【AWS】lambdaでboto3のSSM(send_command)からEC2にコマンド実行するとエラーが出ずにタイムアウトしてしまいます。

前提・実現したいこと

AWS上でlambdaからboto3のSSMクライアントのsend_commandを用いて同一VPC内のEC2インスタンスにコマンドを送ろうとす
ると特に何もエラーを出さずにタイムアウトしてしまいます。(実行時間は3分設定)

同じコードをローカルPCから投げると正常にEC2のコマンドが叩かれましたがlambda上からは実行できないという状況です。

ネットワーク設定の問題かと思い色々いじっていたのですが改善せず、ご教示いただきたく存じます。

以下、設定詳細です。
・VPC内にプライベートサブネットとパブリックサブネットを1つずつ作成
・lambdaはプライベートサブネットに設置
・EC2インスタンスはパブリックサブネットに設置
・セキュリティグループはlambda、EC2ともにすべてのポート、プロトコル、ソースの送受信を許可）
・ネットワークACLはデフォルト（制限なし）
・付与したIAMロールはそれぞれ以下
【lambda】不要なものもありますが色々ためしていましたので...。
・AmazonEC2FullAccess
・AmazonEC2RoleforSSM
・AmazonSSMManagedInstanceCore
・CloudWatchLogsFullAccess
・AmazonAPIGatewayAdministrator
・AmazonSSMFullAccess
・AmazonVPCFullAccess
・AWSLambdaBasicExecutionRole
・AWSLambdaVPCAccessExecutionRole
・AWSLambda_FullAccess
【EC2】
・AmazonEC2FullAccess
・AmazonEC2RoleforSSM
・AmazonSSMManagedInstanceCore
・AmazonSSMFullAccess

発生している問題・エラーメッセージ

特にエラー出力がなく、タイムアウトが返っています。

Response
{
  "errorMessage": "2021-08-23T02:41:30.963Z de6ce47e-1dc2-4b55-aae2-355d051fc201 Task timed out after 180.10 seconds"
}

Function Logs
START RequestId: de6ce47e-1dc2-4b55-aae2-355d051fc201 Version: $LATEST
ssm作成
['cd /home/ec2-user/']
END RequestId: de6ce47e-1dc2-4b55-aae2-355d051fc201
REPORT RequestId: de6ce47e-1dc2-4b55-aae2-355d051fc201	Duration: 180100.70 ms	Billed Duration: 180000 ms	Memory Size: 256 MB	Max Memory Used: 81 MB	Init Duration: 335.84 ms	
2021-08-23T02:41:30.963Z de6ce47e-1dc2-4b55-aae2-355d051fc201 Task timed out after 180.10 seconds

該当のソースコード

python3.7

import json
import boto3
import time

def lambda_handler(event, context):
    
    ssm = boto3.client('ssm' ,region_name='************',
                   aws_access_key_id='********************',
                   aws_secret_access_key='********************')
    
    print("ssm作成")
    commands = ["cd /home/ec2-user/"] 
    print(commands)#ここまでログ出力されています
    
    ##Command投入
    r = ssm.send_command(
            InstanceIds = ["i-****"],
            DocumentName = "AWS-RunShellScript",
            Parameters = {"commands": commands}
            )
    
    print("コマンド投入完了")#このログは出力されず
    
    command_id = r['Command']['CommandId']
    
    time.sleep(2)
    
    res = ssm.list_command_invocations(
              CommandId = command_id,
              Details = True
          )
    invocations = res['CommandInvocations']
    status = invocations[0]['Status']
    
    if status == "Failed":
        print("Command実行エラー")
    
    ## 結果格納
    account = invocations[0]['CommandPlugins'][0]['Output']
    print(account)
    
    return

試したこと

上記の通り、同じコードをローカルPCで実行すると正常に動作しました。
lambdaで実行した場合のみこの現象が起こります。

以上、ご教示いただきたく、よろしくお願いいたします。

行動規範の内容に同意します

回答1件

ベストアンサー

プライベートサブネット内にあるせいでssmのエンドポイントにリクエストが届いてないのでは。
AWSのAPIは基本的にパブリックなエンドポイントなので、プライベートサブネット内から通信させるにはVPCエンドポイントを作成するか、NATを使ってプライベートサブネット内からインターネットに対して通信ができるようにする必要があります。
そもそもVPC Lambdaである必要をあまり感じないのでVPC Lambdaをやめるのが一番簡単です。
それが要件的に無理なのであれば上記の通りにしてみてください。

参考
VPC エンドポイント
NATを作る場合は、マネージドサービスであればNATゲートウェイがあります。
NATゲートウェイ

投稿2021/08/23 06:14