[アップデート] Amazon Q Business が別リージョンの IAM Identity Center 統合をサポートしたので東京リージョンで使ってみた

[アップデート] Amazon Q Business が別リージョンの IAM Identity Center 統合をサポートしたので東京リージョンで使ってみた

Clock Icon2024.07.30

いわさです。

Amazon Q Business は以前のアップデートで Amazon Q Business との統合が必須となりました。

https://dev.classmethod.jp/articles/q-business-iam-identity-center/

上記記事にも記載させて頂いたのですが、注意点として Amazon Q Business と IAM Identity Center のリージョンを一致させる必要がありました。

重要な点を先にお伝えしておきたいのですが、IAM Identity Center と連携を行う場合、Amazon Q Business アプリケーションとリージョンを合わせる必要があります。
Amazon Q のプレビュー時点ではバージニア北部とオレゴンリージョンでのみ利用できるので、IAM Identity Center もそのリージョンで作成する必要が出てきます。Amazon Q の東京リージョンサポートが待たれますね。

東京リージョンで IAM Identity Center を有効化済みの環境だと Amazon Q Business が使えなくて微妙な状況だったのですが、今朝のアップデートで別リージョンの IAM Identity Center でも Amazon Q Business と統合出来るようになったようです。これは良いですね。

https://aws.amazon.com/about-aws/whats-new/2024/07/amazon-q-business-cross-region-aws-iam-identity-center-access/

なお、Amazon Q Business のサポートリージョン自体は引き続きオレゴンとバージニア北部のみとなっています。

171BA943-C032-4963-B609-D1A3EC144D3F_4_5005_c

本日は東京リージョンの IAM Identity Center インスタンスを持っている状態で、Q Business アプリケーションを作成してみようと思います。
Q Business は IAM Identity Center のアカウントインスタンスをサポートしているので、アカウントインスタンスで使ってみます。

アカウントインスタンスと組織インスタンスの違いについては次の記事をどうぞ。

https://dev.classmethod.jp/articles/iam-identity-center-account-instance/

東京リージョンのアカウントインスタンス + バージニア北部の Q Business

次のように東京リージョンのアカウントインスタンスを用意しました。
一応 Organizations 配下のメンバーアカウントではあるのですが、組織インスタンスは有効化されていない組織です。

0A451D08-5519-4500-BFC9-7FB960E29132

バージニア北部で Q Business アプリケーションを作成しましょう。

A171CF91-12C9-4DDC-9AB6-4684B31F18FF

デフォルトでは、バージニア北部で IAM Identity Center を構成する必要があると言われていますね。
なんかこのあたりもあれですね、SAML 廃止 IAM Idenityt Center 必須化に伴って数ヶ月前に画面変わったっぽいですね。
おそらく今回のアップデートで次の「Enable cross-region calls to access resources」が追加されていますね。こいつを ON にしてやると同一リージョン以外も検出されるのでしょう。

504E038D-A5C5-4268-82B9-E0AACEAF3B60

「Enable cross-region calls to access resources」を有効化してみました。
しかし東京リージョンの IAM Idenityt Center が検出されないですね。
このままアプリケーション作成を強行したのですがエラーとなってしまいました。

A65318FB-660C-4271-867F-37B1403341B3

うーん?と思って調べてみると公式ドキュメントに次のような注意書きが。
どうやら今回の別リージョン統合はアカウントインスタンスでは機能しないみたいです。組織インスタンスでのみ使えるとのこと。なるほど。

Important
Amazon Q Business supports cross-region IAM Identity Center and Amazon Q Business integrations only for organization level instances. Amazon Q Business doesn't support cross-region IAM Identity Center integrations for account level instances. For more information on IAM Identity Center instance types and their use cases, see Understanding types of IAM Identity Center instances.

https://docs.aws.amazon.com/amazonq/latest/qbusiness-ug/setting-up.html#cross-region-idc

東京リージョンの組織インスタンス + バージニア北部の Q Business

ということで、東京リージョンの組織インスタンスで再トライしてみます。

507D497D-EF2A-48D1-81C0-66FCE11F3E90

先ほどと異なり東京リージョンの組織インスタンスの存在が検出されていることがわかりますね。

5F6FAA6B-2364-4839-845E-20544D8501F1

で、ここで「Enable cross-regon calls to access resources」をチェックしてみると...

3DAEA6C4-E9DD-404E-990F-B8F2051E8BCA

おっ、Q Business アプリケーションと東京リージョンの IAM Identity Center が統合出来そうですよ。いいですよ。

で、そのままアプリケーション作成まで実行することが出来ました。

52FAE7F8-B42A-4360-BDC2-FF7F6C218E83_4_5005_c

さいごに

本日は Amazon Q Business が別リージョンの IAM Identity Center 統合をサポートしたので東京リージョンで使ってみました。

特に日本では東京リージョンの IAM Identity Center で使いたかったユーザーが多かったと思うので非常に良いアップデートですね。
組織インスタンスでのみサポートされるという点だけ注意しておきましょう。

Q Business の東京リージョンサポートが来るのかなと思ったら先にこっちが来たか。
IAM Identity Center 統合系では同一リージョン制限をたまに見るので、はこの調子で全部なんとかしてほしいですね。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.