「RequestError: send request failed caused by: Post https://ssm.RegionID.amazonaws.com/: dial tcp IP:443: i/o timeout」SSM Agent ログエラーを解決する方法を教えてください。

所要時間1分

AWS Systems Manager を使用して、Amazon Elastic Compute Cloud ((Amazon EC2) インスタンスをマネージドインスタンスとして登録しようとしています。しかし、インスタンスの登録に失敗し、次のようなTCPタイムアウトエラーメッセージが表示されます。「RequestError: send request failed caused by: Post https://ssm.RegionId.amazonaws.com/: dial tcp IP:443: i/o timeout」登録に失敗する理由、およびこのエラーのトラブルシューティングの方法を教えてください。

簡単な説明

TCP タイムアウトエラーは、次のいずれかの問題により、インスタンスの登録が妨げられていることを示します。

インスタンスがプライベートサブネットにあり、Systems Manager Virtual Private Cloud (VPC) エンドポイントとカスタム DNS サーバーを使用する。
インスタンスがプライベートサブネットにあり、インターネットまたは Systems Manager エンドポイントにアクセスできない。
EC2 インスタンスがパブリックサブネットにあり、VPC のセキュリティグループおよびネットワークアクセスコントロールリスト (ネットワーク ACL) は、ポート 443 の Systems Manager エンドポイントへのアウトバウンド接続を許可するように構成されていない。
インスタンスがプロキシの背後にあり、SSM Agent は HTTP プロキシ経由で通信するように構成されていないのでインスタンスメタデータサーバーに接続できない。

TCP タイムアウトエラーは、次のパスにあるインスタンスの SSM Agent ログで確認できます。

Linux および macOS

/var/log/amazon/ssm/amazon-ssm-agent.log

/var/log/amazon/ssm/errors.log

Windows

%PROGRAMDATA%\Amazon\SSM\Logs\amazon-ssm-agent.log

%PROGRAMDATA%\Amazon\SSM\Logs\errors.log

解決方法

Systems Manager エンドポイントとカスタム DNS を使用するプライベートサブネットのインスタンス

VPC エンドポイントは、Amazon Route 53 を介して、Amazon が提供する DNS のみをサポートします。独自の DNS サーバーを使用するには、次のいずれかを試してください。

カスタム DNS サーバーの条件付きフォワーダーを使用して、ドメイン amazonaws.com へのクエリをデフォルトの VPC DNS リゾルバーに転送します。詳細については「DHCP オプションセット」をご参照ください。
VPC とネットワークの間の DNS クエリを解決するように Route 53 リゾルバーを設定します。

インスタンスが Systems Manager エンドポイントに接続できない

または -

VPC セキュリティグループとネットワーク ACL がポート 443 でアウトバウンド接続を許可するように設定されていない

または -

インスタンスがプロキシの背後にあり、インスタンスメタデータサービスに接続できない

詳細については、「Systems Manager コンソールの [マネージドインスタンス] に EC2 インスタンスが表示されないのはなぜですか?」をご参照ください。