IAM アイデンティティセンターのインスタンスタイプを選択する際の考慮事項
Amazon Q Developer Pro 階層をワークフォースユーザーに有効にするには、ニーズ、セキュリティ要件、機能アクセスレベルに応じて 2 つの方法があります。
-
(推奨) 組織インスタンス: IAM アイデンティティセンターの組織インスタンスは、IAM アイデンティティセンターをデプロイするための主要な形式です。AWS では、ほとんどの場合、組織インスタンスを使用することをお勧めします。すべての Amazon Q Developer 機能にアクセスし、管理者が複数の AWS アカウントにわたるエンタープライズアクセスコントロールを持つには、組織インスタンスを使用する必要があります。組織インスタンスでアクセスを設定するには、「組織インスタンスを使用して Amazon Q Developer Pro 階層にユーザーをサブスクライブする」を参照してください。
-
アカウントインスタンス: IAM アイデンティティセンターで組織インスタンスを使用できない場合は、IAM アイデンティティセンターのアカウントインスタンスを使用して、Amazon Q Developer 機能へのユーザーおよびグループアクセスを管理できます。IAM アイデンティティセンターのアカウントインスタンスを使用すると、1 つの AWS アカウントに Amazon Q の分離されたデプロイを作成できます。アカウントインスタンスでアクセスを設定するには、「アカウントインスタンスを使用して Amazon Q Developer Pro 階層にユーザーをサブスクライブする」を参照してください。
Amazon Q Developer Pro を使用したアカウントインスタンスのユースケース
Amazon Q Developer Pro では IAM アイデンティティセンターの組織インスタンスを使用することをお勧めしますが、アカウントインスタンスを使用するのが理にかなっている状況がいくつかあります。次のような状況です。
-
Amazon Q Developer Pro を試しているが、AWS Organizations の組織全体の複数の AWS アカウントにデプロイするとまだ決めていない場合。
-
自分が組織内の 1 つの AWS アカウントの管理者であり、企業の管理者が Amazon Q Developer Pro を実装するのを待つ代わりに、自分が管理する AWS アカウントに対してのみ Amazon Q を使用したい場合。
-
企業が大規模で、Amazon Q Developer へのアクセス権を付与したいユーザーベース全体を含む単一の ID プロバイダーまたは単一の ID ストアがない場合。
アカウントインスタンスの使用に伴う欠点には、次のようなものがあります。
-
ダッシュボードでは、1 つのアカウントに関連付けられているユーザーとグループに関する情報しか確認できない。
-
管理設定 (コードリファレンスのある提案を含めるかどうかなど) は、1 つのアカウントでのみ使用できる。
さまざまなインスタンスタイプの詳細については、「AWS IAM Identity Center ユーザーガイド」の「IAM Identity Center の組織インスタンスとアカウントインスタンス」を参照してください。
