こんにちは。
今回は、 AWS マネジメントコンソールの右側で利用可能な Amazon Q が突然使えなくなった 際の備忘録です。
ことのはじまり
ある朝、出社すると次のメッセージが飛んできました。
昨日夕方くらいからコンソール起動後に以下 新しいポップアップウィンドウ でログイン画面が表示されるようになり、Amazon Q が使えなくなりました。自分のパスワードをいれてもはじかれます。IAM ポリシーは変更無し、リージョンをかえたりブラウザもかえてもだめです。AWS サイトはブラウザで許可設定もしています。
アカウント名がかわっている気がして、この辺りで権限設定がかわっていないか念のため確認させていただきたいです。Looks like there was an issue authorizing you for Amazon Q. Please try again. If this issue persists, you might need to disable your pop-up blocker or refresh the page.
このメッセージをくれた方は、私が管理している AWS Organizations 配下のメンバーアカウントを利用しています。
まずは再現確認のため、AWS Organizations の管理アカウントでも同様の事象が発生するか試してみました。
たしかに表示されません。
前日の夕方から発生しているとのことで、その時間帯に何をしたか思い返してみると……
原因
結論から言うと、「Kiro/Amazon Q Developer Pro」を前日の夕方に有効化 していました。
まだ使い始めていなかったため切り分け目的で無効化したところ、マネジメントコンソールの Amazon Q が問題なく表示されるようになりました。
ここからさらに根本原因を考察しました。
IAM Identity Center を使用することで Kiro Pro などのサブスクリプションの利用料を AWS アカウントの支払いにまとめることができます。そのため、AWS アカウントで Kiro Pro を有効化していました。
有効化した状態で、IAM Identity Center 経由でログインすると、Amazon Q は正常に表示されました。
一方、問題が発生している方は IAM ユーザーでログイン しています。
つまり、
Kiro / Amazon Q Developer Pro を有効化している状態で IAM ユーザーを利用すると、マネジメントコンソールの Amazon Q が利用できなくなる
ということです。
実際には、IAM Identity Center のログイン画面が表示され、そこで認証を通せば利用可能です。しかし、今回問題が発生していた方には IAM Identity Center のユーザーを払い出していませんでした。
まとめると根本原因は次の2点です。
- IAM ユーザーを利用している
- Kiro/Amazon Q Developer Pro を有効化している
対策とまとめ
今回は早急な対策が必要だったので、IAM Identity Centerのユーザーを払い出して、そちらで引き続き利用いただくことにしました。
※事情があり、一部利用者は IAMユーザー を使い続ける必要がある環境です。
今回の件を通して、「Kiro/Amazon Q Developer Proの有効化はマネジメントコンソールの Amazon Q に影響する」という点を把握できました。今後同様の問題が発生した際にも役立つと思います。
また、本記事の事象は、特定の環境における実際の挙動に基づくものであり、AWS の公式情報として「Kiro / Amazon Q Developer Pro の有効化により IAM ユーザーでマネジメントコンソールの Amazon Q が利用できなくなる」と明示されているわけではありません。
設定状況や認証方式の組み合わせによって同様の事象が発生する可能性があるため、環境ごとの動作確認をおすすめします。
ーーー
記載されている会社名、製品名、サービス名、ロゴ等は各社の商標または登録商標です。