Referencia: ec2messages, ssmmessages y otras operaciones de la API - AWS Systems Manager

Referencia: ec2messages, ssmmessages y otras operaciones de la API

Si supervisa operaciones de la API, es posible que vea llamadas a las siguientes operaciones:

  • ec2messages:AcknowledgeMessage

  • ec2messages:DeleteMessage

  • ec2messages:FailMessage

  • ec2messages:GetEndpoint

  • ec2messages:GetMessages

  • ec2messages:SendReply

  • ssmmessages:CreateControlChannel

  • ssmmessages:CreateDataChannel

  • ssmmessages:OpenControlChannel

  • ssmmessages:OpenDataChannel

  • ssm:DescribeDocumentParameters

  • ssm:DescribeInstanceProperties

  • ssm:GetCalendar

  • ssm:GetManifest

  • ssm:ListInstanceAssociations

  • ssm:PutCalendar

  • ssm:PutConfigurePackageResult

  • ssm:RegisterManagedInstance

  • ssm:RequestManagedInstanceRoleToken

  • ssm:UpdateInstanceAssociationStatus

  • ssm:UpdateInstanceInformation

  • ssm:UpdateManagedInstancePublicKey

Se trata de operaciones especiales utilizadas por AWS Systems Manager, tal y como se describe en el resto de este tema.

Operaciones de la API relacionadas con el agente (puntos de conexión de ssmmessages y ec2messages)

Operaciones de la API ssmmessages

Systems Manager usa el punto de conexión ssmmessages para los dos siguientes tipos de operaciones de API:

  • Operaciones desde Systems Manager Agent (SSM Agent) al servicio Systems Manager en la nube.

  • Operaciones desde SSM Agent y Session Manager, una capacidad de AWS Systems Manager, en la nube. Este punto de enlace es necesario para crear y eliminar los canales de sesión con el servicio Session Manager en la nube. Además, si se permite la conectividad, SSM Agent recibe los documentos de Command a través de Amazon Message Gateway Service. Si no se permite la conectividad, SSM Agent recibe los documentos de Command a través de Amazon Message Delivery Service. Para obtener información, consulte Acciones, recursos y claves de condición de Amazon Message Gateway Service.

  • Operaciones desde Run Command.

Operaciones de la API ec2messages

Las operaciones de API ec2messages:* se realizan en el punto de conexión de Amazon Message Delivery Service. Systems Manager utiliza este punto de conexión para operaciones de la API desde Systems Manager Agent (SSM Agent) al servicio Systems Manager en la nube.

importante

Las operaciones de la API ec2messages:* solo se admiten en las Regiones de AWS que se lanzaron antes de 2024. En las regiones lanzadas a partir de 2024, solo se admiten las operaciones de la API ssmmessages:*.

Prioridad de conexión del punto de conexión

A partir de la versión 3.3.40.0 de SSM Agent, Systems Manager comenzó a utilizar el punto de conexión ssmmessages:* (Amazon Message Gateway Service) siempre que estaba disponible en lugar del punto de conexión de ec2messages:* (Amazon Message Delivery Service).

Si proporciona acceso a ssmmessages:* en sus políticas de permisos AWS Identity and Access Management (de IAM), SSM Agent se conectara al punto de conexión ssmmessages:*, incluso si su perfil de instancia de IAM está configurado para permitir ambos puntos de conexión. Esto incluye políticas para los perfiles de instancia de IAM y los roles de servicio de IAM que haya creado usted mismo, y para los perfiles de instancia de IAM creados mediante la configuración de la administración de hosts de Quick Setup y la configuración predeterminada de la administración de hosts.

Si ha proporcionado permisos para ambos puntos de conexión y ha supervisado las operaciones de la API mediante, por ejemplo, CloudWatch Metrics, no verá ninguna llamada a ec2messages:*.

En el caso de las Regiones de AWS lanzadas antes de 2024, puede eliminar los permisos ec2messages:* de sus políticas de forma segura en este momento.

Conmutación por error de punto de conexión

Únicamente en el caso de las Regiones de AWS lanzadas antes de 2024: si su perfil de instancia de IAM no proporciona permisos para ssmmessages:* en el momento en el que el agente se inicia, sino solo ec2messages:*. SSM Agent se conecta al punto de conexión de ec2messages:*. Si tiene ambos ssmmessages:* y ec2messages:* en ese momento se inicia SSM Agent, pero los elimina ssmmessages:* después de que se inicie el agente, SSM Agent pronto cambiará la conexión al punto de conexión ec2messages:*. En el caso de las regiones lanzadas a partir de 2024, solo se admite el punto de conexión de ssmmessages:*.

Para obtener más información sobe los puntos de conexión ssmmessages y ec2messages:*, consulte los siguientes temas en la Referencia de autorizaciones de servicio de AWS.

Operaciones de la API relacionadas con las instancias del espacio de nombres ssm:*

DescribeDocumentParameters

Systems Manager ejecuta esta operación de la API para representar nodos específicos en la consola de Amazon EC2. Los resultados de la operación DescribeDocumentParameters se muestran en el nodo Documentos.

DescribeInstanceProperties

Systems Manager ejecuta estas operaciones de la API para representar nodos específicos en la consola de Amazon EC2. Los resultados de la operación DescribeInstanceProperties se muestran en el nodo Fleet Manager.

GetCalendar

Systems Manager ejecuta esta operación de la API para representar documentos de tipo Change Calendar en la consola de Change Calendar.

GetManifest

SSM Agent ejecuta esta operación de la API para determinar los requisitos del sistema para instalar o actualizar una versión específica de un paquete de AWS Systems Manager Distributor. Se trata de una operación de API antigua y no estará disponible en Regiones de AWS si se lanzó después de 2017.

ListInstanceAssociations

SSM Agent ejecuta esta operación de la API para ver si hay disponible una asociación de State Manager nueva. Esta API es necesaria para que State Manager funcione.

PutCalendar

Systems Manager ejecuta esta operación de la API para actualizar los documentos de tipo Change Calendar en la consola de Change Calendar.

PutConfigurePackageResult

SSM Agent ejecuta esta operación de la API para publicar las métricas de errores de instalación y latencia de los paquetes de distribuidores públicos en la cuenta del propietario del paquete.

RegisterManagedInstance

SSM Agent ejecuta esta operación de la API en los siguientes escenarios:

  • Para registrar un servidor o máquina virtual (VM) en las instalaciones con Systems Manager como instancia administrada mediante un código e ID de activación.

  • Para registrar las credenciales de AWS IoT Greengrass Version 2.

Esta operación también la llaman las instancias de Amazon EC2 que ejecutan la versión SSM Agent 3.1.x o posterior.

RequestManagedInstanceRoleToken

SSM Agent ejecuta esta operación de la API para recuperar credenciales temporales para acceder al nodo administrado.

UpdateInstanceAssociationStatus

SSM Agent ejecuta esta operación de la API para actualizar una asociación. Esta operación de la API es necesaria para que State Manager, una capacidad de AWS Systems Manager, funcione.

UpdateInstanceInformation

SSM Agent llama al servicio de Systems Manager en la nube cada 5 minutos para ofrecer información de latido. Esta llamada es necesaria para mantener un latido con el agente de modo que el servicio sepa que el agente funciona según lo previsto.

UpdateManagedInstancePublicKey

SSM Agent ejecuta esta operación de la API para proporcionar la clave pública después de rotar el par de claves en el nodo administrado. La clave pública se usa para autenticar las solicitudes, firmadas con la clave privada, para obtener credenciales temporales de Systems Manager.

ssm:* espacio de nombres otras operaciones de la API

ExecuteApi

Los administradores delegados de OpsItems que administran OpsCenter en OpsItems necesitan acceso a esta acción de la API para poder ver detalles de recursos relacionados sobre Cuentas de AWS en varias . En concreto, esta API concede a un administrador delegado permiso para ver los siguientes detalles de OpsItem en la AWS Management Console: la descripción del OpsItem, las etiquetas, la plantilla de AWS CloudFormation, los cambios de AWS Config, las alarmas de los Registros de CloudWatch y los eventos de AWS CloudTrail. Para obtener más información sobre cómo utilizar OpsItems en las diferentes cuentas, consulte (Opcional) Configuración manual de OpsCenter para administrar OpsItems de forma centralizada entre cuentas. Para obtener más información sobre los detalles de los recursos relacionados para OpsItems, consulte Adición de recursos relacionados a un OpsItem.