ですが、本記事では組織インスタンスの利用を前提とします。IAM Idnetity Center 自体の設定方法は割愛します。
identity-aware console sessions の有効化
設定対象: 管理アカウント
Identity-aware console sessions (ID 強化セッション) は現在 Amazon Q Developer Pro との連携でのみサポートされている機能です。ユーザーが Amazon Q Developer Pro サブスクリプションを通じて Amazon Q にアクセスするにはこの機能を必ず有効化する必要があります。
有効化しない場合、マネジメントコンソールや AWS ウェブサイトから Amazon Q Developer Pro の機能を利用することはできません。
組織インスタンスの設定が完了している状態で IAM Identity Center の設定から ID 強化セッションを有効化することができます。
ID 強化セッションの詳細は以下のブログでも紹介されています。
Amazon Q Developer の関連設定
Q Developer Profile の作成
設定対象: 管理アカウントまたはメンバーアカウント
概要
Q Developer Profile は Pro サブスクリプションの使用を開始する際に必要な一連の設定です。Profile を作成しないとユーザーを登録できません。AWS アカウント内のサポートされているリージョンにつき 1 つだけ作成可能で、後述する KMS キーの設定などがカスタマイズできます。
設定方法
Amazon Q Developer コンソールにアクセスし、使用を開始をクリックします。
任意のプロファイル名と説明を入力し、作成を完了します。
メンバーアカウントでもプロファイルを個別に作成できますが、管理アカウントで作成したプロファイルをメンバーアカウントに共有することが推奨されます。(詳細は後述)
KMS キーの設定
設定対象: 管理アカウントまたはメンバーアカウント
概要
Amazon Q Developer で以下のような機能を使用する際、ユーザーの入力するデータは AWS 管理の S3 や DynamoDB に一時的に保管されます。デフォルトでは AWS 所有のキーによってデータが暗号化されますが、Developer Pro ではカスタマーマネージドキーを使用することができます。
- Chat in the AWS console
- Diagnosing AWS console errors
- Customizations
- Agent for software development
- Agent for code transformation
- Security scans
設定方法
Amazon Q Developer コンソールの セッティング → Amazon Q Developer アカウントの詳細から Q Developer Profile を編集し、データ暗号化のための KMS キーをカスタマイズできます。組織のポリシーに応じて設定しましょう。
設定する KMS キーには以下のようなキーポリシーが設定されている必要があります。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "QKMSDecryptGenerateDataKeyPermissions",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:GenerateDataKeyWithoutPlaintext",
"kms:ReEncryptFrom",
"kms:ReEncryptTo"
],
"Resource": [
"arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"q.{{region}}.amazonaws.com"
]
}
}
}
]
}
メンバーアカウントとの Q Develper Profile の共有
設定対象: 管理アカウント
概要
管理アカウントで作成した Q Developer Profile をメンバーアカウントに共有することができます。以下の理由から共有を有効にしておくことが推奨されます。
-
アカウント間の一貫性の確保
プロファイルを共有すると、すべてのメンバーアカウントで同じ設定が使用されます。管理アカウントのプロファイルはメンバーアカウントで設定されているプロファイルを上書きするため、アカウント間の一貫性が確保されます。 -
アカウントをまたいだ Pro 機能の利用
プロファイルを共有すると、管理アカウントで Pro Tier にサブスクライブしているユーザーは、メンバーアカウントにサインインした状態でも Pro サブスクリプションを使用できるようになります。プロファイル共有が無効になっている場合、メンバーアカウントでの使用は無料利用枠の制限と機能が適用されます。
設定方法
Amazon Q Developer コンソールの セッティング → メンバーアカウント設定 から機能の有効無効を設定できます。
プロンプトのログ記録
設定対象: 管理アカウント
概要
監査や分析などのために Amazon Q Developer のログ記録を有効にすることができます。チャットやインラインコード入力を使用するとリクエストパラメータとレスポンスパラメータの両方が記録されます。Amazon Q Agent for Software Development はリクエストパラメータのみが記録されます。
こちらも組織のポリシーに応じて設定を検討します。
ログ記録用バケットの前提条件
IAM Identity Center のホームリージョンに関係なく、ログ記録用のバケットはバージニア北部リージョンに作成する必要があります。
また次のようなバケットポリシーを設定します。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "QDeveloperLogsWrite",
"Effect": "Allow",
"Principal": {
"Service": "q.amazonaws.com"
},
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::bucketName/prefix/*"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "accountId"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:codewhisperer:region:accountId:*"
}
}
}
]
}
設定方法
Amazon Q Developer コンソールの セッティング → プリファレンス からログ記録を有効化できます。
保存先の S3 location を入力して変更を保存します。
ダッシュボードの有効化
設定対象: 管理アカウントおよびメンバーアカウント
概要
Pro プランのユーザーの利用状況をデータ化したダッシュボード機能が提供されます。デフォルトのダッシュボードには、限定的な使用指標のみが表示されます。詳細ダッシュボードを有効にすることでコード提案をどのくらいの頻度で受け入れているかを示す承認率などのデータを機能レベルで参照できるようになります。
設定方法
Amazon Q Developer コンソールの ダッシュボード または セッティング → Amazon Q Developer の使用アクティビティ から機能を有効化できます。
このアカウントの使用状況ダッシュボードを有効にする を有効化して設定を保存します。
以下のようなダッシュボードが確認できるようになります。
ユーザーアクティビティレポートの有効化
設定対象: 管理アカウントおよびメンバーアカウント
概要
組織内の Pro プランユーザーのアクティビティを収集し、日次で使用状況を CSV 出力することができます。レポートで確認できる情報については以下をご参照ください。
設定方法
Amazon Q Developer コンソールの セッティング → Amazon Q Developer の使用アクティビティ から機能を有効化できます。
ユーザーごとの詳細なメトリクスを収集 を有効化して、配信先の S3 location を指定します。
プロンプトログと同様、バケットはバージニア北部リージョンに作成する必要があります。
プロンプトログのバケットとは異なるバケットを用意することが推奨されています。
Prerequisite
(Optional but recommended) Be different from the bucket you might be using for prompt logging.
サブスクリプションビューの設定
設定対象: 管理アカウント
概要
デフォルトでは管理アカウントも自アカウントで登録されたサブスクリプションしか確認することができません。この設定により管理アカウントで組織内のすべてのサブスクリプションの利用状況を参照できるようになります。
設定方法
Amazon Q Developer コンソールのセッティング → サブスクリプションビューの設定で、信頼されたアクセスを有効にする をオンにします。
サブスクリプションの表示設定を On にすることで AWS Organizations と Amazon Q の信頼されたアクセスが有効化されます。
サブスクリプションの表示設定が on になると、組織全体の登録状況を確認できます。また CSV 形式のレポートもダウンロード可能です。
CloudTrail データインベントの取得
設定対象: 管理アカウントおよびメンバーアカウント
概要
Amazon Q Developer 関連の API 呼び出しは管理イベントとして CloudTrail 証跡に記録されますが、追加で IDE や CLI によるアクティビティをデータイベントとして記録することができます。
設定方法
データイベントの高度なセレクターでデータイベントタイプ CodeWhisperer および CodeWhisperer customization を選択して保存します
データイベントにはプロンプトの内容は記録されないため、前述のプロンプトのログ記録を有効化しておく必要があります
サブスクリプション関連の設定
ユーザーのサブスクライブ
設定対象: 管理アカウントまたはメンバーアカウント
Amazon Q サブスクリプションコンソールまたは Amazon Q Developer コンソールのサブスクリプションから Amazon Q Developer Pro に登録する IAM Identity ユーザーを選択できます。
ウィザードに従ってユーザーまたはグループをサブスクライブします。
サブスクリプションの作成に成功したことを確認します。グループ単位で割り当てた場合、反映まで最大24時間かかるケースもあるようです。
サブスクリプションが割り当てられたユーザーはコンソール上の Amazon Q が Pro Tier で表示されます。
サブスクリプションの割り当ては、各メンバーアカウントでも実施できます。ただし複数のメンバーアカウント間で Pro 機能を使用したい場合は管理アカウントでユーザーをサブスクライブし、Q Developer Profile の共有を有効化する必要があります。
以上です。他にもあれば随時追加していきたいと思います。
参考になれば幸いです。