Referência: ec2messages, ssmmessages e outras operações da API
Se você monitorar operações de API, poderá ver chamadas para as seguintes operações:
-
ec2messages:AcknowledgeMessage
-
ec2messages:DeleteMessage
-
ec2messages:FailMessage
-
ec2messages:GetEndpoint
-
ec2messages:GetMessages
-
ec2messages:SendReply
-
ssmmessages:CreateControlChannel
-
ssmmessages:CreateDataChannel
-
ssmmessages:OpenControlChannel
-
ssmmessages:OpenDataChannel
-
ssm:DescribeDocumentParameters
-
ssm:DescribeInstanceProperties
-
ssm:GetCalendar
-
ssm:GetManifest
-
ssm:ListInstanceAssociations
-
ssm:PutCalendar
-
ssm:PutConfigurePackageResult
-
ssm:RegisterManagedInstance
-
ssm:RequestManagedInstanceRoleToken
-
ssm:UpdateInstanceAssociationStatus
-
ssm:UpdateInstanceInformation
-
ssm:UpdateManagedInstancePublicKey
Essas são operações especiais usadas pelo AWS Systems Manager, conforme descrito no restante deste tópico.
Operações de API relacionadas a agentes (endpoints ssmmessages
e ec2messages
)
Operações de API ssmmessages
O Systems Manager usa o endpoint ssmmessages
para estes tipos de operações de API:
-
Operações do Systems Manager Agent (SSM Agent) para o serviço do Systems Manager na nuvem.
-
Operações do SSM Agent ao Session Manager, um recurso do AWS Systems Manager, na nuvem. Esse endpoint é necessário para criar e excluir canais de sessão com o serviço Session Manager na nuvem. Além disso, se a conectividade for permitida, o SSM Agent receberá documentos do
Command
por meio deste Amazon Message Gateway Service. Se a conectividade não for permitida, o SSM Agent receberá documentos doCommand
via Amazon Message Delivery Service. Para obter mais informações, consulte Ações, recursos e chaves de condição do Amazon Message Gateway Service. -
Operações de Run Command.
Operações da API ec2messages
As operações de API ec2messages:*
são feitas para o endpoint do Amazon
Message Delivery Service. O Systems Manager usa esse endpoint para fazer operações de API do Systems Manager Agent (SSM Agent) para o serviço Systems Manager na nuvem.
Importante
As operações da API do ec2messages:*
são aceitas somente nas Regiões da AWS lançadas antes de 2024. Nas regiões lançadas em 2024 e posteriormente, somente as operações da API do ssmmessages:*
são aceitas.
Precedência de conexão do endpoint
A partir da versão 3.3.40.0 do SSM Agent, o Systems Manager começou a usar o endpoint ssmmessages:*
(Amazon Message Gateway Service) sempre que disponível, em vez do endpoint ec2messages:*
(Amazon Message Delivery Service).
Se você fornecer acesso a ssmmessages:*
em suas políticas de permissão do AWS Identity and Access Management (IAM), o SSM Agent se conectará ao endpoint ssmmessages:*
, mesmo que seu perfil de instância do IAM esteja configurado para permitir os dois endpoints. Isso inclui políticas para perfis de instância do IAM e perfis de serviço do IAM que você mesmo criou e para perfis de instância do IAM criados pela Configuração de gerenciamento de hosts de Quick Setup e pela configuração padrão de gerenciamento de hosts.
Se você tiver fornecido permissões para ambos os endpoints e monitorado as operações de API usando, por exemplo, o CloudWatch Metrics, você não verá nenhuma chamada para. ec2messages:*
Para Regiões da AWS lançadas antes de 2024: é possível remover as permissões de ec2messages:*
com segurança das suas políticas.
Failover de conexão do endpoint
Somente para Regiões da AWS lançadas antes de 2024: se seu perfil de instância do IAM não fornecer permissões para ssmmessages:*
no momento que o agente for iniciado, mas apenas ec2messages:*
, o SSM Agent se conectará ao endpoint ec2messages:*
. Se você tiver ssmmessages:*
e ec2messages:*
ao mesmo tempo no no momento que SSM Agent iniciar, mas remover ssmmessages:*
após a inicialização do agente, o SSM Agent logo transferirá a conexão para o endpoint ec2messages:*
. Para regiões lançadas em 2024 e posteriormente, somente o endpoint ssmmessages:*
é aceito.
Para obter mais informações sobre os endpoints ssmmessages
e ec2messages:*
, consulte os seguintes tópicos na Referência de autorização de serviço da AWS.
Operações de API relacionadas à instância do namespace ssm:*
DescribeDocumentParameters
-
O Systems Manager executa essa operação da API para renderizar nós específicos no console do Amazon EC2. Os resultados da operação
DescribeDocumentParameters
são exibidos em seu nó Documentos. DescribeInstanceProperties
-
O Systems Manager executa essa operação da API para renderizar nós específicos no console do Amazon EC2. Os resultados da operação
DescribeInstanceProperties
são exibidos em seu nó Fleet Manager. GetCalendar
-
O Systems Manager executa essa operação da API para renderizar documentos do tipo Change Calendar no console do Change Calendar.
GetManifest
-
O SSM Agent executa essa operação da API para determinar os requisitos do sistema para instalar ou atualizar uma versão específica de um pacote AWS Systems Manager Distributor. Essa é uma operação de API herdada e não está disponível nas Regiões da AWS iniciadas após 2017.
ListInstanceAssociations
-
O SSM Agent executa essa operação da API para ver se uma nova associação do State Manager está disponível. Essa operação de API é essencial para o State Manager funcionar.
PutCalendar
-
O Systems Manager executa essa operação da API para atualizar documentos do tipo Change Calendar no console do Change Calendar.
PutConfigurePackageResult
-
O SSM Agent executa essa operação da API para publicar métricas de erro de instalação e latência de pacotes públicos do Distributor na conta do proprietário do pacote.
RegisterManagedInstance
-
O SSM Agent executa essa operação de API para os seguintes cenários:
-
Para registrar um servidor on-premises ou máquina virtual (VM) com o Systems Manager como uma instância gerenciada usando um código de ativação e um ID.
-
Para registrar as credenciais do AWS IoT Greengrass Version 2.
Essa operação também é chamada por instâncias do Amazon EC2 que executam a versão 3.1.x ou posterior do SSM Agent.
-
RequestManagedInstanceRoleToken
-
O SSM Agent executa essa operação da API para recuperar credenciais temporárias para acessar o nó gerenciado.
UpdateInstanceAssociationStatus
-
SSM Agent: o agente executa essa operação de API para atualizar uma associação. Essa operação da API é exigida pelo State Manager, um recurso do AWS Systems Manager, para funcionar.
UpdateInstanceInformation
-
O SSM Agent chama o serviço Systems Manager na nuvem a cada cinco minutos para fornecer informações sobre pulsação. Essa chamada é necessária para manter uma pulsação com o agente, para que o serviço saiba que o agente está funcionando conforme esperado.
UpdateManagedInstancePublicKey
-
O SSM Agent executa essa operação da API para fornecer a chave pública depois de alternar o par de chaves no nó gerenciado. A chave pública é usada para autenticar as solicitações, assinadas com a chave privada, para obter credenciais temporárias do Systems Manager.
ssm:* namespace outras operações de API
ExecuteApi
-
Os administradores delegados do Systems Manager que gerenciam OpsItems no OpsCenter exigem acesso a essa ação de API para que possam visualizar detalhes de recursos relacionados a OpsItems em várias Contas da AWS. Especificamente, essa API dá a um administrador delegado permissão para visualizar os seguintes detalhes de OpsItem no AWS Management Console: a descrição de OpsItem, tags, modelo do AWS CloudFormation, alterações no AWS Config, alarmes do CloudWatch Logs e eventos do AWS CloudTrail. Para obter mais informações sobre como trabalhar com OpsItems entre contas diferentes, consulte (Opcional) Configuração do OpsCenter para gerenciar OpsItems de forma centralizada entre contas. Para obter mais informações sobre detalhes de recursos relacionados para OpsItems, consulte Adição de recursos relacionados para um OpsItem.