こんにちは、AWS グループのホンドウです。
私ごとですが、IAM Identity Center を用いて、会社のメンバーが利用する Kiro のサブスクリプションを管理する機会をいただきました。
そこで、本ブログでは、管理者向けに Kiro Organizations の Settings で設定できる全項目をご紹介したいと思います。
- AWS IAM Identity Center
- Kiro がサポートされているリージョン
- IAM Identity Center で一元管理する際の設定項目
- Organizations運用で特に重要な設定ベスト5
- まとめ
AWS IAM Identity Center
Kiro は、Builder ID や、Google アカウントで利用できますが、サブスクリプションするユーザーを IAM Identity Center で一元管理する機能も用意されています。*1
なお、一元管理する ID プロバイダーとして、OKTA と Microsoft Entra も選択ができます。*2
Kiro がサポートされているリージョン
2026年4月27日時点でKiro をサポートする AWS のリージョンは以下です。*3
KiroコンソールとKiroプロファイル
- US East (N. Virginia)
- Europe (Frankfurt)
- AWS GovCloud (US-East)
- AWS GovCloud (US-West)
KiroがサポートするIAMアイデンティティセンターのリージョン
- US East (Ohio)
- US East (N. Virginia)
- US West (N. California)
- US West (Oregon)
- Asia Pacific (Mumbai)
- Asia Pacific (Osaka)
- Asia Pacific (Seoul)
- Asia Pacific (Singapore)
- Asia Pacific (Sydney)
- Asia Pacific (Tokyo)
- Canada (Central)
- Europe (Frankfurt)
- Europe (Ireland)
- Europe (London)
- Europe (Paris)
- Europe (Stockholm)
- South America (São Paulo)
- AWS GovCloud (US-East)
- AWS GovCloud (US-West)
例えば、香港リージョンに Identity Center を作っていると、Kiro のサブスクリプション管理には使えないということになります。
弊社は、東京リージョンで Identity Center インスタンスを起動し、米国(バージニア北部)リージョンで Kiro を管理しています。ユーザーディレクトリは、
- AWSアカウント
- リージョン
- Identity Center
の組み合わせで構成されております。
IAM Identity Center で一元管理する際の設定項目
ここからは、IAM Identity Center を用いて、Kiro のサブスクリプションを一元管理する際に、設定できる項目を紹介していきます。
セッティング詳細
詳細は、Identity / 管理境界を定義する領域で、複数の Profile を運用する際や、マルチリージョン管理、Prod / Dev といった環境ごとに整理をしたいときに利用できます。
編集ボタンをクリックすると、名前と説明が変更できます。
それ以外の項目は読み取り専用です。
| 項目 | 説明 | 例 |
|---|---|---|
| 名前 (Profile name) |
Prifile を認識するための名称 | KiroProfile-us-east-1 kiro-prod-apne1 kiro-dev-use1 |
| 説明 (Description) |
運用用途などを記載 | Platform team production environment |
| AWS Organizations のアカウントタイプ | Organizations と Kiro の統合許可状態 | 管理 |
| プロファイル ARN | Kiro プロファイルの Amazon Resource Name API 連携する際や、IaC 管理する際に参照 |
*4 |
| IAM Identity Center リージョン | Identity Center インスタンスが作成されたリージョン | ap-northeast-1 (東京リージョンの場合) |
| サインイン URL | Identity Center のログインエンドポイント Kiro でサインインする際に利用する 社内ポータルに貼ると便利 |
https://d-xxxx.awsapps.com/start |
| ユーザーとグループ | Identity Center 管理画面へのリンク ユーザーの追加や、グループ作成、権限付与などが行える |
ssoins-xxxxxxxx |
共有設定
共有設定では、以下の項目を制御できます。
コードリファレンスに提案を含める
Kiroは、オープンソースプロジェクトから部分的に学習をします。
そのため、Kiro は公開されているコードに類似したコードを提案することがあります。
「コード参照を含む提案を含める」を有効にすると、Kiro は提案の生成に使用されたソースに関する情報を含めます。
OFF にすると、生成のみで、参照情報付きの提案を受け取らない設定になります。
本項目は、組織のライセンスコンプライアンス方針に応じて決定してください。
モデルコンテキストプロトコル (MCP)
MCP の利用許可を制御できます。
MCP は、Agent extensibility の中核機能で、AI エージェントの入出力(I/O)を拡張し、外部ツールやデータソースと連携するための仕様です。
Web search and web fetch tools
Web search and web fetch tools は、インターネット情報の情報を Kiro が検索するのを許可するか否かを制御できます。
通常は ON で良いかと考えますが、金融系や、医療系、機密度の高い開発案件などで、無効化しないといけないケースに本オプションを検討する必要があります。
暗号化キー(Custom encryption key)
Kiro はデフォルトで、AWS マネージド キーを使用して保存データを暗号化します。
これをカスタマーマネージドキーに変更できます。
例えな、自前で暗号化キーを持ち込みたい場合(BYOK)、セキュリティ強化の提案、監査対応などで本オプションを検討する必要があります。
メンバーアカウントのサブスクリプション 本項目を有効にすると、Organizations 配下の利用状況を可視化できます。
具体的には、AWS Organizations の管理アカウントで、Amazon Q コンソールの [サブスクリプション] ページに、管理アカウントとメンバーアカウントの両方の Kiro サブスクリプションを単一の統合リストとして表示するように Kiro が設定できます。Amazon Q Business と、Amazon Q Developer を使っている場合は、一元的に可視化・確認でき便利です。
MCP レジストリ URL (オプション)
例えば、社内 MCP サーバーなどを指定できます。
Model availability
利用できるモデルをコントロールできます。例えば、Claude は利用 OK だけど、Deepseek は利用させたくない、といったケースに利用できます。
企業導入では超重要な設定です。
Kiro 設定
ここは 運用制御 + 監査ログ設定などの領域です。 📊
一つずつ確認していきましょう。
超過(Overage) 超過(Overage)は、各メンバーが Kiro の月間クレジットを使い切ったときに、続けて有料の超過クレジットを消費してタスクを継続させるかどうかを設定できます。 Overage に関しては、こちらのブログ で紹介しています。
ON にすると、メンバーが月間制限を超えて使用できるようになります。
予算が決まっている場合は、開発を止めたくない場合などに、本項目の検討が必要です。
Kiro 使用状況ダッシュボード Kiro 使用状況ダッシュボードを有効にすると、Usage analytics が有効化され、機能別の使用状況や、各メンバーの使用状況などが可視化され、追跡できるようになります。
プロンプトログ記録
プロンプトログ記録を有効にすると、プロンプトをメタデータとともにログ記録します。
監査目的や、再現性の管理で効果を発揮します。
Kiro ユーザーアクティビティレポート レポートを有効化すると、S3 バケットに日次のレポートを出力できます。出力される項目は以下の通りです。
- usage
- feature calls
- audit trail
これは、SIEM 連携*5 に利用できます。 以下のようなサービスとの統合が必要なら有効にします。
- Security Lake
- Athena
- Splunk
- Datadog
Organizations運用で特に重要な設定ベスト5
色々説明してきましたが、企業導入時にまず確認すべき項目はどれでしょうか。
もちろん、デフォルトのまま、Identity Center で Kiro の管理を有効化するだけでも使えなくはないのですが、有事の際や、定期的な監査に備えて、最低限確認したい項目を列挙しておきます。
- Model availability
- Custom encryption key
- Prompt logging
- Usage dashboard
- S3 activity export
まとめ
いかがでしたでしょうか。
調べてみると、Kiro Organizations の Settings は、単なる SSO 統合のための UI 設定ではありませんでした。
外部 AI 挙動を制御してセキュリティを制御し、コストを管理し、有事の際に監査ログを取得するために、Identity Center での管理を有効にするなら、この AI 開発プラットフォーム管理コンソール を活用いただきますようお願いします。
*1:https://kiro.dev/docs/enterprise/concepts
*2:https://kiro.dev/docs/enterprise/identity-provider/
*3:https://kiro.dev/docs/enterprise/supported-regions/
*4:arn:aws:codewhisperer:region:account-id:profile/xxxx
*5:種ログ情報を一元的に蓄積・管理し、ログ同士を相関的に分析することが出来るシステム
