はじめに
お疲れ様です。矢儀 @yuki_ink です。
Kiro、使ってますか?
よくわからんけど、業務端末にKiroを入れるのは危なそう!
うん、やめとこう!
具体的には、クラウドへのアップロードが許可されていないような、機密情報を含むローカルファイルをKiroが読み取って、その情報をプロンプトに含めてクラウド上のLLMに渡してしまう、というようなことが懸念されているのではと思います。
Kiroに読ませたくないファイルは .kiroignore に書くとか、業務端末にKiroを入れないとしてもEC2にKiro CLIを入れるとかCloudShellにKiro CLIを入れるとか、最初の一歩は色々ありそうなものです。
しかし「悪意を持った内部の人間が機密ファイルをKiroに読ませちゃうかもしれないでしょうが!!」というセキュリティ管轄部署の意見には反論できず、現状何も前に進んでいない…
そんなエンタープライズ環境への処方箋として、Amazon WorkSpaces Applications(旧AppStream2.0)でKiro IDEを配信する案をご紹介したいと思います。
ここでご紹介する方法なら、業務端末にブラウザさえ入っていればKiroを利用することができ、接続元からのファイルのアップロードやテキストのコピペも制限できます。
「処方箋」というより「暫定対応策」というか、「業務端末にKiroを導入するまでの一時しのぎ」といった方がニュアンスとして正しいかもしれません。
わざわざWorkSpaces Applicationsを噛ませて、手間を増やしカスタマイズ性を下げるより、業務端末に入れた方が当然良い!
- 一時しのぎ構成でもいいから、まずKiroを使えるようにする(やってますアピールにもなる)
- 実際にKiroを触りながら、Kiroを業務端末に入れるメリットと発生しうるリスク・その対策を整理する
- 勝ち目が見えてきたら、それを持ってセキュリティ管轄部署にアプローチする
この流れが大事だと考えます。
この記事で目指す環境
- Amazon WorkSpaces Applications(旧AppStream 2.0)を利用してKiro IDEをストリーミング配信
- ベースOSはWindows Server 2025
- 日本語対応やKiroのオプトアウトなどは実施済みの状態で配信
- 多くの利用が見込まれるPowersの設定は標準化し、ゲストユーザ側でのインストール・設定は不要にする(今回は
AWS Observability Kiro Power) - 個別のMCPサーバの設定は標準化しない
- Kiro内のターミナルからGit連携することを想定
- 接続元端末 → WorkSpaces Applications へのファイルアップロード・クリップボードのコピペは禁止
- WorkSpaces Applications → 接続元端末 へのファイルダウンロード・クリップボードのコピペは許可
- ゲストユーザがWorkSpaces Applicationsのホームフォルダ配下に保存したファイルは永続化する
- Kiroはゲストユーザのクレデンシャルを利用してAWSにアクセス(クレデンシャルは
aws loginで取得する想定だが、aws configureでアクセスキーを登録して利用することも否定はしない)
以下のような設定については、ゲストユーザがWorkSpaces Applicationsに接続してから、個別に実施してもらう想定です(設定は標準化せず、イメージに含めない)
◆ Kiroプロジェクト作成・開発作業
・ホームフォルダ配下でのKiroプロジェクト作成
・ソースコードの管理・編集・実装
◆ AWSクレデンシャルの設定
・aws login(または aws configure)の実行
◆ Kiroの個別カスタマイズ
・開発に必要なMCPサーバの選定・追加設定
・拡張機能の追加
◆ その他個別設定
・Gitの設定(ユーザ名・メールアドレスなど)
Powersはイメージに含めて標準提供するのに、なぜMCPサーバの設定はイメージに含めないの?
導入したMCPサーバの役割とは全く関係ないプロンプトでトークンが無駄に消費されてしまう可能性があるということを踏まえ、MCPサーバの設定を標準化してイメージに含めるのはやめておいた方がいいと考えたためです。
例えば AWS CloudFormation MCP Server を設定してイメージに含め、標準提供するケースを考えます。
AWSリソースの構築をガリガリするようなゲストユーザにとっては「最初からMCPサーバが入っていて嬉しい!」になりますが
それとは全然関係ない用途でKiroを利用するゲストユーザにとっては、AWS CloudFormation MCP Server は不要で、それどころかトークンの無駄遣いに繋がる「邪魔者」です。
その点で、Powersは「邪魔者」にはならないという良さがあります。
従来は設定されたすべてのMCPサーバーが常時Contextに含まれていましたが、Kiro Powersではプロンプトの内容に応じて必要なMCPサーバーのみがアクティブ化されます。
例えばTerraformとAWS CDKの両方のKiro Powersをインストールしている場合、Terraformに関するプロンプトにはTerraform Powersが、CDKに関するプロンプトにはAWS CDK Powersが自動的にアクティブ化される、というイメージです。
というわけで、今回は個別のMCPサーバの設定は行わず、Powersの導入に限定することにしました。
「ゲストユーザ全員が必ず利用するであろうMCPサーバがある!標準化してイメージに含めたい!」という場合は、Template Userのホームディレクトリ配下に ~/.kiro/settings/mcp.json を作って、いわゆる「User Config」の設定を書いておけばいいのではと思います
なぜWindows Serverなの? Linux系OSじゃダメなの?
今回、WorkSpaces Applicationsで配信するイメージを作成するにあたり、ベースOSはMicrosoft Windows Serverを採用しました。
その背景を書いておきます。
まず、記事執筆時点でWorkSpaces Applicationsで提供されているベースOSは以下の通りです。
- Microsoft Windows Server 2016 - 2025
- Red Hat Enterprise Linux 8
- Rocky Linux 8
先日、Amazon Linux 2 のサポート終了が発表されました。
まだ使えますが、上記のリストからは除外しています。
そのうえで、Kiroのシステム要件を見てみます。
System Requirements
Kiro is available for macOS, Windows, and Linux.
- On macOS, Kiro runs on both Intel and Apple silicon with the latest security updates.
- On Windows, Kiro supports Windows 10 and 11 (64-bit only). ARM is not currently supported.
- On Linux, Kiro requires glibc 2.39 or higher. For example Ubuntu 24+, Debian 13+, Fedora 40+, Arch Linux, and Linux Mint 22+.
Linux では、glibc のバージョン2.39以上が求められています。
しかし、残念ながら、RHEL 8 / Rocky Linux 8 では glibc 2.28 で止まってしまっており、この要件を満たすことができません。
(参考)WorkSpaces Applicationsで提供されるRocky Linux 8の環境
$ cat /etc/os-release
NAME="Rocky Linux"
VERSION="8.10 (Green Obsidian)"
ID="rocky"
ID_LIKE="rhel centos fedora"
VERSION_ID="8.10"
PLATFORM_ID="platform:el8"
PRETTY_NAME="Rocky Linux 8.10 (Green Obsidian)"
ANSI_COLOR="0;32"
LOGO="fedora-logo-icon"
CPE_NAME="cpe:/o:rocky:rocky:8:GA"
HOME_URL="https://rockylinux.org/"
BUG_REPORT_URL="https://bugs.rockylinux.org/"
SUPPORT_END="2029-05-31"
ROCKY_SUPPORT_PRODUCT="Rocky-Linux-8"
ROCKY_SUPPORT_PRODUCT_VERSION="8.10"
REDHAT_SUPPORT_PRODUCT="Rocky Linux"
REDHAT_SUPPORT_PRODUCT_VERSION="8.10"
# インストール済みの glibc は 2.28
$ sudo yum list installed glibc
Installed Packages
glibc.x86_64 2.28-251.el8_10.27 @rocky-baseos-8.x86_64
# yum update を試みても、glibc はこれ以上アップデートできない
$ sudo yum update glibc
Dependencies resolved.
Nothing to do.
Complete!
Windows Serverでやるしかない!!!
今回は、Windows Serverの中でも最新のWindows Server 2025を採用することにしました。
Podman + Toolbox を使って glibc 2.39 以上の環境をコンテナ内に隔離する方式もありかと思ったけど、できるか分からないし、
できたとしても、実装が大変そうだしインスタンスの起動オーバーヘッドも増加しそうだし、問題が多そうなのでやめた。
そもそもKiroの意味ある? マネコンからAmazon Q in Console使えばいいじゃん
それは用途次第です。
「AWSの情報収集・構築・設定変更などの作業を、マネコンの画面からアシストしてほしい」ならAmazon Q in Consoleで充足しますし、一方で「開発プロセス全体を効率化したい。GitなどAWS外のサービスとの連携もしたい」となればKiroの出番です。
Amazon Q Developer Pro ライセンスでKiroも利用できるので、悩むならどっちも使っちゃえば?と思います😅
実装
前置きが長くなりました。。
ここから実装です。張り切っていきましょう!
◆ 目次
1. WorkSpaces Applicationsイメージビルダーの作成
2. OS・Edgeの設定
3. uvのインストール
4. Gitのインストール
5. Kiroのインストール
6. Kiroにサインイン
7. Kiroの初期セットアップ
8. Kiro Powersのインストール
9. Kiro Powersの aws login 対応
10. イメージ作成直前の仕上げ
11. WorkSpaces Applicationsイメージの作成
12. WorkSpaces Applicationsフリートの作成
13. WorkSpaces Applicationsスタックの作成
前提
WorkSpaces ApplicationsやKiroについて、各サービスで出てくる概念・用語(「スタック」とか「フリート」とか)については説明を省略します。
事前にこちらのブログを読んでいただけると、理解が深まると思います。
◆ Amazon WorkSpaces Applications(旧AppStream2.0)について
◆ Kiroについて
なお、今回は「Kiro IDE」に焦点を当てます(CLIのほうじゃないです!!)
1. WorkSpaces Applicationsイメージビルダーの作成
以下の通り作成しました。
※表に記載していない項目はデフォルト値を採用
| 項目 | 値 |
|---|---|
| Image | AppStream-WinServer2025-12-18-2025 (Public) |
| Name | ImageBuilder-Kiro-Win2025 |
| Display Name | ImageBuilder-Kiro-Win2025 |
| Instance family | General Purpose |
| Instance type | stream.standard |
| Instance size | medium |
| Default Internet Access | ✅ Enable |
| VPC / Subnet | 事前に作っておいたパブリックサブネットを指定しました(色々なパッケージをインストールするので、インターネット接続は必須です) |
Kiroのシステム要件にCPUコア数やメモリに関する記載が見当たらなかったので、インスタンスタイプは適当に選びました😅
実際に操作してみて、ちょっと動作が遅いかな…?と思うことはありましたが、明らかにめちゃくちゃ遅いということはなかったので、まあ stream.standard.medium で十分かなという感覚です。
イメージビルダーが起動したら、Action > Create Streaming URL をクリックしてイメージビルダーに接続します。
2. OS・Edgeの設定
OSの日本語対応に加えて、Edgeの設定も行います。
Kiroにサインインする際、ブラウザが開いて認証画面にリダイレクトされます。
その時に起動するブラウザ=Edgeについても、ここで設定しておきます。
日本語の言語パックのインストール
Administrator としてイメージビルダーに接続します。
Settings > Time & Language > Language & region の画面に遷移。
Preferred languages の Add a language ボタンをクリックして、日本語の言語パック(Language pack)をインストールします。
Set as my Windows display language にもチェック✅を入れて、Install ボタンをクリック。
当初は言語パックのインストールもコマンドラインでやれたらと思っていたのですが、うまくいきませんでした。
# 試してダメだったコマンド1
Install-Language ja-jp
# 試してダメだったコマンド2
dism /online /add-capability /capabilityname:Language.Basic~~~ja-JP~0.0.1.0
いずれも、コマンドを実行すると、良い感じに処理が始まったように見えるのですが…
その後どれだけ待っても処理が完了しないという状況になりました。
諦めてGUI操作にしました。
PowerShellでの設定
Administrator としてイメージビルダーに接続します。
まずはOSの日本語化を進めましょう。
管理者としてPowerShellを起動して以下コマンドを実行します。
# ----------------------------
# タイムゾーン設定
# ----------------------------
# タイムゾーンを日本標準時(UTC+9)に設定する
Set-TimeZone -Id "Tokyo Standard Time"
# ----------------------------
# 言語・ロケール設定
# ----------------------------
# システムの表示言語リストを日本語のみに設定する
Set-WinUserLanguageList -LanguageList ja -Force
# Windowsの地域情報を日本(GeoId: 122)に設定する
Set-WinHomeLocation -GeoId 122
# システムロケールを日本語に設定する(要再起動)
Set-WinSystemLocale -SystemLocale ja-JP
# UIの表示言語を日本語に上書き設定する
Set-WinUILanguageOverride -Language ja-JP
# ユーザーのカルチャ(日付・通貨・数値の書式)を日本語に設定する
Set-Culture ja-JP
# 言語リストに基づくカルチャのオプトアウトを無効化する(カルチャ設定を言語リストと同期させる)
Set-WinCultureFromLanguageListOptOut -OptOut $False
# 現在のユーザーの設定をログオン画面・新規ユーザーにも適用する
Copy-UserInternationalSettingsToSystem -WelcomeScreen $true -NewUser $true
# ----------------------------
# キーボード設定
# ----------------------------
# i8042prt(PS/2キーボードドライバ)のレジストリキーを作成する
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt\Parameters" /f
# キーボードレイアウトドライバとして日本語106キー用DLLを指定する
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt\Parameters" /v "LayerDriver JPN" /t "REG_SZ" /d "kbd106.dll" /f
# キーボード識別子を日本語106キーボード(PCAT_106KEY)に設定する
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt\Parameters" /v "OverrideKeyboardIdentifier" /t "REG_SZ" /d "PCAT_106KEY" /f
# キーボードサブタイプを日本語(2: IMEなし日本語)に設定する
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt\Parameters" /v "OverrideKeyboardSubtype" /t "REG_DWORD" /d "2" /f
# キーボードタイプを日本語106/109キーボード(7)に設定する
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt\Parameters" /v "OverrideKeyboardType" /t "REG_DWORD" /d "7" /f
# ----------------------------
# 環境変数設定(後続手順でuvをインストールするので、Python周りの文字化けを防止するための設定をしておく)
# ----------------------------
# PythonのUTF-8モードを有効化
[System.Environment]::SetEnvironmentVariable("PYTHONUTF8", "1", "Machine")
# Pythonの標準入出力を強制的にUTF-8に
[System.Environment]::SetEnvironmentVariable("PYTHONIOENCODING", "utf-8", "Machine")
続いて、Edgeの設定をしていきます。
以下の設定は必須でないです。
しかし、Kiroにサインインするときの認証用途以外での利用を想定しないことや、WorkSpaces Applicationsで配信することを考えると、無駄な機能は無効化しておいたほうがいいと思います。
「認証のためにEdgeが開いたと思ったら、認証ページじゃなくてEdgeのウェルカム画面が表示された、みたいなのはちょっと許せないなーー😇」というような気持ちで、いろいろ設定してみました。
# ----------------------------
# Microsoft Edge ポリシー設定
# ----------------------------
# Microsoft Edge のポリシー用レジストリキーを作成する
reg add "HKLM\Software\Policies\Microsoft\Edge" /f
# Edgeの初回起動時のウェルカム画面(First Run Experience)を非表示にする
reg add "HKLM\Software\Policies\Microsoft\Edge" /v "HideFirstRunExperience" /t REG_DWORD /d 1 /f
# Edgeの同期機能(Microsoftアカウントとの同期)を無効化する
reg add "HKLM\Software\Policies\Microsoft\Edge" /v "SyncDisabled" /t REG_DWORD /d 1 /f
# EdgeのスポットライトおよびMicrosoftからのおすすめコンテンツ表示を無効化する
reg add "HKLM\Software\Policies\Microsoft\Edge" /v "SpotlightExperiencesAndRecommendationsEnabled" /t REG_DWORD /d 0 /f
# Edgeから収集される診断データの送信を無効化する(プライバシー保護)
reg add "HKLM\Software\Policies\Microsoft\Edge" /v "DiagnosticData" /t REG_DWORD /d 0 /f
# Edgeのバックグラウンド動作(ブラウザ終了後もプロセスを常駐させる機能)を無効化する
reg add "HKLM\Software\Policies\Microsoft\Edge" /v "BackgroundModeEnabled" /t REG_DWORD /d 0 /f
# Edge起動時に新しいタブページを表示するよう設定する(前回のセッションを復元しない)
reg add "HKLM\Software\Policies\Microsoft\Edge" /v "RestoreOnStartupIsNewTabPage" /t REG_DWORD /d 1 /f
# Edgeを強制終了した場合でも、次回起動時に「ページの復元」ポップアップが表示されないようにする
reg add "HKLM\Software\Policies\Microsoft\Edge" /v "HideRestoreDialogEnabled" /t REG_DWORD /d 1 /f
# EdgeのUIおよびコンテンツの表示言語を日本語に設定する
reg add "HKLM\Software\Policies\Microsoft\Edge" /v "ApplicationLocaleValue" /t REG_SZ /d "ja" /f
# Edgeのホームボタンを非表示にする
reg add "HKLM\Software\Policies\Microsoft\Edge" /v "ShowHomeButton" /t REG_DWORD /d 0 /f
# Edgeのお気に入りバー(ブックマークバー)を非表示にする
reg add "HKLM\Software\Policies\Microsoft\Edge" /v "FavoritesBarEnabled" /t REG_DWORD /d 0 /f
# 新しいタブページをシンプルなページに設定する(ニュースフィード等を無効化)
reg add "HKLM\Software\Policies\Microsoft\Edge" /v "NewTabPageContentEnabled" /t REG_DWORD /d 0 /f
# Edgeのパスワードマネージャーを無効化する
reg add "HKLM\Software\Policies\Microsoft\Edge" /v "PasswordManagerEnabled" /t REG_DWORD /d 0 /f
# 自動翻訳の提案を無効化する
reg add "HKLM\Software\Policies\Microsoft\Edge" /v "TranslateEnabled" /t REG_DWORD /d 0 /f
最後に再起動して、設定を反映させます。
# OS再起動
Restart-Computer -Force
再起動の実行したあと、セッションが閉じます。
再接続を試みるポップアップが表示されますが、そこから再接続しようとしたときに、以下のようなエラーが出ました。
しばらく待っても解消しなかったので、マネジメントコンソールの画面から、イメージビルダーを停止(Stop)させ、その後再度起動(Start)させることで対応しました。
◆ 参考にさせていただいたブログ
環境変数(Python周りの文字化けを防止するためのおまじない)の設定背景はこちら。
その他OSの設定
実際にWorkSpaces Applications経由でKiroが利用されるとき、インターネット向けの通信は社内プロキシを通したい
絶対に適用しておかないといけない更新プログラムがある
社内システムの証明書をインポートしないといけない
などなど
そのような要件がある場合は、ここで設定を入れておいてください。
(普通にWindows Serverの構築をするのと同じ感覚で設定していただければと思います)
ちなみに、Kiroのプロキシ設定は、OSの http_proxy と https_proxy の環境変数から継承されます。
※Kiro IDE側の設定でオーバーライドも可能
3. uvのインストール
MCP サーバーは uvx(uv パッケージマネージャ)経由で起動するため、Windows 側に uv のインストールが必須です。
(出典)【実機検証】AWS Observability Kiro Power を ECS Fargate 環境で試したら、AIが脆弱性スキャンと設定ミスを自動で見つけてくれた話
というわけでインストールしておきます。
Windows環境へのuvインストールについて、スタンダードな手順は、PowerShellで以下のコマンドを実行する方式です。
# 今回はこのコマンドは使いません
powershell -ExecutionPolicy ByPass -c "irm https://astral.sh/uv/install.ps1 | iex"
しかし、この方式だと、記事執筆時点ではuvのインストール先が %USERPROFILE%\.local\bin となってしまい、つまりコマンドを実行したユーザのホームディレクトリ配下にuvがインストールされることになります。
WorkSpaces Applicationsで配信するという性質上、特定のユーザのホームディレクトリ配下にあるファイルを実行するという状況は好ましくありません。
そのため今回は C:\Program Files 配下のフォルダがインストール先となる、WinGetを利用する方式でuvのインストールを進めます。
Administrator としてイメージビルダーに接続します。
管理者としてPowerShellを起動して以下コマンドを実行。
winget install --id=astral-sh.uv -e --scope machine
「ソース契約条件」が表示された場合、Y を打鍵して、インストールを進めます。
インストールが完了しました と表示されたら、PowerShellで新しいターミナルを開いて、以下コマンドを実行。
正常にuv・uvxがインストールされたことを確認します。
# uvのバージョン確認
uv -V
# 筆者の環境では以下の出力になりました
# uv 0.11.2 (02036a8ba 2026-03-26 x86_64-pc-windows-msvc)
# uvxのバージョン確認
uvx -V
# 筆者の環境では以下の出力になりました
# uvx 0.11.2 (02036a8ba 2026-03-26 x86_64-pc-windows-msvc)
しかしこのままだと、一般ユーザからuv・uvxが利用できません!!!!
筆者の環境では、uvの実体は C:\Program Files\WinGet\Packages\astral-sh.uv_Microsoft.Winget.Source_8wekyb3d8bbwe に格納されていました。
各exeファイルののパーミッションを除いてみると、特権ユーザからしか読み取り・実行ができない状態になっていました。
管理者としてPowerShellを起動して以下コマンドを実行し、Users グループに読み取り・実行の権限を付与します。
icacls "C:\Program Files\WinGet\Packages\astral-sh.uv_Microsoft.Winget.Source_8wekyb3d8bbwe" /grant "Users:(OI)(CI)RX" /T
ちなみに、「Microsoft.Winget.Source_8wekyb3d8bbwe」は、WinGetの公式ソースだそうです。
「何このランダム文字列」って思った。。
◆ 参考にさせていただいたブログ
4. Gitのインストール
Kiro上でGitの操作をしたい!
なんならターミナルとしてGit Bashを使いたい!
ということでGit fow Windowsをインストールしていきます。
Administrator としてイメージビルダーに接続。
管理者としてPowerShellを起動して以下コマンドを実行。
winget install --id Git.Git -e --scope machine
「ソース契約条件」が表示された場合、Y を打鍵して、インストールを進めます。
インストールが完了しました と表示されたら、PowerShellで新しいターミナルを開いて、以下コマンドを実行。
正常にGitがインストールされたことを確認します。
# gitのバージョン確認
git -v
# 筆者の環境では以下の出力になりました
# git version 2.53.0.windows.2
「あれ、Gitはパーミッションの修正しなくていいの?」と思われた方。しなくて大丈夫です。
uv同様にGitもWinGetでインストールしましたが、Gitの場合はインストール先が C:\Program Files\Git となっており、exeファイルのパーミッションの設定も適切でした。
5. Kiroのインストール
Administrator としてイメージビルダーに接続。
Edgeを開いて、https://kiro.dev/downloads/ にアクセスし、Windows向けのインストーラをダウンロードします。
管理者としてPowerShellを起動して以下コマンドを実行。
# 先ほどダウンロードしたインストーラのパスを引数で指定
# インストーラの格納先・ファイル名を確認し、それに応じて修正すること!
$installer = "C:\Users\ImageBuilderAdmin\Downloads\kiro-ide-0.11.107-stable-win32-x64.exe"
# インストーラを実行
Start-Process -FilePath $installer -Wait -Verb RunAs
Start-Process コマンドを打った後にこのようなポップアップが表示された場合、OK をクリックしてください。
インストーラが起動します。
案内に沿ってインストールを進めます。
インストール先のフォルダは C:\Program Files\Kiro にします!! それ以外はデフォルトのままです。
インストール先のフォルダは、デフォルトでは C:\Users\ImageBuilderAdmin\AppData\Local\Programs\Kiro となっています。
WorkSpaces ApplicationsでKiroを配信するという性質上、特権(ImageBuilderAdmin)以外のユーザでもKiroを実行できることが必要になります。
ということで今回は C:\Program Files\Kiro をインストール先のフォルダとして指定しました。
※これをやるために、わざわざPowerShellから管理者権限でインストーラを起動しました。
インストール直前の画面はこんな感じになりました。
インストール ボタンをクリック。
インストールが完了すると、Kiroを起動できます!
Kiroの詳細なセットアップ手順を見たい方は、こちらの記事がおすすめです。
▶︎ 【AIエディタ】Kiroのセットアップをしてみた
ここで一度、マネジメントコンソールの画面から、イメージビルダーを停止(Stop)させ、その後再度起動(Start)しておきます。
※なぜか再起動しないと、Template UserのPowerShell(Kiroのターミナル含む)からgitコマンドが打てなかった。。
6. Kiroにサインイン
イメージビルダーが再起動したことを確認して、Template User としてイメージビルダーに接続します。
接続するユーザに注意!
🙆 Template User …配信するアプリのセットアップをするユーザ
🙅 Administrator …パッケージのインストールやOS全体の設定をするユーザ
ここからはKiroのセットアップを行なっていくので、Template Userを使います。
C:\Program Files\Kiro\Kiro.exe を実行して、Kiroを起動します。
Sign in をクリックすると、ブラウザ(Edge)が開いて認証画面にリダイレクトされるので、持っているIDでサインインします。
筆者は事前に作っておいたBuilders IDでサインインしました。
サインインしたら、Kiroの初期設定画面に遷移します。
今回は Skip Allで。
ウェルカム画面が開けばOK!
ここで注意を入れておきますが、Open a project ボタンは押さないでください。
ウェルカム画面の Open a project ボタンだけでなく、左ペインからKiro👻の画面(↓のスクショ)を開いた時の Open Project ボタンも同様に押さないでください。
ボタンを押したとしても、プロジェクトのフォルダの選択をしないでください。
WorkSpaces Applications経由でゲストユーザがKiroを起動したとき、そのプロジェクト(フォルダ)が表示される状況になります。
プロジェクトの開始は、イメージ作成の段階では実施せず、配信してからゲストユーザ側にやってもらうようにしましょう。
7. Kiroの初期セットアップ
Template User としてイメージビルダーに接続し、Kiroを起動。
画面表示の日本語化
左ペインから拡張機能(Extensions)の画面を開き Japanese Language Pack for Visual Studio をインストールします。
インストールが完了したら、画面右下のポップアップで「表示言語を日本語に変える?」と聞かれるので、ポップアップ上の Change Language and Restart ボタンをクリックします。
Kiroが再起動したら、日本語表示になっていることを確認します。
これはIDEとしての画面表示を日本語化したに過ぎません。
もし生成AIからの出力も日本語で縛りたい場合、Kiroのプロジェクトを作ったあと、steeringに指示を書くのが推奨されます。
その操作はゲストユーザに委ねます(イメージ作成時点ではプロジェクトを作らないから)
※普通にチャットするだけなら、特に設定を入れなくても、日本語で質問したら日本語で返してくれるので、そこまで気にしなくてもいいかなとも思います😅
(参考)
・Kiroに日本語でドキュメントを書いてもらいたいとき(解決)
・【Kiro 日本語化】Agent Steeringで回答・生成物を日本語にする方法!
Format In Saveの有効化
左ペインから設定画面を開き、 Editor: Format On Save にチェック✅を入れて、設定を有効にします。
こうしておくことで、AIで書かせると発生しやすいインデントのズレを、ファイル保存時に自動できれいにしてくれるようです。
◆ 参考にさせていただいたブログ
オプトアウト
Kiroに入力したデータがモデルのトレーニングなどに利用されないように、オプトアウトの設定をしておきます。
左ペインから設定画面を開き、アプリケーション > テレメトリ から、次の項目のチェックを外します。
🔳 Data Sharing And Prompt Logging: Content Collection for Service Improvement
🔳 Data Sharing And Prompt Logging: Usage Analytics And Performance Metrics
◆ 参考にさせていただいたブログ
ターミナルの確認
画面上部の ターミナル から新しいターミナルを開きます。
先ほどGitをインストールしたので、ターミナルとしてGit Bashも選択できるようになってますね。
デフォルトのターミナルはPowerShellになっています。
今回はやりませんが、デフォルトターミナルをGit Bashに変更することも可能です。
Kiroを起動して最初にターミナルを開いたタイミングで、このような警告⚠️が出てくることがあります。
⚠️ 次の拡張機能がこのターミナルの環境に変更を加えるため、ターミナルの再起動を要求しています。
・Git: 機能の有効化: git auth provider
これはKiroが起動したタイミングでGitの拡張機能が読み込まれる都合で、出てきてしまうもののようです。
デフォルトターミナルがPowerShellであれGit Bashであれ発生します。
無視してもターミナルは使えるのですが、気になるようなら ターミナルの再起動 をしてください。
なお、ターミナルの再起動 をして警告が消えたとしても、Kiroを再起動したらまた警告が出ますし、WorkSpaces Applicationsで配信したKiroでも同様に警告が出ます😅
8. Kiro Powersのインストール
パワー授かりたい~~!!
今回は、何かと便利そうな AWS Observability Kiro Power をインストールしてみました。
KiroがCloudWatchやCloudTrailに直接アクセスし、イベント・インシデントの情報収集→分析→対応の提案 まで自律的に実行してくれるようです。すごい。
Template User としてイメージビルダーに接続し、Kiroを起動。
左ペインから「Powers」のアイコン⚡をクリックして、AVAILABLE の一覧から AWS Observability を見つけてインストールします。
インストールが終わったら、INSTALLED タブに「AWS Observability」が表示されるようになりました。
Powerインストールの裏で設定されたMCPサーバについて、接続できなかったというエラーが表示されると思います。
このようなエラーは、今の段階では無視してください。
Show Logs からログを見てみると、プロファイルが未設定となっていることでエラーが発生していることが分かります。
Failed to initialize AWS clients: The config profile (default) could not be found
botocore.exceptions.ProfileNotFound: The config profile (default) could not be found
プロファイルの設定はイメージに含めるべきでなく、ゲストユーザ側にやらせるべきものなので、この時点ではプロファイルが登録されていない(それに伴ってエラーが出る)のが正解です。
◆ 参考にさせていただいたブログ
9. Kiro Powersの aws login 対応
aws login を使ってAWSクレデンシャルを取得し、Powers(正確には、Powersが使うMCPサーバ)がその権限でAWSにアクセスできるように、必要な設定を入れていきます。
背景として、aws login のクレデンシャルでboto3(AWS SDK for Python)を利用する場合は、実行環境にbotocore[crt](AWS Common Runtime)をインストールしておく必要があります。
今回はMCPサーバが内部的にboto3を使ってAWSにアクセスするわけなので、MCPサーバの実行環境にbotocore[crt]を入れておかないといけない。
…のですが、MCPサーバはuvによりその都度生成される仮想環境で実行され、その仮想環境にインストールされるパッケージはMCPサーバの pyproject.toml で記述されているものになります。
記事執筆時点では、残念ながら、AWSが提供しているMCPサーバの pyproject.toml では、依存関係にbotocore[crt]の記述はありません。
なので、uvが仮想環境を起動する時にbotocore[crt]を含めてくれるよう、クライアント側の mcp.json で無理やり設定しちゃおうぜ、というのが本章です😇
今後、MCPサーバ側で対応がされれば、本章での対応は不要になります。
Template User としてイメージビルダーに接続し、以下の通りファイルを修正します。
◆ 修正対象のファイル
%USERPROFILE%\.kiro\powers\installed\aws-observability\mcp.json%USERPROFILE%\.kiro\settings\mcp.json
2つのファイルに修正を加えないといけない点に注意してください。
◆ 修正内容
各MCPサーバの設定の args に "--with", "botocore[crt]", を追記します。
# 例:cloudwatch-applicationsignals-mcp-serverの設定箇所の場合
"awslabs.cloudwatch-applicationsignals-mcp-server": {
"command": "uvx",
"args": [
+ "--with",
+ "botocore[crt]",
"awslabs.cloudwatch-applicationsignals-mcp-server@latest"
],
"env": {
"AWS_PROFILE": "default",
"AWS_REGION": "us-east-1",
"FASTMCP_LOG_LEVEL": "ERROR"
},
"disabled": false,
"autoApprove": []
}
なお、AWS Documentation MCP Server は今時点ではbotocore[crt]を使わないのですが、一応おまじないとして追記しました。
◆ 参考にさせていただいたブログ
10. イメージ作成直前の仕上げ
以上で標準化したい設定が完了しました!
綺麗なイメージを作成するために仕上げをしていきます。
Template User としてイメージビルダーに接続して、操作してください。
Kiro上で開かれている全てのターミナルを終了する
もし↓のように複数のターミナルを開いているようなら、全て終了する。
Kiro上で開かれている全てのタブを閉じる
ゲストユーザがKiroを起動した時に、綺麗な画面から始まるようにする。
Kiroからサインアウトする
最重要です!!!
サインイン画面まで戻ったことを必ず確認してください!!!
Kiroのウィンドウを最大化しておく
ゲストユーザがWorkSpaces Applicationsに接続してきた時に、Kiroのウィンドウが最大化された状態になるようにしておきたい。
不要なファイルを削除する
不要なファイルをイメージに含めない、という目的もありますが、C:\Users\DefaultProfileUser\ フォルダの合計サイズが1GBを超えるとイメージの作成時にエラーが出たので、やらざるを得なかった😅
不要ファイル削除をやらずにイメージを作成しようとした時のエラーがこちら。
Save settings 処理の際に、エラーポップアップで Copy Profile Failed と表示された。
その上で、こんな警告も出てきた。
The size of the Windows profile for this Template User has almost reached the 1 GB limit. This might affect streaming sessions started for a stack on which application settings persistence is enabled. Consider reducing the size of the Windows profile by deleting unwanted files, such as files in the Temporary Internet Files folder.
確かに、C:\Users\DefaultProfileUser\ フォルダの合計サイズが1GBを超えていました。
※ほぼ AppData フォルダのせいでした(1.6GBくらいあった。。)
デフォルトサイズ制限が 1 GB から 5 GB に拡張されたというアナウンスがあったが、イメージビルダーには適用されていないのか。。
というわけで、不要なファイルの削除を進めていきます。
OSの一時ファイルの削除
設定 > システム > ストレージ > 一時ファイル の画面に遷移。
全てに✅を入れて ファイルの削除 をクリックします。
その他の不要ファイルの削除
設定画面からは消し切れないファイルを、PowerShellでのコマンド実行で直接削除します。
# ============================================================
# Edge(必要な設定はレジストリに入れたので、AppData配下のファイルは不要)
# ============================================================
Remove-Item "C:\Users\DefaultProfileUser\AppData\Local\Microsoft\Edge\*" -Recurse -Force -ErrorAction SilentlyContinue
# ============================================================
# uv
# ============================================================
Remove-Item "C:\Users\DefaultProfileUser\AppData\Local\uv\cache" -Recurse -Force -ErrorAction SilentlyContinue
# ============================================================
# Kiro
# ============================================================
# レンダリング・GPUキャッシュ
Remove-Item "C:\Users\DefaultProfileUser\AppData\Roaming\Kiro\Cache\*" -Recurse -Force -ErrorAction SilentlyContinue
Remove-Item "C:\Users\DefaultProfileUser\AppData\Roaming\Kiro\GPUCache\*" -Recurse -Force -ErrorAction SilentlyContinue
Remove-Item "C:\Users\DefaultProfileUser\AppData\Roaming\Kiro\DawnWebGPUCache\*" -Recurse -Force -ErrorAction SilentlyContinue
Remove-Item "C:\Users\DefaultProfileUser\AppData\Roaming\Kiro\DawnGraphiteCache\*" -Recurse -Force -ErrorAction SilentlyContinue
# コンパイル済みコード・プロファイルキャッシュ
Remove-Item "C:\Users\DefaultProfileUser\AppData\Roaming\Kiro\CachedData\*" -Recurse -Force -ErrorAction SilentlyContinue
Remove-Item "C:\Users\DefaultProfileUser\AppData\Roaming\Kiro\CachedProfilesData\*" -Recurse -Force -ErrorAction SilentlyContinue
# ログ・履歴・セッションデータ
Remove-Item "C:\Users\DefaultProfileUser\AppData\Roaming\Kiro\logs\*" -Recurse -Force -ErrorAction SilentlyContinue
Remove-Item "C:\Users\DefaultProfileUser\AppData\Roaming\Kiro\User\History\*" -Recurse -Force -ErrorAction SilentlyContinue
Remove-Item "C:\Users\DefaultProfileUser\AppData\Roaming\Kiro\Session Storage\*" -Recurse -Force -ErrorAction SilentlyContinue
Remove-Item "C:\Users\DefaultProfileUser\AppData\Roaming\Kiro\Service Worker\*" -Recurse -Force -ErrorAction SilentlyContinue
Remove-Item "C:\Users\DefaultProfileUser\AppData\Roaming\Kiro\clp\*" -Recurse -Force -ErrorAction SilentlyContinue
# ============================================================
# Windows
# ============================================================
# 使わないアプリの関連ファイル
Remove-Item "C:\Users\DefaultProfileUser\AppData\Local\Microsoft\Media Player\*" -Recurse -Force -ErrorAction SilentlyContinue
Remove-Item "C:\Users\DefaultProfileUser\AppData\Local\Microsoft\Internet Explorer\IECompatData\*" -Recurse -Force -ErrorAction SilentlyContinue
# Windowsシステムキャッシュ
Remove-Item "C:\Users\DefaultProfileUser\AppData\Local\D3DSCache\*" -Recurse -Force -ErrorAction SilentlyContinue
Remove-Item "C:\Users\DefaultProfileUser\AppData\Local\Microsoft\Windows\ActionCenterCache\*" -Recurse -Force -ErrorAction SilentlyContinue
Remove-Item "C:\Users\DefaultProfileUser\AppData\Local\Microsoft\Windows\Caches\*" -Recurse -Force -ErrorAction SilentlyContinue
これで大体150MBくらいには収まりました。
AppData フォルダ配下をざっと見て、消せそうなものは消していますが、探せばもっと削除できるファイルはあると思います。
ここまでやっても、C:\Users\DefaultProfileUser\ フォルダの合計サイズが1GBを下回らないという状況であれば、他の消せそうなファイルを探してみてください(もちろん、消したらダメなファイルもあるので注意!)
全てのウィンドウを閉じておく
Kiroを含めて、イメージビルダー上の全てのウィンドウを閉じます。
ゴミがイメージに含まれないように、一応のおまじないです😅
綺麗になりましたね。
11. WorkSpaces Applicationsイメージの作成
Administrator としてイメージビルダーに接続します。
接続するユーザに注意!
ここからはAdministratorを使います。
デスクトップの Image Assistant のショートカットをクリックして、イメージアシスタントを起動します。
最初に ADD APPS の画面で、アプリケーションとして以下の通りにKiroを追加。
| 項目 | 値 |
|---|---|
| Name | Kiro |
| Display Name | Kiro IDE |
| Launch Path | C:\Program Files\Kiro\Kiro.exe |
| Icon path | C:\ProgramData\Amazon\Photon\AppCatalogHelper\AppIcons\1362d5ef-c9a4-463c-9b1e-f007fb33ffa1.png ※デフォルト |
| Launch Parameters | ※デフォルト |
| Working Directory | ※デフォルト |
Name と Display Name は好みです。
Next をクリック。
「CONFIGURE APPS」の画面に遷移したら、Save settings を 必ず!! クリックしてください!!
Template Userで設定した内容がイメージに反映されます。
処理が完了して「Saving the default app and Windows setting」のポップアップが閉じたら、Next をクリック。
「TEST」の画面に遷移したら、Switch User ボタンをクリックして Test User にスイッチします。
Test Userのセッションに切り替わったら、デスクトップのショートカットからイメージアシスタントを起動。
先ほど追加したアプリケーション(Kiro IDE)が表示されています。
Kiro IDE をクリックして、Kiroが起動したらOK。
Kiroの画面が最大化されるか、サインイン画面が表示されるか、の観点で一応確認する。
大丈夫そう。
Kiroを閉じて、再度、Administrator でイメージビルダーに接続し、Next をクリック。
「OPTIMIZE」の画面に遷移したら、launch ボタンをクリック。
Kiroが起動したら、その上に表示されているポップアップの Continue ボタンをクリックします。
イメージの名前などを入れていきます。
今回は KiroIDE-Win2025base にしました。
Always use latest agent version にもチェック✅を入れます。
Next をクリックすると、REVIEW の画面に遷移します。
今回はこんな感じ。
問題なければ Disconnect and Create Image をクリックします。
イメージ作成が完了すると、自動的にイメージビルダーは停止状態になります。
完了まで30分くらいかかるので、休憩してくださいw
12. WorkSpaces Applicationsフリートの作成
イメージの作成が完了したら、フリートを作成します。
設定は以下の通り。
※表に記載していない項目はデフォルト値を採用
| 項目 | 値 |
|---|---|
| Fleet type | On-Demand(ユーザ体験を重視するならAlways-On) |
| Image | 先ほど作成した KiroIDE-Win2025base
|
| Name | Fleet-KiroIDE-1 |
| Display Name | Fleet-KiroIDE-1 |
| Instance family | General Purpose |
| Instance type | stream.standard |
| Instance size | medium |
| IAMロール | 設定なし (クレデンシャルの設定はKiroのターミナルで行うため) |
| Stream View | Application |
| Default Internet Access | ✅ Enable |
| VPC / Subnet | 事前に作っておいたパブリックサブネットを指定しました(後述しますが、本番運用に乗せるならプライベートサブネットを指定すべきです) |
Name と Display Name は好みです。
Stream Viewについては、アプリケーションの画面だけが配信される Application ビューを選択しました。
エクスプローラやメモ帳など、Kiro以外のWindows標準アプリもWorkSpaces Applications上でゲストユーザに使わせたいなら、Windowsのデスクトップ画面(タスクバーなど含む)がそのまま配信される Desktop ビューでもいいと思います(ただの踏み台サーバ感が出てしまうのが残念なポイントですが、、)
タイムアウト設定やスケーリング設定については、今回はデフォルト値を採用しましたが、要件に合わせて設定してください。
13. WorkSpaces Applicationsスタックの作成
フリートができたら、スタックを作成します。
設定は以下の通り。
※表に記載していない項目はデフォルト値を採用
| 項目 | 値 |
|---|---|
| Name | Stack-KiroIDE-1 |
| Display Name | Stack-KiroIDE-1 |
| Fleet | 先ほど作成した Fleet-KiroIDE-1
|
| Home folders | ✅ Enable |
| Clipboard | Copy to local device only |
| File Transfer | Download only |
| Application settings persistence | 🔳 チェックなし |
Name と Display Name は好みです。
(補足1)ホームフォルダについて
Home folders を有効化することで、ゲストユーザがWorkSpaces Applicationsのセッション内でホームフォルダ(C:\Users\PhotonUser\My Files\Home Folder)に保存したファイルがS3に永続化され、次回接続時も引き続き利用できるようになります。
ゲストユーザには、ホームフォルダ配下にKiroプロジェクトを作成してもらうようにガイディングしましょう。
WorkSpaces Applicationsのセッションが切れる前に絶対Gitリポジトリに反映しておくからホームフォルダなんて必要ないです!というような、思想強めの組織の場合は、ホームフォルダは無効でいいかも
なお、ホームフォルダを有効にすると、WorkSpaces Applicationsがデータ保管用のS3バケットを自動作成します。
フリート作成時に指定したVPCでS3用のVPCエンドポイントを設定していた場合、VPCエンドポイントポリシーでWorkSpaces Applicationsが作成したS3バケットへのアクセスが許可されているか確認してください。
また、WorkSpaces ApplicationsのマネージドS3バケットに保管されたゲストユーザのデータを、サービス管理者が誤って閲覧・変更・削除してしまわないように、バケットポリシーでガードレールを敷いておくのがベストプラクティスです。
(補足2)クリップボードとファイル転送の統制について
以下の設定により、接続元端末からWorkSpaces Applicationsへのクリップボード貼り付けとファイルアップロードが禁止されます。
| 項目 | 値 |
|---|---|
| Clipboard | Copy to local device only |
| File Transfer | Download only |
これにより「機密情報をKiroに読ませてしまうかも!」という懸念を、設定レベルで封じることができます(ゲストユーザにスタックの設定変更権限を与えないことが前提です)
ただ、「手入力」に対する対策は打てていないので、「機密情報の入力はしないでね」とガイドや利用規約レベルでゲストユーザに伝えておく必要はあると思います。
(補足3)アプリケーション設定の永続化について
アプリ設定の永続化(Application Settings Persistence)を有効化すると、ゲストユーザが加えたKiroのカスタマイズ設定(拡張機能やMCPサーバの設定の追加など)もセッションをまたいで保持できます。
ゲストユーザ目線では嬉しい機能ですが、サービス管理者目線でのデメリット(以下)を踏まえ、今回は無効にしました。
- 標準構成の統制を取りづらくなる(Kiroのアップデート追従対応などで、配信するイメージを更新するときに、ゲストユーザ側の影響を把握しづらくなる)
- ゲストユーザがKiroの設定をぶっ壊したときに、復旧が面倒になる(1回セッション落として再接続してもらえれば直りますよ、って言いたい!)
とはいえ便利な機能ではあるので、状況に応じて検討してみてください。
動作確認
WorkSpaces Applicationsへの接続
スタックのStreaming URLを発行して、そこにブラウザ(接続元端末のブラウザ)からアクセスします。
WorkSpaces Applicationsのポータルが開けばOK。
Kiro IDE のアイコンをクリックして、起動まで待ちます。
Kiroが起動したらサインイン画面が表示されます。
Kiroへのサインイン
Sign in ボタンをクリックすると、ブラウザ(Edge)が開いて認証ページにリダイレクトされるので、持っているIDでサインインします。
筆者は事前に作っておいたBuilders IDでサインインしました。
認証が完了するとKiroが使える状態になります。
aws login によるクレデンシャル取得
Kiroのターミナルを開いて、以下のコマンドを実行し、AWSクレデンシャルを取得します。
aws login
WorkSpaces Applications上のEdgeが開き、AWSマネジメントコンソールの認証フローに進みます。
普段マネジメントコンソールにログインするために利用しているIAMユーザで認証します。
認証が完了すると、default プロファイルとしてクレデンシャルが保存されます(Kiroは、この default プロファイルを使ってAWSにアクセスします)
この状態で ~/.aws/config を確認すると、default が追加されていることが分かります。
$ cat ~/.aws/config
[profile appstream_machine_role]
credential_process = "C:\Program Files\Amazon\Photon\PhotonRoleCredentialProvider\PhotonRoleCredentialProvider.exe" --role=Machine
[default]
login_session = arn:aws:iam::123456789012:user/USERNAME
なお、appstream_machine_role プロファイルは元々定義されているものです。
※今回は設定していませんが、もしフリートの設定でIAMロールを指定していたら、appstream_machine_role プロファイルを通してそのIAMロールの権限を使えるようになります。
ADFSなど、自社IdPでの認証を経由しないとマネジメントコンソールにサインインできない環境の場合、aws login --remote を利用します。
(参考)AWS CLIのaws loginコマンドをリモートマシンで使う
ただし、--remote オプションを使う場面が想定される場合は、クリップボードのコピペ制限を設けることが難しくなります。
Kiroのターミナル上に発行されたリモート認証用URLを接続元端末のブラウザに貼り付け、認証が完了すると、今度は逆に接続元端末のブラウザで発行された検証コードをKiroのターミナルに貼り付けないといけません。
残念ながら、いずれも手入力で頑張れる文字数ではありません😭
「ファイルのアップロードは許容できないけど、テキストのコピペくらいは許容する」「そもそも aws login は使わずアクセスキーを使う」など、環境の制約と照らし合わせながら方針を決めていただければと思います。
ホームフォルダ配下でプロジェクト作成
左ペインからKiro👻の画面を開いて Open Project ボタンをクリック。
ホームフォルダ(C:\Users\PhotonUser\My Files\Home Folder)配下にプロジェクト用のフォルダ(今回は TestProject としました)を作って、開きます。
以下のようなポップアップが開いたら、はい、作成者を信頼します をクリック。
開発環境が整いました!
画面左下に AWS Observability Kiro Power が利用するMCPサーバの一覧があります。
MCPサーバが無効化されている場合、有効化するためのボタンが表示されているので、そのボタンをクリックしてMCPサーバを有効にしてください。
Kiro Powersの利用・日本語入力の確認
チャットウィンドウで、Kiroに日本語で質問してみましょう。
大阪リージョンにEC2のStatusCheckFailed_Instanceを監視するアラームはいくつある?
Powerが使われていますね!
正解です。
Git連携
ここでは、以下の記事で紹介されている手順に沿って、CodeCommitとのGit連携を確認してみました。
通常のVSCodeと同様に、Git連携ができました。
ファイルアップロードの拒否を確認
WorkSpaces Applicationsの画面上部のツールバーから My Files を見てみると、そもそもファイルアップロードのメニューは表示されておらず、接続元端末へのファイルのダウンロードのみ可能であることが分かります。
同様に、接続元端末でテキストをコピーしてWorkSpaces Applications内に貼り付けようとした場合も、クリップボード制限を設定していればブロックされます。
やってみてください。
本番運用に向けての要検討事項
ここまでの手順で「WorkSpaces ApplicationsでKiroを配信する環境」は完成しました。
それを本番運用に乗せるためには、以下の観点について踏み込んで考え、実装することが求められます。
WorkSpaces Applications関連
認証方式
WorkSpaces Applicationsへのアクセスに用いる認証基盤の設計です。
社内のIdP(Active Directoryなど)とのSAMLフェデレーションを実装するのが良いと思います。
NW構成
Kiroを利用する中で、WorkSpaces ApplicationsインスタンスからAWSのエンドポイントや外部のリポジトリなどに対して通信が発生することになります。
そのため、インターネットアクセスが可能な環境にWorkSpaces Applicationsインスタンスを構築する必要があります。
AWSのマネージドサービスであるWorkSpaces Applicationsのインスタンスだからといって、パブリックサブネットに置くのは非推奨です(今回は検証目的だったのでパブリックサブネットを使いましたが😓)
WorkSpaces Applicationsフリートのサブネットの設定ではプライベートサブネットを指定し、NAT Gatewayやプロキシサーバを通してインターネットに出ていくようなNW構成を検討する必要があります。
Kiroのアップデート追従
Kiroは活発にアップデートが続いています。
アップデートのたびに…というのは非現実的ですが、定期的にWorkSpaces Applicationsで配信するイメージを再作成し、最新のバージョンに追いつく運用が必要になります。
定期的なバージョンアップはKiroだけでいいのか、といえばそんなことはありません。
uvやGitなどのパッケージや、OSそのものもバージョンアップしていく必要があります。
何のパッケージを、どれくらいの頻度で、どうやってアップデートし、イメージとして取り込んでいくのかという点が、運用設計のポイントになります。
Kiro関連
Kiroにサインインするユーザとライセンスについて
Kiroにサインインするユーザをどうやって管理して、どんなライセンスを割り当てるか、検討する必要があります。
エンタープライズ環境では IAM Identity Center(IIC)経由でのサインインが推奨です。
ガバナンス管理・ライセンス管理・コスト管理のどの観点でも、IICを使う構成が現実的です。
ゲストユーザ向けの啓蒙
Kiroの環境を用意するだけでなく、ゲストユーザへの使い方の周知も重要です。
標準提供する環境の構成や利用方法の説明に加え、Kiroの活用方法やユースケース、注意事項、Tipsなどを示し、継続的に教育を行うことで、ようやくKiroの利用が浸透していくと思います。
今後やりたいこと
今回はKiro Powersの導入を試してみましたが、時代はどちらかといえば「Agent Skills」なのかなと思います。
Kiro IDEでもAgent Skillsが利用可能になったということなので、Agent Skillsの標準提供も試してみたいと思っています。
終わりに
検証でトライ & エラーを繰り返した結果、長文になってしまいました😅
ここまでお目通しいただいた方、ありがとうございます。
共に社内ルールを突破して、Kiroを使える環境を手に入れましょう。