IAM Identity Center ユーザーでのCLI,MCP経由でAWS上のリソースにアクセスするための手順

はじめに

こんにちは。DXソリューション営業本部の岡田です。
今回は、IAM Identity CenterユーザーによるSSO認証を使用して、ローカルPCからAWS CLI、MCP経由でAWS上のリソースにアクセスするための手順についてご紹介します。
IAM Identity Centerユーザーによるマネジメントコンソールへのログイン手順については、下記ブログをご覧ください。

IAM Identity Center ユーザーでのマネジメントコンソールへのログイン手順 | QES ブログ
IAM Identity Center ユーザーでのマネジメントコンソールへのログイン手順について紹介
 

以下が従来の方法と今回ご紹介する本記事の構成の比較表です。

特に、AI（今回はKiro）がMCPを通じてAWSのデータを直接読み取ることで、AIに聞いて教えてもらうことができます。
具体的な構築手順についてご紹介します。

AWS CLI v2のインストール

※既にインストール済みの方はこのセクションをスキップしてください。

1. 公式インストーラーをダウンロード

以下のURLから公式インストーラーをダウンロードします。

2. インストール実行

ダウンロードしたインストーラーを実行し、デフォルト設定でインストールを進めます。

3. インストール確認

PowerShellまたはコマンドプロンプトで以下のコマンドを実行します。

以下のように表示されればインストール成功です。

※バージョン番号は執筆時点のものです。最新版がインストールされていれば、より新しいバージョン番号が表示されます。

SSO認証の設定

aws configure ssoコマンドの実行

PowerShellまたはコマンドプロンプトで以下のコマンドを実行します:

設定項目に回答

以下の質問に順番に回答します。

SSO start URL [None]: https://d-xxxxxxxxx.awsapps.com/start
SSO region [None]: ap-northeast-1
SSO registration scopes [None]: そのままEnter

• SSO session name: 任意の名前(例: my-sso-session)
• SSO start URL: アクセスポータルURL
• SSO region: ap-northeast-1(東京リージョンの場合)
• SSO registration scopes: そのままEnterを押下

ブラウザ認証

1. コマンド実行後、自動的にブラウザが開きます
2. IAM Identity Centerのログイン画面が表示されます
3. ユーザー名とパスワードを入力してログイン
4. アクセスを許可をクリックして認証を完了

プロファイル設定

ブラウザ認証が終わると、ターミナルで以下の項目を聞かれます。基本はそのままEnterでOKですが、Profile nameだけは手動で入力してください。

CLI default output format: json(そのままEnter)
CLI profile name: 任意の名前（例：my-sso-profile） と入力してEnter

※実際の運用では、プロジェクトや作業ごとの権限（Role）に応じてプロファイルを作成し、分けて管理するのが一般的です。

認証とテスト

SSOログイン

設定したプロファイルでSSOログインを実行します。

ブラウザが開き、再度認証を求められます。認証完了後、ターミナルに戻ります。

認証確認

以下のコマンドで認証情報を確認します。

以下のような出力が表示されれば問題ありません。

{
    "UserId": "AROA...:xxxxxxxxxxxxxxx",
    "Account": "xxxxxxxxxxx",
    "Arn": "arn:aws:sts::xxxxxxxxxxx:assumed-role/..."
}

MCP設定

次に、AI IDEツールであるKiroからAWSリソースを直接操作するためのMCP設定を行います。

MCPの概要

まず、MCPについて解説します。
MCP（Model Context Protocol）とは、AIエージェントと外部ツールを接続するためのオープンな共通規格です。
詳しくは下記のリンクをご覧ください。

uvのインストール

AWS公式MCPサーバーはuvxコマンドを使用するため、高速なPythonパッケージマネージャーであるuvをインストールします。

インストール確認をします。

MCP設定ファイルの作成

今回はKiroにリソース状況を確認させるという運用の設定を行います。

AWSのコストや予算、異常検知、最適化提案などをAPI経由で取得できる Billing and Cost Management MCP Server を設定します。
このサーバーはAWS公式ブログでも紹介されています。
ユーザーディレクトリ配下の .kiro/settings/mcp.json に以下の内容を作成します。

{
  "mcpServers": {
    "awslabs.billing-cost-management-mcp-server": {
      "command": "uvx",
      "args": [
        "--from",
        "awslabs.billing-cost-management-mcp-server@latest",
        "awslabs.billing-cost-management-mcp-server.exe"
      ],
      "env": {
        "FASTMCP_LOG_LEVEL": "ERROR",
        "AWS_PROFILE": "my-sso-profile",
        "AWS_REGION": "ap-northeast-1"
      },
      "disabled": false,
      "autoApprove": []
    }
  }
}

注意:

• AWS_PROFILEの値は、手順の「プロファイル設定」で設定した名前に置き換えてください。

Kiroの再起動

設定を反映させるため、Kiroを再起動します。

実践：KiroからAWSリソースを確認してみる

Kiroを再起動したら、実際にKiroのチャットから指示を出してみます。
以下のように質問を入力します。

すると、Kiroが直接AWSから最新のコストデータを取得し、分かりやすく要約してくれます。

このように、対話するだけでCLIの代替のようにAWSリソースの状況確認が可能になりました！
※AWS側の仕様により、AWS Cost Explorer APIのリクエストごとに少額の利用料（1リクエストあたり$0.01）が発生します。
　チャットの回数に応じて課金されるため、検証環境等で利用料金に上限やアラートを設定しておくことをお勧めします。

このサーバーは、AWSの課金およびコスト管理APIからコストと使用状況データにアクセスします。
そのため「先月と今月のコストを比較して」といった質問にも対応できます。
詳しくはBilling and Cost Management MCP Server をご覧ください。

まとめ

SSO認証設定から、MCPサーバーを活用したリソース状況の把握までをご紹介しました。
毎回マネジメントコンソールを開いて確認する手間が省け、チャットベースで料金確認などができるのは大変便利です。
AWS公式のMCPサーバーは他にも多数公開されており、様々な用途に活用できるため、ぜひ皆さんもお試しください！