こんにちは。技術課の山本です。
秋も終わり、冬の澄んだ空気になってきましたね。

背景

Amazon RDS for SQL Server で SQL Server Reporting Services (SSRS) を有効にする方法について、検討していました。
「オンプレADの認証情報を使って、SSRS を利用したい」という要件です。
要件を満たすために、以下のブログが参考になります。

Amazon RDS for SQL ServerでSSRSを使用する - サーバーワークスエンジニアブログ

少し引っかかる点として、SSRS を有効にする前提条件として、公式ドキュメントに以下の記載があります。

インスタンスは、SSRS ウェブポータルおよびウェブサーバー認証に AWS Managed Microsoft AD を使用する必要があります。
Amazon RDS for SQL Server での SQL Server Reporting Services のサポート - Amazon Relational Database Service

「AD認証のために、Amazon RDS for SQL ServerがオンプレADと通信が取れれば良い」のではなく「AWS Managed Microsoft AD が必要」なのですね。 参りました。
要件を満たすためには、AWS Managed Microsoft AD を作成し、オンプレミスのADと片方向の信頼関係を結ぶ必要があります。
他のAWS アカウントで SSRS を有効にするときにも、毎回、AWS Managed Microsoft AD を作成し、信頼関係を結ぶのは、利用料金や運用の観点で良くないです。そこで、AWS Managed Microsoft AD の共有機能をうまく使えないか、を検討してみました。

AWS Managed Microsoft AD を共有するための前提条件

ドキュメントには以下のような絵があります。 VPC Peering を使っているあたり、少し古いですね。

docs.aws.amazon.com

共有するための前提条件は以下のようです。

AWS Managed Microsoft AD と共有先AWSアカウントのリソースが、ネットワーク接続可能なこと

共有する手順は以下のようです。簡単ですね。

AWS Managed Microsoft AD の所有者が、共有先のAWSアカウントを入力して、[共有]ボタンを押す。
AWS Managed Microsoft AD の共有先AWSアカウントで、[承諾]ボタンを押す。

Organizaitons 環境の場合、２は不要です。

AWS Managed Microsoft AD を共有する（Transit Gateway 編）

Transit Gateway で使いたかったので、絵を描き直してSSRSの要件である信頼関係も入れると以下のようになりました。
必要な部分を参考にしてもらえたら、と思います。
サービス共有用のAWSアカウントに VPC を作成し、そこにAWS Managed Microsoft AD を作成しています。
このAWS Managed Microsoft AD を各 AWS アカウントに共有します。
各サービス用AWSアカウントからAWS Managed Microsoft ADへのネットワーク接続を、Transit Gateway で実現しています。

補足：Transit Gateway のルーティング仕様は以下のように覚えると通信を追えます。

VPC内やオンプレミスのノードから Attachment に通信がきた場合は、Attachment に対応する Transit Gateway ルートテーブルを参照する
Transit Gateway ルートテーブルから Attachment に通信がきた場合は、Attachment の所属するサブネットやDirect Connect Gateway のルートテーブルを参照する

書ききれなかったのですが、AWS Managed Microsoft ADのあるサブネットのルートテーブルは以下になります。