參考:ec2messages、ssmmessages 和其他 API 操作 - AWS Systems Manager
代理程式相關 API 作業 (ssmmessages和ec2messages端點)ssm:*命名空間執行個體相關 API 作業

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

參考:ec2messages、ssmmessages 和其他 API 操作

如果您監視 API 作業,您可能會看到下列作業的呼叫:

  • ec2messages:AcknowledgeMessage

  • ec2messages:DeleteMessage

  • ec2messages:FailMessage

  • ec2messages:GetEndpoint

  • ec2messages:GetMessages

  • ec2messages:SendReply

  • ssmmessages:CreateControlChannel

  • ssmmessages:CreateDataChannel

  • ssmmessages:OpenControlChannel

  • ssmmessages:OpenDataChannel

  • ssm:DescribeDocumentParameters

  • ssm:DescribeInstanceProperties

  • ssm:GetCalendar

  • ssm:GetManifest

  • ssm:ListInstanceAssociations

  • ssm:PutCalendar

  • ssm:PutConfigurePackageResult

  • ssm:RegisterManagedInstance

  • ssm:RequestManagedInstanceRoleToken

  • ssm:UpdateInstanceAssociationStatus

  • ssm:UpdateInstanceInformation

  • ssm:UpdateManagedInstancePublicKey

這些是由使用的特殊作業 AWS Systems Manager,如本主題其餘部分所述。

代理程式相關 API 作業 (ssmmessagesec2messages端點)

ssmmessages API 操作

Systems Manager 會使用ssmmessages端點進行下列兩種類型的 API 作業:

  • 操作從SSM Agent到Session Manager,一種功能 AWS Systems Manager,在雲中。必須使用這個端點建立和刪除連往雲端 Session Manager 服務的工作階段管道。此外,如果允許連SSM Agent接,則通過此接收Command文檔Amazon Message Gateway Service。如果不允許連線,SSM Agent會透過接收Command文件Amazon Message Delivery Service。如需詳細資訊,請參閱適用於 Amazon Session Manager Message Gateway Service 的動作、資源和條件鍵

  • 從系統管理員代理程式 (SSM Agent) 到雲端中的 Systems Manager 服務的作業。

ec2messages API 操作

ec2messages:* API 操作會對 Amazon Message Delivery Service 端點執行。Systems Manager 使用此端點用於從 Systems Manager Agent (SSM Agent) 至雲端中的 Systems Manager 服務的 API 操作。

重要

ec2messages:*只有在 2024 年之前啟動 AWS 區域 的 API 操作才受到支援。在 2024 年及之後推出的區域中,僅支援 ssmmessages:* API 作業。

端點連線優先權

從 3.3.40.0 版開始SSM Agent,Systems Manager 會在可用時開始使用ssmmessages:*端點 (Amazon Message Gateway Service),而不是ec2messages:*端點 ()。Amazon Message Delivery Service

如果您ssmmessages:*在 AWS Identity and Access Management (IAM) 許可政策中提供存取權,請SSM Agent連線到ssmmessages:*端點,即使您的 IAM 執行個體設定檔設定為允許兩個端點也是如此。這包括您自己建立的 IAM 執行個體設定檔IAM 服務角色的政策,以及由主機管理組態和預設Quick Setup主機管理組態建立的 IAM 執行個體定檔的政策。

如果您已同時為端點提供權限,並使用指標 (例如 CloudWatch 指標) 監控 API 作業,則不會看到任何呼叫ec2messages:*

對於 2024 年之前 AWS 區域 啟動:您目前可以安全地從政策中移除ec2messages:*權限。

端點連線容錯移

僅適用於 2024 年之前 AWS 區域 啟動:如果您的 IAM 執行個體設定檔ssmmessages:*在代理程式啟動時未提供許可,但僅ec2messages:*提供SSM Agent連線到ec2messages:*端點。如果您同時同ssmmessages:*時SSM Agent啟動,但是ec2messages:*在代理程式啟動ssmmessages:*後移除,請SSM Agent立即將連線切換到ec2messages:*端點。對於 2024 年及更高版本啟動的區域,僅支援ssmmessages:*端點。

如需有關ssmmessagesec2messages:*端點的詳細資訊,請參閱AWS 服務授權參考中的下列主題。

ssm:*命名空間執行個體相關 API 作業

DescribeDocumentParameters

Systems Manager 會執行此 API 作業,以呈現 Amazon EC2 主控台中的特定節點。DescribeDocumentParameters作業結果會顯示在 [文件] 節點中。

DescribeInstanceProperties

Systems Manager 會執行此 API 作業,以呈現 Amazon EC2 主控台中的特定節點。DescribeInstanceProperties 操作的結果會顯示在 Fleet Manager 節點中。

GetCalendar

Systems Manager 運行此 API 操作來呈現在Change Calendar控制台Change Calendar類型文檔。

GetManifest

SSM Agent執行此 API 作業,以判斷安裝或更新指定AWS Systems Manager Distributor套件版本的系統需求。這是舊版 API 作業,並不適用於 2017 年之後 AWS 區域 推出。

ListInstanceAssociations

SSM Agent執行此 API 作業,以查看是否有新的State Manager關聯可用。State Manager 需要有這個 API 操作才能運作。

PutCalendar

Systems Manager 運行此 API 操作來更新Change Calendar控制台中的Change Calendar類型文檔。

PutConfigurePackageResult

SSM Agent執行此 API 作業,將公開散發者套件的安裝錯誤和延遲指標發佈至套件擁有者的帳戶。

RegisterManagedInstance

SSM Agent針對下列情況執行此 API 作業:

  • 使用啟動碼和識別碼將內部部署伺服器或虛擬機器 (VM) 註冊為系統管理員的代管執行個體。

  • 註冊 AWS IoT Greengrass Version 2 憑證。

執行 SSM Agent 3.1.x 版或更新版本的 Amazon EC2 執行個體也會呼叫此操作。

RequestManagedInstanceRoleToken

SSM Agent執行此 API 作業以擷取臨時認證以存取受管理節點。

UpdateInstanceAssociationStatus

SSM Agent執行此 API 作業以更新關聯。此 API 操作是功能所必需State Manager的 AWS Systems Manager功能才能正常運作。

UpdateInstanceInformation

SSM Agent每 5 分鐘呼叫雲端中的 Systems Manager 服務,以提供活動訊號資訊。必須要有此呼叫維持與代理程式的活動訊號,讓服務知道代理程式運作正常。

UpdateManagedInstancePublicKey

SSM Agent在託管節點上輪換密鑰對後,運行此 API 操作以提供公鑰。公開金鑰可用來驗證使用私密金鑰簽署的要求,以便從 Systems Manager 取得臨時認證。