はじめに
少し前に、 Builder Center で Kiro のサブスクリプションは AWS のクレジットで払えるよっていう記事を見つけました。
そこで、私も試してみたのですが結構詰まったので、記事にしてみることにしました。
この記事で学べること
- Kiro のサブスクリプションを AWS クレジットで支払う手順
- IAM Identity Center 経由で Kiro にサインインする流れ
-
profileArn is required but could not be resolvedエラーの原因と回避策
前提知識・条件
- 検証日: 2026 年 5 月
- 検証環境: Kiro IDE / kiro-cli / web 版 (kiro.dev)、IAM Identity Center を利用済み
やってみた
適用の確認
クレジットの「適用可能な製品」から、適用範囲のサービスを確認できます。
Kiro ありますね。
サブスクリプションしてみる
ではサブスクリプションしてみます。
Kiro のメニュー ユーザーとグループ から ユーザーを追加 を選びます。
次にプランを選択します。
割り当てユーザを選択します。ここで出てくるユーザーは IAM Identity Center におけるユーザーです。
割り当て成功しました。
サブスクリプションを見てみると、 保留中 となっています。
コメントの通り、初めてユーザが利用した時点で課金が発生するみたいですね。
サインインしてみる
では、サインインしてみます。
Your organization を選択します。
次に Sign in via IAM Identity Center instead を選択します。
払い出されている Start URL とリージョンを指定してログインします。
が、エラーが出てしまいました。
トラブルシューティング その 1
まずこのエラーですが、時間経過で直りました。非同期にアクティベーションが行われている模様です。
時間経過すると、サインインはできるようになりましたが、profileArn is required but could not be resolved のエラーが出てしまいます。
web 版の kiro.dev のログインでも同様ですね。
Issue を探してみると似た事象がありました。うち 1 つは時間経過で治ったような記載もあるので、しばらく待ってみることにしました。
トラブルシューティング その 2
さて、トラブルシューティング その 1 のあと 2 日ほど待ちました。
しかし profileArn is required but could not be resolved のエラーは一向に直りません。
時間経過では解決しなさそうなので、もう少し原因を深掘りしてみます。
状況の切り分け
まず、どこで何が起きているのかを整理します。
- Kiro IDE でサインインは成功するが
profileArn is required but could not be resolvedのエラーが出る - web 版の kiro.dev でも同じエラーが出る
- kiro-cli でチャットを投げても同じエラーが出る
ValidationException: profileArn is required for this request.
IDE・CLI・web のすべてで同じエラーが出ます。手元の端末の問題ではなく、バックエンド側の問題のようです。
IAM Identity Center の設定を確認する
念のため IAM Identity Center 側の設定を確認しておきます。AWS CLI で見てみると、Kiro 関連のアプリケーションはちゃんと作成されていました。
対象ユーザーへのアプリケーション割り当ても問題なし、OAuth の設定やスコープも正常でした。つまり IAM Identity Center 側はきちんと設定できているようです。
設定は正しいのに Kiro のバックエンドにプロファイルが作られていない、という状態のようですね。
別ユーザーで試してみる
そこで、同じ IAM Identity Center インスタンス内の別のユーザーで試してみたところ、無事動作することを確認しました。
つまり、アカウント全体の問題ではなく、特定のユーザー固有の問題ということが分かりました。
動いたユーザーと動かなかったユーザーの違いを調べてみると、作成方法に違いがありました。動かなかった方は手動作成、動いた方は SCIM 同期です。
原因
私は IAM Identity Center を使い始めたとき、最初は外部 IdP を使った認証はしていませんでした。途中から個人契約している Google Workspace のアカウントを利用するようにしました。
なのでユーザは 2 つ存在しています。
| No | ドメイン | 作成方法 |
|---|---|---|
| 1 | Gmail ドメイン | 手動 |
| 2 | 独自ドメイン | SCIM (Google Workspace) |
普段、ログインする際は No1 の当初からあるアカウントを使っていました。なので、Kiro のサブスクリプションの紐付けも No1 側のユーザに実施していたのです。
結果それだとダメで、 No2 側のアカウントに、Kiro のサブスクリプションを紐づけることで無事動きました。
手動作成ユーザーだとなぜ profileArn が解決できないのか、Issue やドキュメントによる確証は取れていません。
Kiro のバックエンドの挙動によるものなのでしょうか??
まとめ
以下のことがわかりました。
- Kiro のサブスクリプションは AWS クレジットでの支払いに対応している
- IAM Identity Center 経由のサインインは非同期にアクティベーションが行われるため、初回はしばらく待つ必要がある模様
- 2026 年 5 月時点では、手動作成したユーザーにサブスクリプションを割り当てると
profileArn is requiredで動かないケースがある - 同じ Identity Center 内でも SCIM プロビジョニング由来のユーザーに割り当てると動作した
- 同じエラーで詰まっている方は、別ユーザーで切り分けてみるのも良いかも
エラーが出たときにはまずは1日待ってみる。そのあとは今回のようなユーザの問題を疑ってみるのが良さそうですね!
誰かのお役に立てれば幸いですー。
(色々触ったせいか、アクティブユーザが2つあるような表示で、課金がどうなるか心配です・・・!)
