本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
參考:ec2messages、ssmmessages 和其他 API 操作
如果您監視 API 作業,您可能會看到下列作業的呼叫:
-
ec2messages:AcknowledgeMessage
-
ec2messages:DeleteMessage
-
ec2messages:FailMessage
-
ec2messages:GetEndpoint
-
ec2messages:GetMessages
-
ec2messages:SendReply
-
ssmmessages:CreateControlChannel
-
ssmmessages:CreateDataChannel
-
ssmmessages:OpenControlChannel
-
ssmmessages:OpenDataChannel
-
ssm:DescribeDocumentParameters
-
ssm:DescribeInstanceProperties
-
ssm:GetCalendar
-
ssm:GetManifest
-
ssm:ListInstanceAssociations
-
ssm:PutCalendar
-
ssm:PutConfigurePackageResult
-
ssm:RegisterManagedInstance
-
ssm:RequestManagedInstanceRoleToken
-
ssm:UpdateInstanceAssociationStatus
-
ssm:UpdateInstanceInformation
-
ssm:UpdateManagedInstancePublicKey
這些是由使用的特殊作業 AWS Systems Manager,如本主題其餘部分所述。
代理程式相關 API 作業 (ssmmessages
和ec2messages
端點)
ssmmessages API 操作
Systems Manager 會使用ssmmessages
端點進行下列兩種類型的 API 作業:
-
操作從SSM Agent到Session Manager,一種功能 AWS Systems Manager,在雲中。必須使用這個端點建立和刪除連往雲端 Session Manager 服務的工作階段管道。此外,如果允許連SSM Agent接,則通過此接收
Command
文檔Amazon Message Gateway Service。如果不允許連線,SSM Agent會透過接收Command
文件Amazon Message Delivery Service。如需詳細資訊,請參閱適用於 Amazon Session Manager Message Gateway Service 的動作、資源和條件鍵。 -
從系統管理員代理程式 (SSM Agent) 到雲端中的 Systems Manager 服務的作業。
ec2messages API 操作
ec2messages:*
API 操作會對 Amazon
Message Delivery Service 端點執行。Systems Manager 使用此端點用於從 Systems Manager Agent (SSM Agent) 至雲端中的 Systems Manager 服務的 API 操作。
重要
ec2messages:*
只有在 2024 年之前啟動 AWS 區域 的 API 操作才受到支援。在 2024 年及之後推出的區域中,僅支援 ssmmessages:*
API 作業。
端點連線優先權
從 3.3.40.0 版開始SSM Agent,Systems Manager 會在可用時開始使用ssmmessages:*
端點 (Amazon Message Gateway Service),而不是ec2messages:*
端點 ()。Amazon Message Delivery Service
如果您ssmmessages:*
在 AWS Identity and Access Management (IAM) 許可政策中提供存取權,請SSM Agent連線到ssmmessages:*
端點,即使您的 IAM 執行個體設定檔設定為允許兩個端點也是如此。這包括您自己建立的 IAM 執行個體設定檔和 IAM 服務角色的政策,以及由主機管理組態和預設Quick Setup主機管理組態建立的 IAM 執行個體設定檔的政策。
如果您已同時為端點提供權限,並使用指標 (例如 CloudWatch 指標) 監控 API 作業,則不會看到任何呼叫ec2messages:*
。
對於 2024 年之前 AWS 區域 啟動:您目前可以安全地從政策中移除ec2messages:*
權限。
端點連線容錯移
僅適用於 2024 年之前 AWS 區域 啟動:如果您的 IAM 執行個體設定檔ssmmessages:*
在代理程式啟動時未提供許可,但僅ec2messages:*
提供SSM Agent連線到ec2messages:*
端點。如果您同時同ssmmessages:*
時SSM Agent啟動,但是ec2messages:*
在代理程式啟動ssmmessages:*
後移除,請SSM Agent立即將連線切換到ec2messages:*
端點。對於 2024 年及更高版本啟動的區域,僅支援ssmmessages:*
端點。
如需有關ssmmessages
和ec2messages:*
端點的詳細資訊,請參閱AWS 服務授權參考中的下列主題。
-
Amazon Message Gateway Service(
ssmmessages
) 的動作、資源和條件索引鍵。 -
Amazon Message Delivery Service(
ec2messages:*
) 的動作、資源和條件索引鍵
ssm:*
命名空間執行個體相關 API 作業
DescribeDocumentParameters
-
Systems Manager 會執行此 API 作業,以呈現 Amazon EC2 主控台中的特定節點。
DescribeDocumentParameters
作業結果會顯示在 [文件] 節點中。 DescribeInstanceProperties
-
Systems Manager 會執行此 API 作業,以呈現 Amazon EC2 主控台中的特定節點。
DescribeInstanceProperties
操作的結果會顯示在 Fleet Manager 節點中。 GetCalendar
-
Systems Manager 運行此 API 操作來呈現在Change Calendar控制台Change Calendar類型文檔。
GetManifest
-
SSM Agent執行此 API 作業,以判斷安裝或更新指定AWS Systems Manager Distributor套件版本的系統需求。這是舊版 API 作業,並不適用於 2017 年之後 AWS 區域 推出。
ListInstanceAssociations
-
SSM Agent執行此 API 作業,以查看是否有新的State Manager關聯可用。State Manager 需要有這個 API 操作才能運作。
PutCalendar
-
Systems Manager 運行此 API 操作來更新Change Calendar控制台中的Change Calendar類型文檔。
PutConfigurePackageResult
-
SSM Agent執行此 API 作業,將公開散發者套件的安裝錯誤和延遲指標發佈至套件擁有者的帳戶。
RegisterManagedInstance
-
SSM Agent針對下列情況執行此 API 作業:
-
使用啟動碼和識別碼將內部部署伺服器或虛擬機器 (VM) 註冊為系統管理員的代管執行個體。
-
註冊 AWS IoT Greengrass Version 2 憑證。
執行 SSM Agent 3.1.x 版或更新版本的 Amazon EC2 執行個體也會呼叫此操作。
-
RequestManagedInstanceRoleToken
-
SSM Agent執行此 API 作業以擷取臨時認證以存取受管理節點。
UpdateInstanceAssociationStatus
-
SSM Agent執行此 API 作業以更新關聯。此 API 操作是功能所必需State Manager的 AWS Systems Manager功能才能正常運作。
UpdateInstanceInformation
-
SSM Agent每 5 分鐘呼叫雲端中的 Systems Manager 服務,以提供活動訊號資訊。必須要有此呼叫維持與代理程式的活動訊號,讓服務知道代理程式運作正常。
UpdateManagedInstancePublicKey
-
SSM Agent在託管節點上輪換密鑰對後,運行此 API 操作以提供公鑰。公開金鑰可用來驗證使用私密金鑰簽署的要求,以便從 Systems Manager 取得臨時認證。