Référence : ec2messages, ssmmessages et autres opérations d'API - AWS Systems Manager
Opérations d’API liées à un agent (points de terminaison ssmmessages et ec2messages)Opérations d’API liées à l’instance d’espace de noms ssm:*Autres opérations d’API d’espace de noms ssm:*

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Référence : ec2messages, ssmmessages et autres opérations d'API

Si vous surveillez les opérations d’API, il se peut que vous constatiez des appels vers les opérations suivantes :

  • ec2messages:AcknowledgeMessage

  • ec2messages:DeleteMessage

  • ec2messages:FailMessage

  • ec2messages:GetEndpoint

  • ec2messages:GetMessages

  • ec2messages:SendReply

  • ssmmessages:CreateControlChannel

  • ssmmessages:CreateDataChannel

  • ssmmessages:OpenControlChannel

  • ssmmessages:OpenDataChannel

  • ssm:DescribeDocumentParameters

  • ssm:DescribeInstanceProperties

  • ssm:GetCalendar

  • ssm:GetManifest

  • ssm:ListInstanceAssociations

  • ssm:PutCalendar

  • ssm:PutConfigurePackageResult

  • ssm:RegisterManagedInstance

  • ssm:RequestManagedInstanceRoleToken

  • ssm:UpdateInstanceAssociationStatus

  • ssm:UpdateInstanceInformation

  • ssm:UpdateManagedInstancePublicKey

Il s'agit d'opérations spéciales utilisées par AWS Systems Manager, comme décrit dans le reste de cette rubrique.

Opérations d’API liées à un agent (points de terminaison ssmmessages et ec2messages)

Opérations d'API ssmmessages

Systems Manager utilise le point de terminaison ssmmessages pour les types d’opérations d’API suivants :

  • Opérations depuis l'agent Systems Manager (SSM Agent) vers le service Systems Manager dans le cloud.

  • Opérations à partir de SSM Agent to Session Manager, un outil dans AWS Systems Manager, dans le cloud. Ce point de terminaison est requis pour créer et supprimer des canaux de session avec Session Manager service dans le cloud. De plus, si la connectivité est autorisée, SSM Agent reçoit Command des documents par ce biais Amazon Message Gateway Service. Si la connectivité n'est pas autorisée, SSM Agent reçoit Command des documents par le biais du Amazon Message Delivery Service. Pour plus d'informations, consultez Actions, ressources et clés de condition pour Amazon Message Gateway Service.

  • Opérations à partir de Run Command.

Opérations d'API ec2messages

ec2messages:*Les opérations d'API sont effectuées sur Amazon Message Delivery Service point de terminaison. Systems Manager utilise ce point de terminaison pour les opérations d'API à partir de l'agent Systems Manager (SSM Agent) vers le service Systems Manager dans le cloud.

Important

Les opérations d’API ec2messages:* sont prises en charge uniquement dans les Régions AWS lancées avant 2024. Dans les régions lancées à partir de 2024, seules les opérations d’API ssmmessages:* sont prises en charge.

Priorisation des connexions au point de terminaison

À partir de la version 3.3.40.0 de SSM Agent, Systems Manager a commencé à utiliser le ssmmessages:* point de terminaison (Amazon Message Gateway Service) chaque fois qu'il est disponible à la place du ec2messages:* point de terminaison (Amazon Message Delivery Service).

Si vous fournissez l'accès à ssmmessages:* dans vos politiques d'autorisation AWS Identity and Access Management (IAM), SSM Agent se connecte au ssmmessages:* point de terminaison, même si votre profil d'instance IAM est configuré pour autoriser les deux points de terminaison. Cela inclut les politiques pour les profils d'instance IAM et les rôles de service IAM que vous avez créés vous-même, ainsi que pour les profils d'instance IAM créés par le Quick Setup Configuration de gestion de l'hôte et configuration de gestion de l'hôte par défaut.

Si vous avez fourni des autorisations pour les deux points de terminaison et que vous surveillez les opérations d'API à l'aide, par exemple, de CloudWatch Metrics, vous ne verrez aucun appel àec2messages:*.

Pour les Régions AWS versions lancées avant 2024 : vous pouvez supprimer les ec2messages:* autorisations de vos politiques en toute sécurité pour le moment.

Basculement de connexion au point de terminaison

Pour les Régions AWS applications lancées avant 2024 uniquement : si votre profil d'instance IAM ne fournit pas d'autorisations ssmmessages:* au moment du démarrage de l'agent, mais uniquement ec2messages:* pour : SSM Agent se connecte au ec2messages:* point de terminaison. Si vous avez les deux ssmmessages:* et ec2messages:* à ce moment-là SSM Agent démarre, mais supprime ssmmessages:* après le démarrage de l'agent, SSM Agent bascule rapidement la connexion vers le ec2messages:* point de terminaison. Pour les régions lancées à partir de 2024, seul le point de terminaison ssmmessages:* est pris en charge.

Pour plus d’informations sur les points de terminaison ssmmessages et ec2messages:*, consultez les sections suivantes dans la référence d’autorisation de service AWS .

Opérations d’API liées à l’instance d’espace de noms ssm:*

DescribeDocumentParameters

Systems Manager exécute cette opération d'API pour afficher des nœuds spécifiques dans la EC2 console Amazon. Les résultats de l’opération DescribeDocumentParameters sont affichés dans le nœud Documents.

DescribeInstanceProperties

Systems Manager exécute ces opérations d'API pour afficher des nœuds spécifiques dans la EC2 console Amazon. Les résultats de DescribeInstanceProperties l'opération sont affichés dans Fleet Manager nœud.

GetCalendar

Systems Manager exécute cette opération d'API pour effectuer le rendu Change Calendar tapez des documents dans Change Calendar console.

GetManifest

SSM Agent exécute cette opération d'API pour déterminer la configuration système requise pour l'installation ou la mise à jour d'une version spécifiée d'un AWS Systems Manager Distributor package. Il s'agit d'une ancienne opération d'API qui n'est pas disponible si elle Régions AWS a été lancée après 2017.

ListInstanceAssociations

SSM Agent exécute cette opération d'API pour voir si un nouveau State Manager l'association est disponible. Cette opération d'API est requise pour State Manager pour fonctionner.

PutCalendar

Systems Manager exécute cette opération d'API pour mettre à jour Change Calendar tapez des documents dans Change Calendar console.

PutConfigurePackageResult

SSM Agent exécute cette opération d'API pour publier les mesures d'erreur d'installation et de latence des packages de distribution publics sur le compte du propriétaire du package.

RegisterManagedInstance

SSM Agent exécute cette opération d'API pour les scénarios suivants :

  • Pour enregistrer un serveur sur site ou une machine virtuelle (VM) auprès de Systems Manager en tant qu’instance gérée à l’aide d’un code d’activation et d’un ID.

  • Pour enregistrer les AWS IoT Greengrass Version 2 informations d'identification.

Cette opération est également appelée par les EC2 instances Amazon exécutant SSM Agent version 3.1.x ou ultérieure.

RequestManagedInstanceRoleToken

SSM Agent exécute cette opération d'API pour récupérer les informations d'identification temporaires permettant d'accéder au nœud géré.

UpdateInstanceAssociationStatus

SSM Agent exécute cette opération d'API pour mettre à jour une association. Cette opération d'API est requise pour State Manager, un outil pour fonctionner. AWS Systems Manager

UpdateInstanceInformation

SSM Agent appelle le service Systems Manager dans le cloud toutes les 5 minutes pour fournir des informations sur le rythme cardiaque. Cet appel est nécessaire pour maintenir une pulsation avec l'agent afin que le service sache que l'agent fonctionne comme prévu.

UpdateManagedInstancePublicKey

SSM Agent exécute cette opération d'API pour fournir la clé publique après avoir fait pivoter la paire de clés sur le nœud géré. La clé publique est utilisée pour authentifier les demandes, signées avec la clé privée, et obtenir des informations d’identification temporaires auprès de Systems Manager.

Autres opérations d’API d’espace de noms ssm:*

ExecuteApi

Administrateurs délégués de Systems Manager qui gèrent OpsItems dans OpsCenter ont besoin d'accéder à cette action d'API afin qu'ils puissent consulter les détails des ressources connexes sur OpsItems sur plusieurs Comptes AWS. Plus précisément, cette API donne à un administrateur délégué l'autorisation de consulter les éléments suivants OpsItem détails dans le AWS Management Console : le OpsItem description, balises, AWS CloudFormation modèle, AWS Config modifications, CloudWatch journaux, alarmes et AWS CloudTrail événements. Pour plus d'informations sur l'utilisation de OpsItems sur plusieurs comptes, voir(Facultatif) Configuration manuelle OpsCenter pour gérer de manière centralisée OpsItems sur plusieurs comptes. Pour plus d'informations sur les informations relatives aux ressources associées pour OpsItems, voir Ajouter des ressources connexes à un OpsItem.