Referência: ec2messages, ssmmessages e outras operações da API
Se você monitorar operações de API, poderá ver chamadas para as seguintes operações:
-
ec2messages:AcknowledgeMessage
-
ec2messages:DeleteMessage
-
ec2messages:FailMessage
-
ec2messages:GetEndpoint
-
ec2messages:GetMessages
-
ec2messages:SendReply
-
ssmmessages:CreateControlChannel
-
ssmmessages:CreateDataChannel
-
ssmmessages:OpenControlChannel
-
ssmmessages:OpenDataChannel
-
ssm:DescribeDocumentParameters
-
ssm:DescribeInstanceProperties
-
ssm:GetCalendar
-
ssm:GetManifest
-
ssm:ListInstanceAssociations
-
ssm:PutCalendar
-
ssm:PutConfigurePackageResult
-
ssm:RegisterManagedInstance
-
ssm:RequestManagedInstanceRoleToken
-
ssm:UpdateInstanceAssociationStatus
-
ssm:UpdateInstanceInformation
-
ssm:UpdateManagedInstancePublicKey
Essas são operações especiais usadas pelo AWS Systems Manager, conforme descrito no restante deste tópico.
Operações de API relacionadas a agentes (endpoints ssmmessages
e ec2messages
)
Operações de API ssmmessages
O Systems Manager usa o endpoint ssmmessages
para os dois tipos de operações de API a seguir:
-
Operações do SSM Agent ao Session Manager, um recurso do AWS Systems Manager, na nuvem. Esse endpoint é necessário para criar e excluir canais de sessão com o serviço Session Manager na nuvem. Além disso, se a conectividade for permitida, o SSM Agent receberá documentos do
Command
por meio deste Amazon Message Gateway Service. Se a conectividade não for permitida, o SSM Agent receberá documentos doCommand
via Amazon Message Delivery Service. Para obter mais informações, consulte Ações, recursos e chaves de condição do Amazon Session Manager Message Gateway Service. -
Operações do Systems Manager Agent (SSM Agent) para o serviço do Systems Manager na nuvem.
Operações da API ec2messages
As operações de API ec2messages:*
são feitas para o endpoint do Amazon
Message Delivery Service. O Systems Manager usa esse endpoint para fazer operações de API do Systems Manager Agent (SSM Agent) para o serviço Systems Manager na nuvem.
Importante
As operações da API do ec2messages:*
são aceitas somente nas Regiões da AWS lançadas antes de 2024. Nas regiões lançadas em 2024 e posteriormente, somente as operações da API do ssmmessages:*
são aceitas.
Precedência de conexão do endpoint
A partir da versão 3.3.40.0 do SSM Agent, o Systems Manager começou a usar o endpoint ssmmessages:*
(Amazon Message Gateway Service) sempre que disponível, em vez do endpoint ec2messages:*
(Amazon Message Delivery Service).
Se você fornecer acesso a ssmmessages:*
em suas políticas de permissão do AWS Identity and Access Management (IAM), o SSM Agent se conectará ao endpoint ssmmessages:*
, mesmo que seu perfil de instância do IAM esteja configurado para permitir os dois endpoints. Isso inclui políticas para perfis de instância do IAM e perfis de serviço do IAM que você mesmo criou e para perfis de instância do IAM criados pela Configuração de gerenciamento de hosts de Quick Setup e pela configuração padrão de gerenciamento de hosts.
Se você tiver fornecido permissões para ambos os endpoints e monitorado as operações de API usando, por exemplo, o CloudWatch Metrics, você não verá nenhuma chamada para. ec2messages:*
Para Regiões da AWS lançadas antes de 2024: é possível remover as permissões de ec2messages:*
com segurança das suas políticas.
Failover de conexão do endpoint
Somente para Regiões da AWS lançadas antes de 2024: se seu perfil de instância do IAM não fornecer permissões para ssmmessages:*
no momento que o agente for iniciado, mas apenas ec2messages:*
, o SSM Agent se conectará ao endpoint ec2messages:*
. Se você tiver ssmmessages:*
e ec2messages:*
ao mesmo tempo no no momento que SSM Agent iniciar, mas remover ssmmessages:*
após a inicialização do agente, o SSM Agent logo transferirá a conexão para o endpoint ec2messages:*
. Para regiões lançadas em 2024 e posteriormente, somente o endpoint ssmmessages:*
é aceito.
Para obter mais informações sobre os endpoints ssmmessages
e ec2messages:*
, consulte os seguintes tópicos na Referência de autorização de serviço da AWS.
Operações de API relacionadas à instância do namespace ssm:*
DescribeDocumentParameters
-
O Systems Manager executa essa operação da API para renderizar nós específicos no console do Amazon EC2. Os resultados da operação
DescribeDocumentParameters
são exibidos em seu nó Documentos. DescribeInstanceProperties
-
O Systems Manager executa essa operação da API para renderizar nós específicos no console do Amazon EC2. Os resultados da operação
DescribeInstanceProperties
são exibidos em seu nó Fleet Manager. GetCalendar
-
O Systems Manager executa essa operação da API para renderizar documentos do tipo Change Calendar no console do Change Calendar.
GetManifest
-
O SSM Agent executa essa operação da API para determinar os requisitos do sistema para instalar ou atualizar uma versão específica de um pacote AWS Systems Manager Distributor. Essa é uma operação de API herdada e não está disponível nas Regiões da AWS iniciadas após 2017.
ListInstanceAssociations
-
O SSM Agent executa essa operação da API para ver se uma nova associação do State Manager está disponível. Essa operação de API é essencial para o State Manager funcionar.
PutCalendar
-
O Systems Manager executa essa operação da API para atualizar documentos do tipo Change Calendar no console do Change Calendar.
PutConfigurePackageResult
-
O SSM Agent executa essa operação da API para publicar métricas de erro de instalação e latência de pacotes públicos do Distributor na conta do proprietário do pacote.
RegisterManagedInstance
-
O SSM Agent executa essa operação de API para os seguintes cenários:
-
Para registrar um servidor on-premises ou máquina virtual (VM) com o Systems Manager como uma instância gerenciada usando um código de ativação e um ID.
-
Para registrar as credenciais do AWS IoT Greengrass Version 2.
Essa operação também é chamada por instâncias do Amazon EC2 que executam a versão 3.1.x ou posterior do SSM Agent.
-
RequestManagedInstanceRoleToken
-
O SSM Agent executa essa operação da API para recuperar credenciais temporárias para acessar o nó gerenciado.
UpdateInstanceAssociationStatus
-
SSM Agent: o agente executa essa operação de API para atualizar uma associação. Essa operação da API é exigida pelo State Manager, um recurso do AWS Systems Manager, para funcionar.
UpdateInstanceInformation
-
O SSM Agent chama o serviço Systems Manager na nuvem a cada cinco minutos para fornecer informações sobre pulsação. Essa chamada é necessária para manter uma pulsação com o agente, para que o serviço saiba que o agente está funcionando conforme esperado.
UpdateManagedInstancePublicKey
-
O SSM Agent executa essa operação da API para fornecer a chave pública depois de alternar o par de chaves no nó gerenciado. A chave pública é usada para autenticar as solicitações, assinadas com a chave privada, para obter credenciais temporárias do Systems Manager.