AWS 請求統合の Kiro に IAM Identity Center ユーザーでサインインする手順(2026年5月版)
はじめに
Kiro を組織で導入する場合、管理者がユーザー作成・ライセンス割当を行った後、利用者側で初回パスワード設定やサインインといった作業が必要になります。
以下の記事(2025年11月版)からサインインのUI導線が変更されているため、2026年5月時点の手順として改訂しました。
本記事の対象構成
| サインイン方法 | 対象 |
|---|---|
| Your organization →「Sign in via IAM Identity Center instead」(本記事) | Identity Center ビルトインユーザー |
| Your organization → メールアドレス入力 → Continue | 外部 IdP(Okta, Entra ID等)連携済み環境 |
| Google / GitHub / Builder ID | 個人利用(組織管理外) |
外部 IdP(Okta, Entra ID等)を連携している環境では、「Your organization」選択後にメールアドレスを入力して外部 IdP へリダイレクトする導線になります。本記事は、メールアドレス入力ではなく「Sign in via IAM Identity Center instead」から進むビルトインユーザーのみを対象としています。
前提条件
管理者側で完了済み:
- IAM Identity Center が us-east-1 に設置済み
- IAM Identity Center でユーザー作成済み
- Kiro コンソールでサブスクライブ済み(グループ単位でライセンス割当済み)
利用者に案内されている情報:
- ユーザー名(例:
yamada.taro) - Start URL(例:
https://d-XXXXXXXXXX.awsapps.com/start) - リージョン(例:
us-east-1)
管理者作業(概要)
利用者手順に入る前に、前提となる管理者作業を簡単に整理します。
管理者は IAM Identity Center の Identity Store にユーザーを作成し、Kiro ライセンスが割り当てられたグループへ追加します。この操作だけでは招待メールは送信されないため、利用者には別途ユーザー名・Start URL・リージョンを案内する必要があります。
管理者向けの詳細手順は以下の記事を参照してください。
ビルトインユーザーとは / CLIコマンド例
外部 IdP(Okta, Entra ID等)と連携せず、IAM Identity Center の Identity Store に直接作成するユーザーを「ビルトインユーザー」と呼びます。本記事はこの構成を対象としています。
※ ユーザー名の命名規則(プレフィックスの有無など)は組織のポリシーに応じて決定してください。
# ユーザー作成
aws identitystore create-user \
--identity-store-id d-XXXXXXXXXX \
--user-name <username> \
--display-name "<username>" \
--name '{"FamilyName":"<lastname>","GivenName":"<firstname>"}' \
--emails '[{"Value":"<email>","Type":"work","Primary":true}]' \
--region us-east-1
# Kiro ライセンスグループに追加
aws identitystore create-group-membership \
--identity-store-id d-XXXXXXXXXX \
--group-id XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX \
--member-id '{"UserId":"作成されたUserId"}' \
--region us-east-1
手順1: 初回パスワード設定
管理者が CLI でユーザーを作成した場合、初期パスワードは未設定の状態です。管理者がパスワードリセットリンクを送付済みの場合はメールから、未送付の場合は以下の「Forgot password」経由で初期パスワードを設定します。
- AWS Access Portal(Start URL)にアクセスする
- ユーザー名を入力する(管理者から案内されたユーザー名)
- 「Forgot password?」をクリックする(登録メールアドレスにリセットメールが届きます)
- メール内のリンクからパスワードを設定する(複雑なパスワード要件あり)
- MFA の設定を求められた場合は、画面の指示に従って設定する(Authenticator アプリ、セキュリティキーなど)
手順2: Kiro IDE でサインイン
- Kiro IDE を起動し「Sign in」をクリックする
- ブラウザで「Choose a way to sign in/sign up」画面が開く →「Your organization」の「Sign in →」を選択する
- 「Sign in with your organization」画面が表示される → メールアドレスは入力せず、下部の「Sign in via IAM Identity Center instead」をクリックする
- 「Sign in with AWS IAM Identity Center」画面で Start URL とリージョンを入力し「Continue」をクリックする
- IAM Identity Center のログイン画面でユーザー名・パスワードを入力する
- 「Allow」をクリックしてアクセスを許可する → ブラウザで認証完了し、Kiro IDE が利用可能になる
「Your organization」の「Sign in」を選択します。
メールアドレスは入力せず、「Sign in via IAM Identity Center instead」を選択します。
管理者から案内された Start URL とリージョンを入力します。
ユーザー名を入力します。
パスワードを入力します。
「Allow」をクリックしてアクセスを許可します。
ブラウザに認証完了画面が表示されます。
Kiro IDE 上でライセンス情報を確認できます。
手順3: Kiro CLI でサインイン
Kiro IDE を使用せず、SSH 接続可能なリモート開発環境(EC2、Docker等)で Kiro CLI のみを利用する場合の手順です。ローカル環境に制限がある場合や、ターミナルベースで開発する場合に適しています。
以下の記事等で kiro-cli をインストール済みの環境を対象とします。
kiro-cli --versionでインストール確認するkiro-cli loginを実行する- ブラウザが開く、または認証用URLが表示される → 同じ SSO 情報でサインインする
- ターミナルに「Logged in successfully」が表示されれば完了
$ kiro-cli login
Device authorized
Logged in successfully
サインイン後、kiro-cli whoami で接続状態を確認できます。
$ kiro-cli whoami
Logged in with IAM Identity Center (https://d-XXXXXXXXXX.awsapps.com/start)
Profile:
KiroProfile-us-east-1
arn:aws:codewhisperer:us-east-1:XXXXXXXXXXXX:profile/XXXXXXXXXXXXX
手順4: Kiro Web でサインイン
Kiro Web にブラウザからサインインすると、Web 上でのチャット利用のほか、サブスクリプション状況の確認や API キーの発行ができます。
https://app.kiro.dev/にアクセスする- サインイン画面は Kiro IDE と同じ導線(「Your organization」→「Sign in via IAM Identity Center instead」→ Start URL + Region)で進める
- サインイン成功後、Web チャット画面が表示される
Kiro Web の詳細は以下の記事を参照してください。
サインイン後、左下のユーザーアイコン → Settings から、契約プランやクレジット消費状況を確認できます。
補足として、Settings → API Keys から Kiro CLI headless mode 用の API キーも発行できます。headless mode の詳細は以下の記事を参照してください。
注意事項
ライセンス反映のタイムラグについて
IAM Identity Center のグループにユーザーを追加した後、Kiro 側にサブスクリプション状態が反映されるまで時間がかかる場合があります。検証環境では、CloudTrail のイベントログ上、Kiro 側の確認処理が約12時間間隔で行われているように見える挙動を確認しました。ただし、これは公式に保証された間隔ではありません。利用開始直前ではなく、前日までにユーザー登録とグループ追加を済ませておくことを推奨します。
その他のトラブルシューティング
- ブラウザが自動で開かない場合: 表示されたURLを手動でコピーしてブラウザに貼り付けてください
- サインインできない場合: 管理者から案内されたユーザー名、パスワード、Start URL、リージョンが正しいか確認してください
- 別ユーザーでサインインされる場合: ブラウザに既存セッションが残っている可能性があるため、サインアウトするかシークレットウィンドウで再試行してください
- CLI でエラーが出る場合:
kiro-cli logoutしてから再度kiro-cli loginを試してください
まとめ
本記事では、AWS 請求統合された Kiro 環境で、IAM Identity Center ビルトインユーザーが初回パスワード設定から Kiro IDE / CLI / Web へサインインするまでの手順を紹介しました。ポイントは、Kiro のサインイン画面で「Your organization」を選択した後、メールアドレスを入力せずに「Sign in via IAM Identity Center instead」から進むことです。ライセンス状態の反映には時間がかかる場合があるため、利用開始前日までに管理者側のユーザー作成とグループ追加を済ませておくことをおすすめします。
