本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
參考:ec2messages、ssmmessages 和其他 API 操作
如果您監控 API 操作,您可能會看到對下列操作的呼叫:
-
ec2messages:AcknowledgeMessage
-
ec2messages:DeleteMessage
-
ec2messages:FailMessage
-
ec2messages:GetEndpoint
-
ec2messages:GetMessages
-
ec2messages:SendReply
-
ssmmessages:CreateControlChannel
-
ssmmessages:CreateDataChannel
-
ssmmessages:OpenControlChannel
-
ssmmessages:OpenDataChannel
-
ssm:DescribeDocumentParameters
-
ssm:DescribeInstanceProperties
-
ssm:GetCalendar
-
ssm:GetManifest
-
ssm:ListInstanceAssociations
-
ssm:PutCalendar
-
ssm:PutConfigurePackageResult
-
ssm:RegisterManagedInstance
-
ssm:RequestManagedInstanceRoleToken
-
ssm:UpdateInstanceAssociationStatus
-
ssm:UpdateInstanceInformation
-
ssm:UpdateManagedInstancePublicKey
這些是 所使用的特殊操作 AWS Systems Manager,如本主題的其餘部分所述。
客服人員相關的 API 操作 (ssmmessages
和 ec2messages
端點)
ssmmessages API 操作
Systems Manager 會將 ssmmessages
端點用於下列類型的 API 操作:
-
Systems Manager Agent 的操作 (SSM Agent) 至雲端中的 Systems Manager 服務。
-
來自 的操作 SSM Agent 至 Session Manager,雲端 AWS Systems Manager中的 功能。此端點是使用 建立和刪除工作階段頻道的必要項目 Session Manager 雲端中的 服務。此外,如果允許連線,SSM Agent 透過此 接收
Command
文件 Amazon Message Gateway Service。 如果不允許連線,SSM Agent 透過 接收Command
文件 Amazon Message Delivery Service。 如需詳細資訊,請參閱 的動作、資源和條件索引鍵 Amazon Message Gateway Service. -
來自 的操作 Run Command.
ec2messages API 操作
ec2messages:*
API 操作會對 進行 Amazon
Message Delivery Service 端點。Systems Manager 會將此端點用於 Systems Manager Agent 的 API 操作 (SSM Agent) 至雲端中的 Systems Manager 服務。
重要
ec2messages:*
僅在 2024 年之前啟動 AWS 區域 的 中支援 API 操作。在 2024 年及之後啟動的區域中,僅支援 ssmmessages:*
API 操作。
端點連線優先順序
從 3.3.40.0 版開始 SSM Agent,Systems Manager 開始使用ssmmessages:*
端點 (Amazon Message Gateway Service) 隨時可用,而非ec2messages:*
端點 (Amazon Message Delivery Service).
如果您在 AWS Identity and Access Management (IAM) 許可政策ssmmessages:*
中提供對 的存取權,SSM Agent 會連線至ssmmessages:*
端點,即使您的 IAM 執行個體設定檔設定為允許兩個端點。這包括您自己建立的 IAM 執行個體描述檔和 IAM 服務角色的政策,以及 建立的 IAM 執行個體描述檔的政策 Quick Setup 主機管理組態和預設主機管理組態。
如果您已為兩個端點提供許可,並使用 Word 指標等方式監控 CloudWatch API操作,則不會看到對 的呼叫ec2messages:*
。
2024 年之前 AWS 區域 啟動的 :此時您可以安全地從政策中移除ec2messages:*
許可。
端點連線容錯移轉
僅適用於 2024 年之前 AWS 區域 啟動的:如果您的 IAM 執行個體設定檔ssmmessages:*
在代理程式啟動時未提供 的許可,但僅 ec2messages:*
,SSM Agent 會連線至ec2messages:*
端點。如果您同時擁有 ssmmessages:*
和 ec2messages:*
,SSM Agent 會啟動,但在客服人員啟動ssmmessages:*
後移除 ,SSM Agent 很快就會切換到ec2messages:*
端點的連線。對於 2024 年及之後啟動的區域,僅支援ssmmessages:*
端點。
如需 ssmmessages
和 ec2messages:*
端點的詳細資訊,請參閱AWS 服務授權參考中的下列主題。
-
的動作、資源和條件索引鍵 Amazon Message Gateway Service (
ssmmessages
). -
的動作、資源和條件索引鍵 Amazon Message Delivery Service (
ec2messages:*
)
ssm:*
命名空間執行個體相關的 API 操作
DescribeDocumentParameters
-
Systems Manager 會執行此 API 操作,以在 Amazon EC2 主控台中轉譯特定節點。
DescribeDocumentParameters
操作的結果會顯示在文件節點中。 DescribeInstanceProperties
-
Systems Manager 會執行此 API 操作,以在 Amazon EC2 主控台中轉譯特定節點。
DescribeInstanceProperties
操作的結果會顯示在 中 Fleet Manager 節點。 GetCalendar
-
Systems Manager 執行此 API 操作來轉譯 Change Calendar 在 中輸入文件 Change Calendar 主控台。
GetManifest
-
SSM Agent 會執行此 API 操作,以判斷安裝或更新指定版本AWS Systems Manager Distributor套件的系統需求。這是舊版 API 操作,在 2017 年之後 AWS 區域 啟動時無法使用。
ListInstanceAssociations
-
SSM Agent 會執行此 API 操作,以查看是否有新的 State Manager 關聯可用。需要此 API 操作 State Manager 以運作。
PutCalendar
-
Systems Manager 執行此 API 操作以更新 Change Calendar 在 中輸入文件 Change Calendar 主控台。
PutConfigurePackageResult
-
SSM Agent 會執行此 API 操作,將公有經銷商套件的安裝錯誤和延遲指標發佈至套件擁有者的 帳戶。
RegisterManagedInstance
-
SSM Agent 會在下列情況下執行此 API 操作:
-
使用啟用碼和 ID,向 Systems Manager 註冊內部部署伺服器或虛擬機器 (VM) 作為受管執行個體。
-
註冊 AWS IoT Greengrass Version 2 憑證。
執行中的 Amazon EC2 執行個體也會呼叫此操作 SSM Agent 3.1.x 版或更新版本。
-
RequestManagedInstanceRoleToken
-
SSM Agent 會執行此 API 操作來擷取暫時憑證以存取受管節點。
UpdateInstanceAssociationStatus
-
SSM Agent 會執行此 API 操作來更新關聯。需要此 API 操作 State Manager,一種 功能 AWS Systems Manager,可運作。
UpdateInstanceInformation
-
SSM Agent 每 5 分鐘呼叫一次雲端中的 Systems Manager 服務,以提供活動訊號資訊。必須要有此呼叫維持與代理程式的活動訊號,讓服務知道代理程式運作正常。
UpdateManagedInstancePublicKey
-
SSM Agent 會在受管節點上輪換金鑰對後,執行此 API 操作以提供公有金鑰。公有金鑰用於驗證以私有金鑰簽署的請求,以便從 Systems Manager 取得臨時憑證。
ssm:* 命名空間其他 API 操作
ExecuteApi
-
Systems Manager 委派管理的管理員 OpsItems in OpsCenter 需要存取此 API 動作,以便他們可以檢視有關 的相關資源詳細資訊 OpsItems 跨越多個 AWS 帳戶。具體而言,此 API 提供委派管理員檢視下列項目的許可 OpsItem 中的詳細資訊 AWS Management Console:OpsItem 描述、標籤、 AWS CloudFormation 範本、 AWS Config 變更、 CloudWatch Logs 警示和 AWS CloudTrail 事件。如需使用 的詳細資訊 OpsItems ,請參閱 (選擇性) 手動設定OpsCenter為OpsItems跨帳戶集中管理。如需 相關資源詳細資訊的詳細資訊 OpsItems,請參閱將相關的資源新增至 OpsItem。