[アップデート] Amazon Q Business で IAM Identity Center 統合ができるようになりました。なりましたというか今後必須になるようです

いわさ

2024.04.19

いわさです。

みなさん Amazon Q の公式ドキュメント更新履歴を毎朝見ますよね。私も見ています。

今朝、Amazon Q Business と AWS IAM Identity Center を統合し、IAM Identity Center を使って Amazon Q ユーザーを管理できるようになったと更新されていましたね。

以前までは Amazon Q Business はデプロイ後のユーザー管理に SAML 連携を使うことが出来ました。
次の記事では大瀧さんが Microsoft Entra ID の SAML アプリケーションを統合されています。

これまでは IAM Identity Center を使いたい場合でも SAML を構成する必要があったのですが、今回のアップデートでマネージド統合がサポートされました。

Amazon Q Business は本日時点でプレビューです

サポートされたというか...今後はそれのみっぽい

ただ、よくドキュメント見てみますと、どうやら IAM Identity Center のマネージド統合ができるようになるというか、必須になるようです。
次の公式ドキュメントの記述に注目してください。

Starting April 30, 2024, all new applications will need to use IAM Identity Center directly to manage user access. All existing Amazon Q applications will need to migrate to using IAM Identity Center for user management by July 31, 2024. We recommend you integrate any new application you're creating directly with IAM Identity Center.

参考:How Amazon Q Business works - Amazon Q Business

2024 年 4 月 30 日以降に新しく Amazon Q Business アプリケーションを追加する際には、IAM Identity Center の統合が必須となるとのこと。
また、既存の全てのアプリケーションは 2024 年 7 月 31 日まで IAM Identity Center を使用するように移行する必要があります。

Microsoft Entra ID で構成済みの大瀧さん、移行が必要です!

そして、AWS Organizations などが諸事情により使えない場合は IAM Identity Center が使えないと思いますが、その場合は諦めるしかないのでしょうか。

安心してください。今回のアップデートで IAM Identity Center アカウントインスタンスが Amazon Q Business に対応したようです。
IAM Identity Center アカウントインスタンスというのは、AWS Organizations の利用が前提となる組織インスタンスと異なり、スタンドアロンあるいはメンバーアカウントで個別に作成することができる IAM Identity Center インスタンスです。

IAM Identity Center 統合を確認してみる

本日は実際に IAM Identity Center を使って組織インスタンス、アカウントインスタンスの挙動を調べてみましたので紹介します。
先にお伝えすると、SAML 統合から IAM Identity Center マネージド統合に「移行」する機能は本日時点では提供されていないようでして、新しくアプリケーションの再作成が必要となります。

新規アプリケーションを作成してみます。

最初のステップで次のようにアプリケーションのユーザー管理方法を選択します。

Starting 04/30/2024, you will need to use IAM Identity Center for user identity management of all new applications.

  • IAM Identity Center (Recommended)
    • Use IAM Identity Center as your AWS gateway to the Identity Provider of your choice.
  • Legacy Identity Management
    • Use SAML2.0 to manage user identities created using the Identity Provider of your choice.

このダイアログ上からも IAM Identity Center が今後は推奨されていることが確認出来ます。SAML 統合はレガシーという表現になっています。
おそらく 2024 年 4 月 30 日以降はこのダイアログも表示されずに IAM Identity Center の利用が前提でセットアップが進むのだと思います。

SAML 2.0

本日時点では Legacy Identity Management と表現されていますが、まだ SAML 2.0 を使った新規アプリケーションを作成することが可能です。

SAML 統合の場合はセットアップ時に特に何かを意識する必要はないです。

Deploy web experience操作を行う際に SAML 構成を行います。
冒頭の大瀧さんの記事とこのあたりは同じですね。

組織インスタンス

組織インスタンスの連携から行ってみます。

重要な点を先にお伝えしておきたいのですが、**IAM Identity Center と連携を行う場合、Amazon Q Business アプリケーションとリージョンを合わせる必要があります。*+
Amazon Q のプレビュー時点ではバージニア北部とオレゴンリージョンでのみ利用できるので、IAM Identity Center もそのリージョンで作成する必要が出てきます。Amazon Q の東京リージョンサポートが待たれますね。

ちなみにリージョンが異なる場合は次のような表示となります。

リージョンが一致していれば、自動で IAM Identity Center インスタンスが選択されます。
アカウントインスタンスについては後述しますが、本日時点ではこの画面でインスタンスの選択が出来ません。
そのため、Organizations で IAM Identity Center の組織インスタンスとアカウントインスタンスが混在している状態で、メンバーアカウントから Amazon Q アプリケーションを作成しようとすると組織インスタンスが強制的に選択されました。インスタンス選択の挙動に注意してください。

インスタンス選択後は、IAM Identity Center ユーザーを選択していく流れとなります。

なお、IAM Identity Center 統合の場合はそのまま Web Experience もデプロイされます。

発行された URL にアクセスして見ると IAM Identity Center の認証が要求されました。良さそうですね。

この機能を使って IAM Identity Center と統合した場合、IAM Identity Center アプリケーション上は AWS マネージドアプリケーションとして構成されます。

既存アカウントインスタンスを使う

続いてアカウントインスタンスを構成してみます。
IAM Identity Center 組織インスタンス未作成の Oranizations に所属する、メンバーアカウント上で IAM Identity Center アカウントインスタンスを作成し、Amazon Q アプリケーションを作成してみましょう。

次のように Amazon Q Business アプリケーションを作成しようとしているリージョンにインスタンスを作成しました。

先ほどと同様に Amazon Q Business アプリケーションを新規作成し IAM Idenitity Center 統合を選択すると、次のようにアカウントインスタンスが自動選択されました。

この後の流れは組織インスタンスと同じです。

アカウントインスタンスの作成も行える

アカウントインスタンスがまだ未作成の場合、次のように Amazon Q Business コンソール上から、同じリージョンで IAM Identity Center インスタンスを作成することも可能です。

「Create IAM Identity Center」ボタンを押すとすぐにアカウントインスタンスが作成されました。
MFA がデフォルトで有効であること、OTP がデフォルトで無効であることなど、IAM Identity Center のセキュリティに関する情報を確認することが出来ます。

IAM Identity Center コンソールを確認してみると、次のようにアカウントインスタンスが作成されていることが確認出来ました。

メンバーアカウントから組織インスタンスを使ったアプリケーションが作成出来てしまうので注意

今回気がついたのですが、次のように IAM Identity Center 組織インスタンスがセットアップ済みの状態で、メンバーアカウントで Amazon Q Business アプリをセットアップしようとすると、その場合でも組織インスタンスが自動選択されることが確認出来ました。

Oranizations や IAM Identity Center から特に委譲されていないメンバーアカウントからも組織インスタンスが選択されます。
プレビュー中なのでこの挙動が仕様かはわからないですが、気をつけましょう。

さいごに

本日は Amazon Q Business で IAM Identity Center 統合ができるようになったので使ってみました。

まとめると以下な感じでしょうか。

  • IAM Identity Center マネージド統合できるようになった。アカウントインスタンスもいける。設定は楽です
  • ただ、SAML 統合は今後使えなくなりそうです
  • IAM Identity Center の組織インスタンスとアカウントインスタンスが混在している Organizations は挙動に注意しましょう
スキルアップ|初心者向け|書評|デベキャン|AWS認定|スキルアップ|デベキャンだより|勉強会|コミュニティ

関連記事

[アップデート] Generative BI の Amazon Q in QuickSight が GA となり、QuickSight のユーザーロールに「プロ」が追加されました

いわさ

2024.05.01

[アップデート] Amazon QuickSight に Amazon Q ペインが追加され、関連する生成 BI 機能にアクセス出来るようになりました

いわさ

2024.03.30

Amazon Qデータソース用Slackログ収集アプリの権限設定をfixする手順

haoyayoi

2024.01.19

[レポート] データが変革を促す:AWS アナリティクスによるデータ基盤 #ANT219 #AWSreInvent

川崎照夫

2023.12.28