Transit Gateway を使用して別リージョンの VPC エンドポイント経由での マネージドノード登録は可能ですか

Transit Gateway を使用して別リージョンの VPC エンドポイント経由での マネージドノード登録は可能ですか

AWSテクニカルサポートノート
#AWS
#AWS Systems Manager(SSM)
#AWS Transit Gateway
#VPC Endpoint
#NAT Gateway
片方 裕人片方 裕人
facebookのロゴhatenaのロゴtwitterのロゴ
2025.07.08

困っていること

Transit Gateway を使用して別リージョンの VPC エンドポイント経由での マネージドノード登録は可能か教えてください。

どう対応すればいいの?

本ブログ執筆時点において、別リージョンの VPC エンドポイント経由でのマネージドノード登録は対応しておりません。
例えば、/etc/amazon/ssm/amazon-ssm-agent.json にてエンドポイントやリージョンの指定ができるものもございますが、こちらを us-east-1 や ap-northeast-1 に設定しても登録が出来ません。

https://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/ssm-agent-technical-details.html#fips-compliant-configurations

原因としては、VPCエンドポイントが作成されたリージョンのサービスエンドポイントにのみ有効であり、別リージョン経由では証明書が一致せず TLS ハンドシェイクに失敗するためです。

代替案

Transit Gateway (ピアリング) を用いて異なるリージョンにある NAT Gateway を経由してインターネットアクセスし、マネージドノードとして登録することをご検討ください。

https://dev.classmethod.jp/articles/transit-gateway-peering-cross-region-ssm-nat-gateway/

参考資料

この記事をシェアする

facebookのロゴhatenaのロゴtwitterのロゴ

関連記事

Amazon Q in Connect セルフサービスでQUESTIONツールが選択された際、ナレッジベースにない場合の回答の挙動確認と対策方法Amazon Q in Connect セルフサービスでQUESTIONツールが選択された際、ナレッジベースにない場合の回答の挙動確認と対策方法
平井裕二
2025.07.29
AWS Builder ID を使ってウェイトリストを回避して Kiro を使ってみたAWS Builder ID を使ってウェイトリストを回避して Kiro を使ってみた
いわさ
2025.07.29
Organizations 統合 GuardDuty 有効化前の既存環境影響一括調査Organizations 統合 GuardDuty 有効化前の既存環境影響一括調査
くろすけ
2025.07.28
要件定義をするときに意識していることをまとめてみた -要件例を添えて-要件定義をするときに意識していることをまとめてみた -要件例を添えて-
のんピ
2025.07.28
クラスメソッドの白いロゴ
Facebookのロゴ
Xのロゴ
YouTubeのロゴ

© Classmethod, Inc. All rights reserved.