• AWS Systems Manager CloudWatch 控制面板在 2026 年 4 月 30 日之后将不再可用。客户可以像现在一样继续使用 Amazon CloudWatch 控制台来查看、创建和管理其 Amazon CloudWatch 控制面板。有关更多信息,请参阅 [Amazon CloudWatch 控制面板文档](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。
# 参考:ec2messages、ssmmessages 和其他 API 操作
如果您监控 API 操作,可能会看到对以下操作的调用:
+ `ec2messages:AcknowledgeMessage`
+ `ec2messages:DeleteMessage`
+ `ec2messages:FailMessage`
+ `ec2messages:GetEndpoint`
+ `ec2messages:GetMessages`
+ `ec2messages:SendReply`
+ `ssmmessages:CreateControlChannel`
+ `ssmmessages:CreateDataChannel`
+ `ssmmessages:OpenControlChannel`
+ `ssmmessages:OpenDataChannel`
+ `ssm:DescribeDocumentParameters`
+ `ssm:DescribeInstanceProperties`
+ `ssm:GetCalendar`
+ `ssm:GetManifest`
+ `ssm:ListInstanceAssociations`
+ `ssm:PutCalendar`
+ `ssm:PutConfigurePackageResult`
+ `ssm:RegisterManagedInstance`
+ `ssm:RequestManagedInstanceRoleToken`
+ `ssm:UpdateInstanceAssociationStatus`
+ `ssm:UpdateInstanceInformation`
+ `ssm:UpdateManagedInstancePublicKey`
这些是 AWS Systems Manager 使用的特殊操作,如本主题的其余部分中所述。
## 与代理相关的 API 操作(`ssmmessages` 和 `ec2messages` 端点)
**ssmmessages API 操作**
Systems Manager 使用 `ssmmessages` 端点进行以下类型的 API 操作:
+ 从 Systems Manager 代理(SSM Agent)到云中 Systems Manager 服务的操作。
+ 云中从 SSM Agent 到Session Manager(AWS Systems Manager 中的一项工具)的操作。使用云中的Session Manager服务创建和删除会话通道需要此终端节点。此外,如果允许连接,则 SSM Agent 通过此 Amazon Message Gateway Service 接收 `Command` 文档。如果不允许连接,则 SSM Agent 通过 Amazon Message Delivery Service 接收 `Command` 文档。有关更多信息,请参阅 [Amazon Message Gateway Service的操作、资源和条件键](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmessagegatewayservice.html)。
**注意**
如果从附加到 IAM 实例配置文件或 IAM 服务角色的策略中移除 `ssmmessages:OpenControlChannel` 权限,则托管节点上的 SSM Agent 将失去与云端 Systems Manager 服务的连接。但是,移除权限后,连接最多可能需要 1 小时才能终止。这与删除 IAM 实例角色或 IAM 服务角色时的行为相同。
请注意,`ssmmessages:OpenControlChannel` 权限包含在托管式策略 [AmazonSSMManagedInstanceCore](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html) 中,该策略用于为 EC2 实例[创建 IAM 实例配置文件](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-permissions.html#instance-profile-add-permissions)以及为非 EC2 实例[创建 IAM 服务角色](https://docs.aws.amazon.com/systems-manager/latest/userguide/hybrid-multicloud-service-role.html)的说明中。
+ 操作来自 Run Command。
**ec2messages API 操作**
对 Amazon Message Delivery Service 端点进行 `ec2messages:*` API 操作。Systems Manager 将此端点用于从 Systems Manager Agent (SSM Agent) 到云中 Systems Manager 服务的 API 操作。
**重要**
`ec2messages:*` API 操作仅在 2024 年之前推出的 AWS 区域 中受支持。在 2024 年及之后推出的区域中,仅支持 `ssmmessages:*` API 操作。
**端点连接优先级**
从 SSM Agent 的版本 3.3.40.0 开始,只要可用,Systems Manager 就会使用 `ssmmessages:*` 端点(Amazon Message Gateway Service)而非 `ec2messages:*` 端点(Amazon Message Delivery Service)。
如果在 AWS Identity and Access Management(IAM)权限策略中提供对 `ssmmessages:*` 的访问权限,即便 IAM 实例配置文件配置为允许两个端点,SSM Agent 也会连接到 `ssmmessages:*` 端点。这包括您自己创建的 [IAM 实例配置文件](setup-instance-permissions.md#instance-profile-add-permissions)的策略和 [IAM 服务角色](hybrid-multicloud-service-role.md)的策略,以及由 [Quick Setup 主机管理配置](quick-setup-host-management.md)和[默认主机管理配置](quick-setup-default-host-management-configuration.md)创建的 IAM 实例配置文件的策略。
如果已经为两个端点提供权限,并使用 CloudWatch Metrics 等监控 API 操作,则不会看到对 `ec2messages:*` 的调用。
对于 2024 年之前推出的 AWS 区域:此时,您可以放心地删除策略中的 `ec2messages:*` 权限。
**端点连接失效转移**
仅适用于 2024 年之前推出的 AWS 区域:如果 IAM 实例配置文件在代理启动时没有为 `ssmmessages:*` 提供权限,而仅为 `ec2messages:*` 提供权限,则 SSM Agent 会连接到 `ec2messages:*` 端点。如果在 SSM Agent 启动时同时拥有 `ssmmessages:*` 和 `ec2messages:*`,但在代理启动后移除了 `ssmmessages:*`,则 SSM Agent 很快就会将连接切换到 `ec2messages:*` 端点。对于 2024 年及之后推出的区域,仅支持 `ssmmessages:*` 端点。
有关 `ssmmessages` 和 `ec2messages:*` 端点的详细信息,请参阅《AWS Service Authorization Reference**》中的以下主题。
+ [Amazon Message Gateway Service 的操作、资源和条件键](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmessagegatewayservice.html) (`ssmmessages`)。
+ [Amazon Message Delivery Service 的操作、资源和条件键](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmessagedeliveryservice.html) (`ec2messages:*`)
## 与 `ssm:*` 命名空间实例相关的 API 操作
`DescribeDocumentParameters`
Systems Manager 运行此 API 操作以在 Amazon EC2 控制台中呈现特定节点。`DescribeDocumentParameters` 操作的结果将在文档节点中显示。
`DescribeInstanceProperties`
Systems Manager 运行此 API 操作以在 Amazon EC2 控制台中呈现特定节点。`DescribeInstanceProperties` 操作的结果将显示在 Fleet Manager 节点中。
`GetCalendar`
Systems Manager 运行此 API 操作,在 Change Calendar 控制台中呈现 Change Calendar 类型文档。
`GetManifest`
SSM Agent 运行此 API 操作以确定安装或更新指定版本 [AWS Systems Manager Distributor](distributor.md) 软件包的系统要求。这是旧版 API 操作,在 2017 年之后推出的 AWS 区域 中不可用。
`ListInstanceAssociations`
SSM Agent 运行此 API 操作以了解新的 State Manager 关联是否可用。State Manager 需要此 API 操作才能正常运行。
`PutCalendar`
Systems Manager 运行此 API 操作,在 Change Calendar 控制台中更新 Change Calendar 类型文档。
`PutConfigurePackageResult`
SSM Agent 运行此 API 操作以将公共 Distributor 软件包的安装错误和延迟指标发布到软件包所有者的账户。
`RegisterManagedInstance`
SSM Agent 对以下场景运行此 API 操作:
+ 使用激活码和 ID 向 Systems Manager 注册本地服务器或虚拟机(VM)作为托管式实例。
+ 注册 AWS IoT Greengrass Version 2 凭证。
运行 SSM Agent 版本 3.1.x 或更高版本的 Amazon EC2 实例也会调用此操作。
`RequestManagedInstanceRoleToken`
SSM Agent 运行此 API 操作以检索访问托管式节点的临时凭证。
`UpdateInstanceAssociationStatus`
SSM Agent 运行此 API 操作以更新关联。State Manager(AWS Systems Manager 中的一项工具)需要此 API 操作才能正常运行。
`UpdateInstanceInformation`
SSM Agent 每 5 分钟调用一次云中的 Systems Manager 服务,以提供检测信号信息。需要此调用来保持代理的检测信号,以便服务了解代理按照预期工作。
`UpdateManagedInstancePublicKey`
在托管式节点上轮换密钥对后,SSM Agent 会运行此 API 操作以提供公有密钥。公有密钥用于对使用私有密钥签名的请求进行身份验证,以从 Systems Manager 获取临时凭证。
## ssm: \* 命名空间其他 API 操作
`ExecuteApi`
在 OpsCenter 中管理 OpsItems 的 Systems Manager 委托管理员需要访问此 API 操作,这样他们才能跨多个 AWS 账户 查看 OpsItems 的相关资源详细信息。具体而言,该 API 赋予委托管理员在 AWS 管理控制台 中查看以下 OpsItem 详细信息的权限:OpsItem 描述、标签、CloudFormation 模板、AWS Config 更改、CloudWatch 日志警报和 AWS CloudTrail 事件。有关跨账户使用 OpsItems 的更多信息,请参阅 [(可选)将 OpsCenter 手动设置为跨账户集中管理 OpsItems](OpsCenter-getting-started-multiple-accounts.md)。有关 OpsItems 相关资源详情的更多信息,请参阅 [将相关资源添加到 OpsItem](OpsCenter-working-with-OpsItems-adding-related-resources.md)。