こんにちは、技術3課の城です。

今回はAWSでActiveDirectory（以降、AD）環境にてSSMを利用する上でハマったポイントがあったので、共有したいと思います。

最初にまとめの3行

長くなりそうなので、最初にまとめておきます。

SSMをVPCエンドポイント経由で利用するにはAmazonProvidedDNSでの名前解決が必要
AD環境での解決策は条件付きフォワーダーの設定
名前解決した際に返されるIPアドレスはフォワーダー先のAmazonProvidedDNSのあるVPCのVPCエンドポイント

ハマったポイント

とある環境にてSSM自体が利用が出来なくなる事象が発生していました。
原因を確認したところ、VPCエンドポイントを構築しているにもかかわらず、外部のIPに対してアクセスしようとしていることが原因でした。
更に調べたところ、インターフェースVPCエンドポイントを利用するにはAmazonProvidedDNSを利用する必要があるようです。
一般的にADサーバーにDNSサーバーを同居させることが多いと思いますが、デフォルトのDNS設定（AmazonProvidedDNS）から向け先を変更したことが原因でした。

実際にssm.ap-northeast-1.amazonaws.comを名前解決してみると、グローバルIPアドレスが返されていました。

構成パターン図

AWS環境にDNS(AD)サーバーが存在する場合

AWS環境のサーバー群がAWS環境のDNS(AD)サーバーを参照します。

オンプレミス環境にDNS(AD)サーバーが存在する場合

AWS環境のサーバー群がオンプレミス環境のDNS(AD)サーバーを参照します。

AWS環境にDNS(AD)サーバーが存在する場合の対応方法

こちらはシンプルで、DNSサーバーの条件付きフォワーダーの設定にて対応可能です。
※そもそものフォワーダーをAmazonProvidedDNSを向けている場合は対応不要ですが、今回は別のDNSサーバーを向いている前提で進めます。
SSMの場合は設定が必要なドメインは下記となります。(東京リージョンの場合)

ssm.ap-northeast-1.amazonaws.com
ssmmessages.ap-northeast-1.amazonaws.com
ec2.ap-northeast-1.amazonaws.com
ec2messages.ap-northeast-1.amazonaws.com

条件付きフォワーダーの設定

1.DNS(AD)サーバーにRDPログインします。

2.[スタートメニュー]⇒[Windows 管理ツール]⇒[DNS]とクリックしDNS マネージャーを開きます。

3.[条件付フォワーダー]を右クリックし、[新規条件付きフォワーダー]をクリックします。

4.DNSドメインに上記の対象ドメイン、IPアドレスにAmazonProvidedDNSのIPアドレスを入力し、[OK]をクリックします。

例ではAmazonProvidedDNSのIPアドレスは10.0.0.2となっていますが、VPCのCIDRの第4オクテットに2を足したアドレスとなります。
詳細は下記ドキュメントに記載があります。
https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/VPC_DHCP_Options.html#AmazonDNS

5.項3及び4を登録するドメイン全てで実施します。

6.結果確認 ssm.ap-northeast-1.amazonaws.comを名前解決すると、プライベートIPアドレスが返されています。

オンプレミス環境にDNS(AD)サーバーが存在する場合の対応方法

こちらの場合は、AmazonProvidedDNSはVPC外からのDNSクエリを受け付けないという仕様があるため、Route53リゾルバーのインバウンドエンドポイントを条件付きフォワーダーの宛先として設定する必要があります。
https://docs.aws.amazon.com/ja_jp/Route53/latest/DeveloperGuide/resolver.html#resolver-overview-forward-network-to-vpc