Référence : ec2messages, ssmmessages et autres opérations d'API - AWS Systems Manager
Opérations d’API liées à un agent (points de terminaison ssmmessages et ec2messages)Opérations d’API liées à l’instance d’espace de noms ssm:*Autres opérations d’API d’espace de noms ssm:*

Référence : ec2messages, ssmmessages et autres opérations d'API

Si vous surveillez les opérations d’API, il se peut que vous constatiez des appels vers les opérations suivantes :

  • ec2messages:AcknowledgeMessage

  • ec2messages:DeleteMessage

  • ec2messages:FailMessage

  • ec2messages:GetEndpoint

  • ec2messages:GetMessages

  • ec2messages:SendReply

  • ssmmessages:CreateControlChannel

  • ssmmessages:CreateDataChannel

  • ssmmessages:OpenControlChannel

  • ssmmessages:OpenDataChannel

  • ssm:DescribeDocumentParameters

  • ssm:DescribeInstanceProperties

  • ssm:GetCalendar

  • ssm:GetManifest

  • ssm:ListInstanceAssociations

  • ssm:PutCalendar

  • ssm:PutConfigurePackageResult

  • ssm:RegisterManagedInstance

  • ssm:RequestManagedInstanceRoleToken

  • ssm:UpdateInstanceAssociationStatus

  • ssm:UpdateInstanceInformation

  • ssm:UpdateManagedInstancePublicKey

Il s’agit d’opérations spéciales utilisées par AWS Systems Manager, comme décrit dans la suite de cette section.

Opérations d’API liées à un agent (points de terminaison ssmmessages et ec2messages)

Opérations d'API ssmmessages

Systems Manager utilise le point de terminaison ssmmessages pour les types d’opérations d’API suivants :

  • Opérations de Systems Manager Agent (SSM Agent) au service Systems Manager dans le cloud.

  • Des opérations de SSM Agent à Session Manager, un outil d’AWS Systems Manager, dans le cloud. Ce point de terminaison est requis pour créer et supprimer des canaux de session avec le service Session Manager dans le cloud. De plus, si la connectivité est autorisée, SSM Agent reçoit les documents Command via cet Amazon Message Gateway Service. Si la connectivité n’est pas autorisée, SSM Agent reçoit les documents Command via l’Amazon Message Delivery Service. Pour de plus amples informations, consultez Actions, ressources et clés de condition pour Amazon Message Gateway Service

  • Opérations de Run Command.

Opérations d'API ec2messages

ec2messages:*Les opérations d'API sont effectuées sur le point de terminaison Amazon Message Delivery Service. Systems Manager utilise ce point de terminaison pour effectuer des opérations d'API, de Systems Manager Agent (SSM Agent) au service Systems Manager dans le cloud.

Important

Les opérations d’API ec2messages:* sont prises en charge uniquement dans les Régions AWS lancées avant 2024. Dans les régions lancées à partir de 2024, seules les opérations d’API ssmmessages:* sont prises en charge.

Priorisation des connexions au point de terminaison

À partir de la version 3.3.40.0 de SSM Agent, Systems Manager a commencé à privilégier lorsque possible l’utilisation du point de terminaison ssmmessages:* (Amazon Message Gateway Service) à l’utilisation du point de terminaison ec2messages:* (Amazon Message Delivery Service).

Si vous fournissez l’accès à ssmmessages:* dans vos politiques d’autorisation AWS Identity and Access Management (IAM), SSM Agent se connecte au point de terminaison ssmmessages:*, même si votre profil d’instance IAM est configuré pour autoriser les deux points de terminaison. Cela inclut les politiques pour les profils d’instance IAM et les rôles de service IAM que vous avez créés, et pour les profils d’instance IAM créés par la configuration de gestion d’hôte Quick Setup et la configuration de gestion d’hôte par défaut.

Si vous avez fourni des autorisations pour les deux points de terminaison et que vous surveillez les opérations d’API à l’aide, par exemple, de métriques CloudWatch, vous ne constaterez aucun appel à ec2messages:*.

Pour les Régions AWS lancées avant 2024 : vous pouvez désormais supprimer en toute sécurité les autorisations ec2messages:* de vos politiques.

Basculement de connexion au point de terminaison

Pour les Régions AWS lancées avant 2024 uniquement : si votre profil d’instance IAM ne fournit pas d’autorisations pour ssmmessages:* au moment du démarrage de l’agent, mais seulement ec2messages:*, SSM Agent se connecte au point de terminaison ec2messages:*. Si vous disposez de ssmmessages:* et ec2messages:* au moment du démarrage de SSM Agent, mais que vous supprimez ssmmessages:* après le démarrage de l’agent, SSM Agent bascule rapidement la connexion vers le point de terminaison ec2messages:*. Pour les régions lancées à partir de 2024, seul le point de terminaison ssmmessages:* est pris en charge.

Pour plus d’informations sur les points de terminaison ssmmessages et ec2messages:*, consultez les sections suivantes dans la référence d’autorisation de service AWS.

Opérations d’API liées à l’instance d’espace de noms ssm:*

DescribeDocumentParameters

Systems Manager exécute cette opération d’API pour afficher des nœuds spécifiques dans la console Amazon EC2. Les résultats de l’opération DescribeDocumentParameters sont affichés dans le nœud Documents.

DescribeInstanceProperties

Systems Manager exécute ces opérations d’API pour afficher des nœuds spécifiques dans la console Amazon EC2. Les résultats de l'opération DescribeInstanceProperties sont affichés dans le nœud Fleet Manager.

GetCalendar

Systems Manager exécute cette opération d’API pour afficher les documents de type Change Calendar dans la console Change Calendar.

GetManifest

SSM Agent exécute cette opération d’API pour déterminer la configuration système requise pour installer ou mettre à jour une version spécifiée d’un package AWS Systems Manager Distributor. Il s'agit d'une opération d'API héritée qui n'est pas disponible dans les Régions AWS lancées après 2017.

ListInstanceAssociations

SSM Agent exécute cette opération d’API pour voir si une nouvelle association State Manager est disponible. Cette opération d'API est requise pour que State Manager fonctionne.

PutCalendar

Systems Manager exécute cette opération d’API pour mettre à jour les documents de type Change Calendar dans la console Change Calendar.

PutConfigurePackageResult

SSM Agent exécute cette action d’API pour publier des métriques de latence et d’erreur d’installation pour les packages Distributor publics sur le compte du propriétaire de package.

RegisterManagedInstance

SSM Agent exécute cette opération d’API pour les scénarios suivants :

  • Pour enregistrer un serveur sur site ou une machine virtuelle (VM) auprès de Systems Manager en tant qu’instance gérée à l’aide d’un code d’activation et d’un ID.

  • Pour enregistrer les informations d’identification AWS IoT Greengrass Version 2.

Cette opération est également appelée par les instances Amazon EC2 exécutant la version 3.1.x ou ultérieure de l'SSM Agent.

RequestManagedInstanceRoleToken

SSM Agent exécute cette opération d’API pour extraire les informations d’identification temporaires permettant d’accéder au nœud géré.

UpdateInstanceAssociationStatus

SSM Agent exécute cette opération d’API pour mettre à jour une association. Cette opération d’API est requise pour que State Manager, un outil d’AWS Systems Manager, fonctionne.

UpdateInstanceInformation

SSM Agent appelle le service Systems Manager dans le cloud toutes les cinq minutes pour fournir des informations de pulsation. Cet appel est nécessaire pour maintenir une pulsation avec l'agent afin que le service sache que l'agent fonctionne comme prévu.

UpdateManagedInstancePublicKey

SSM Agent exécute cette opération d’API pour fournir la clé publique après avoir effectué la rotation de la paire de clés sur le nœud géré. La clé publique est utilisée pour authentifier les demandes, signées avec la clé privée, et obtenir des informations d’identification temporaires auprès de Systems Manager.

Autres opérations d’API d’espace de noms ssm:*

ExecuteApi

Les administrateurs délégués Systems Manager qui gèrent OpsItems dans OpsCenter ont besoin d’avoir accès à cette action d’API afin de pouvoir consulter les détails des ressources connexes concernant OpsItems sur plusieurs Comptes AWS. Plus spécifiquement, cette API autorise un administrateur délégué à consulter les informations OpsItem suivantes dans la AWS Management Console : la description OpsItem, les balises, le modèle AWS CloudFormation, les modifications AWS Config, les alarmes CloudWatch Logs et les événements AWS CloudTrail. Pour plus d’informations sur l’utilisation des OpsItems sur plusieurs comptes, consultez la section (Facultatif) Configurez manuellement OpsCenter pour gérer de manière centralisée OpsItems sur l’ensemble des comptes. Pour plus d’informations sur les détails des ressources connexes pour OpsItems, consultez la section Ajout de ressources connexes à un OpsItem.