みなさん、こんにちは。AWS CLI が好きな AWS サポート課の市野です。
現地時間 2026年3月27日 に AWS マネジメントコンソールにおける、リージョンおよびサービスについて表示設定を定義できるアップデート(可視設定)が発表されました。
先行でリリースされていた「アカウントの色」に次ぐ AWS ユーザーエクスペリエンスのカスタマイズ(uxc)と呼ばれるユーティリティに対する機能追加となります。
確認してみたところ、少しだけ注意点がありそうだったので、記事にしています。
また、マネジメントコンソールでの操作は執筆時点での画面構成となりますので、将来的に UI が変更になる可能性がありますのでご留意ください。
なお、分かりやすさを重視して、AWS アカウント ID やロール名などをそのまま表示させていますが、すでに削除済みのアカウントですのでご心配なく。
先に結論
- AWS ユーザーエクスペリエンスのカスタマイズではアカウントレベルでの可視性を設定可能
- 設定可能項目は「アカウントの色」、「サービスの可視性」、「リージョンの可視性」
- このうち「可視性」は「すべて」か、許可リスト的に表示させるサービス/リージョンを選択して定義する
- この設定は当該アカウントのすべての IAM エンティティが影響を受ける
- あくまでマネジメントコンソールの表示上の問題だけなので、API 実行はできる
公式発表と公式ドキュメント
機能について確認
マネジメントコンソールでの設定
「アカウントの色」については「請求とコスト管理」→「アカウント」ページ の「アカウント表示設定」セクションで設定しますが、可視性の設定は以下の動線となっています。
- コンソール上部の「歯車」アイコンをクリックして表示されるメニューから「すべてのユーザー設定を表示」をクリックする
- 「統一された設定」ページから「アカウント設定」タブへ移動する
- 「表示されているリージョン」「表示されているサービス」のセクションがあり、それぞれの「編集」ボタンをクリックし、適宜設定する
注意点となりますが上記スクリーンショットに「現在のユーザーの設定を管理します。これらの設定は、他の IAM ユーザーまたはアカウントには適用されません。」とあります。
後述の「困る状況」でも解説する通り、IAM ロールも対象となり、IAM Identity Center も含む、すべての IAM エンティティが影響を受けます。
AWS CLI での設定
aws uxc update-account-customizations サブコマンドで設定が可能です。
AWS CLI Command Reference からの抜粋ですが、以下のオプション項目を取ります。
update-account-customizations
[--account-color]
[--visible-services]
[--visible-regions]
〜以下略〜
設定の確認や変更をしてみる
今回は、AWS CloudShell を使って AWS CLI で設定してみます。
なお AWS CLI v1 では 1.44.66、AWS CLI v2 では 2.34.17 以降で実装されています。
また Service endpoints and quotas のドキュメントでは見つけられなかったのですが、us-east-1 にしかエンドポイントがないようで、明示的なリージョンの指定が必要であることを確認しています。
現状の確認
現状でのリージョンの設定を確認してみます。
マネジメントコンソールではデフォルトで「利用可能なすべてのリージョン」となっていることが確認できますが、AWS CLI の場合 aws uxc get-account-customizations --region us-east-1 で確認が可能です。
また、リージョン選択のプルダウンでも、デフォルトで有効化されているリージョンが表示されていることが確認できます。
設定の変更
東京リージョンだけを可視化設定してみます。
aws uxc update-account-customizations --visible-regions ap-northeast-1 --region us-east-1 で実行可能です。
エラー発生なく完了しました。
状況の確認
東京リージョンではないリージョンの EC2 コンソールへ移動してみます。
ブラウザ下部には CloudShell での aws uxc get-account-customizations --region us-east-1 の実行結果も併せて表示させていますがリージョンが制限されている旨の表示が出ます。
なお、画面上どのサービスにアクセスしているかが分かりにくいですが URL で https://us-east-1.console.aws.amazon.com/ec2/home?region=us-east-1#Overview: にアクセスしていることで、バージニア北部リージョンの EC2 コンソールへのアクセスであることがご確認いただけます。
状況の確認2
実は 1 つ上のスクリーンショットでもわかることですが、マネジメントコンソールではバージニア北部へアクセスできないのに、aws uxc get-account-customizations コマンドは --region us-east-1 オプションが有用に働き、結果を受領できています。
もう 1 つバージニア北部リージョンに対して aws ec2 describe-vpcs を実行しても正しく応答があり、API レベルでは制限を受けていないことが確認できます。
困る状況
ここで IAM や CloudFront の画面をコンソールでアクセスしてみるとリージョン可視性の影響を受けることが確認できます。
ここまでみた通り権限さえ不足していなければ API レベルでは実行が可能ですが、バージニア北部リージョンに依存するグローバルサービスなども可視性の影響を受けてしまうことになります。
また、冒頭の「マネジメントコンソールでの設定」のスクリーンショット部分でも少し触れた通り、IAM ロールやルートユーザーですら、表示設定の制限を受けることを確認しています。
懸念点
「統一された設定」を施したアカウントに対して、マネジメントコンソールでサインインするユーザー全てに対して、元々の権限がなんであろうが影響を及ぼしてしまいます。
もちろん uxc:UpdateAccountCustomizations の API アクションの許可があるエンティティであれば修正できますが、そうなると表示を制限したかったユーザーがいた場合に先祖返りしてしまうことになります。
今回、リージョンだけを見てみましたがサービスも同様で、EC2 だけを見せたいユーザーと、CloudTrail を見ても良いユーザーなどをきめ細かく表示制限を分けることができません。
また、表示ができないだけなので API レベルでは実行できるので、見せていないから大丈夫、ともできない点に留意が必要です。
やはり本質的にはポリシーで制限するべきと言えそうです。
なお、弊社の請求代行サービスをお使いのお客様には別途ご留意いただきたい事項がありますので、以下のガイド記事をご覧いただけると幸いです。
マネジメントコンソールにおけるリージョンおよびサービスの表示設定機能についてのご注意 ※マイスターズポータルへのログインが必要です
おわりに
ここまで見た通り、設定されたアカウントにアクセスするすべての IAM エンティティが影響を受ける点が少し残念ポイントです。
ただ、表示上見えていると触ってしまうという懸念もわからなくはないので、使えるサービス・リージョンだけを見せるようにしてすっきりさせるというコンセプトは面白い機能です。
そのため、IAM エンティティごとに制御できるような機能であればより良いと感じましたので、AWS Support を通じてフィードバックをしています。
やはりセオリー通り、IAM ポリシーや SCP で機能やアクションに対して Deny して、ユーザーレベルで制御する方が望ましいと感じました。 ただ、できることと注意点を十分に把握した上でうまく活用していただくと良さそうです。
本エントリがどなたかのお役に立てば幸いです。
ではまた。
市野 和明 (記事一覧)
マネージドサービス部・テクニカルサポート課
お客様から寄せられたご質問や技術検証を通じて得られた気づきを投稿していきます。
情シスだった前職までの経験で、UI がコロコロ変わる AWS においては GUI で手順を残していると画面構成が変わってしまって後々まごつくことが多かった経験から、極力変わりにくい AWS CLI での記事が多めです。
X(Twitter):@kazzpapa3(AWS Community Builder)
