リファレンス: ec2messages、ssmmessages およびその他の API オペレーション
API オペレーションをモニタリングしていると、以下のオペレーションへの呼び出しが表示されることがあります。
-
ec2messages:AcknowledgeMessage
-
ec2messages:DeleteMessage
-
ec2messages:FailMessage
-
ec2messages:GetEndpoint
-
ec2messages:GetMessages
-
ec2messages:SendReply
-
ssmmessages:CreateControlChannel
-
ssmmessages:CreateDataChannel
-
ssmmessages:OpenControlChannel
-
ssmmessages:OpenDataChannel
-
ssm:DescribeDocumentParameters
-
ssm:DescribeInstanceProperties
-
ssm:GetCalendar
-
ssm:GetManifest
-
ssm:ListInstanceAssociations
-
ssm:PutCalendar
-
ssm:PutConfigurePackageResult
-
ssm:RegisterManagedInstance
-
ssm:RequestManagedInstanceRoleToken
-
ssm:UpdateInstanceAssociationStatus
-
ssm:UpdateInstanceInformation
-
ssm:UpdateManagedInstancePublicKey
これらは、このトピックの残りの部分で説明されているとおり、AWS Systems Manager で使用される特別なオペレーションです。
エージェント関連の API オペレーション (ssmmessages
および ec2messages
エンドポイント)
ssmmessages API オペレーション
Systems Manager は、次のタイプの API オペレーションに ssmmessages
エンドポイントを使用します。
-
Systems Manager Agent (SSM Agent) からクラウド内の Systems Manager サービスへのオペレーション。
-
SSM Agent からクラウド内の Session Manager (AWS Systems Manager の一機能) へのオペレーション。このエンドポイントは、クラウド内の Session Manager サービスでセッションチャネルを作成および削除するために必要です。さらに、接続が許可されている場合、SSM Agent はこの Amazon Message Gateway Service 経由で
Command
ドキュメントを受信します。接続が許可されていない場合、SSM Agent は Amazon Message Delivery Service 経由でCommand
ドキュメントを受信します。詳細については、「Amazon Message Gateway Service のアクション、リソース、および条件キー」を参照してください。 -
Run Command からのオペレーション。
ec2messages API オペレーション
ec2messages:*
API オペレーションは、Amazon
Message Delivery Service エンドポイントにする必要があります。Systems Manager は、Systems Manager Agent (SSM Agent) からクラウド上の Systems Manager サービスへの API オペレーションにこのエンドポイントを使用します。
重要
ec2messages:*
API オペレーションは、2024 年より前にローンチされた AWS リージョン でのみサポートされます。2024 年以降にローンチされたリージョンでは、ssmmessages:*
API オペレーションのみがサポートされます。
エンドポイント接続の優先順位
SSM Agent のバージョン 3.3.40.0 以降、Systems Manager は、使用可能な場合には ec2messages:*
エンドポイント (Amazon Message Delivery Service) の代わりに ssmmessages:*
エンドポイント (Amazon Message Gateway Service) を使用するようになりました。
AWS Identity and Access Management (IAM) アクセス許可ポリシーで ssmmessages:*
へのアクセスを許可すると、IAM インスタンスプロファイルが両方のエンドポイントを許可するように設定されている場合でも、SSM Agent は ssmmessages:*
エンドポイントに接続できます。これには、自分で作成した IAM インスタンスプロファイルと IAM サービスロールのポリシー、およびQuick Setup ホスト管理設定とデフォルトのホスト管理設定で作成した IAM インスタンスプロファイルのポリシーが含まれます。
両方のエンドポイントにアクセス許可を付与し、CloudWatch Metrics などを使用して API オペレーションをモニタリングしている場合、ec2messages:*
への呼び出しは表示されません。
2024 年より前にローンチされた AWS リージョン の場合: 現時点では、ec2messages:*
アクセス許可はポリシーから安全に削除できます。
エンドポイント接続のフェイルオーバー
2024 年より前にローンチされた AWS リージョン のみ: エージェントの起動時に、IAM インスタンスプロファイルから ssmmessages:*
のアクセス許可ではなく、ec2messages:*
のアクセス許可のみが提供される場合、SSM Agent は ec2messages:*
エンドポイントに接続します。SSM Agent の起動時に、ssmmessages:*
と ec2messages:*
の両方が存在していたが、エージェントの起動後に ssmmessages:*
を削除した場合、SSM Agent はすぐに接続を ec2messages:*
エンドポイントに切り替えます。2024 年以降にローンチされたリージョンでは、ssmmessages:*
エンドポイントのみがサポートされます。
ssmmessages
エンドポイントと ec2messages:*
エンドポイントの詳細については、「AWS サービス認可リファレンス」を参照してください。
-
Amazon Message Gateway Service のアクション、リソース、および条件キー (
ssmmessages
) -
Amazon Message Delivery Service のアクション、リソース、および条件キー (
ec2messages:*
)
ssm:*
名前空間インスタンス関連の API オペレーション
DescribeDocumentParameters
-
Systems Manager はこの API オペレーションを実行して、Amazon EC2 コンソールで指定されるノードをレンダリングします。
DescribeDocumentParameters
オペレーションの結果は、[ドキュメント] ノードに表示されます。 DescribeInstanceProperties
-
Systems Manager はこの API オペレーションを実行して、Amazon EC2 コンソールで指定されるノードをレンダリングします。
DescribeInstanceProperties
オペレーションの結果は、[Fleet Manager] ノードに表示されます。 GetCalendar
-
Systems Manager はこの API オペレーションを実行して、Change Calendar コンソールで Change Calendar タイプのドキュメントをレンダリングします。
GetManifest
-
SSM Agent はこの API オペレーションを実行して、指定されたバージョンの AWS Systems Manager Distributor パッケージをインストールまたは更新するためのシステム要件を決定します。これはレガシーの API オペレーションであり、2017 年以降に AWS リージョン でリリースされた場合は使用できません。
ListInstanceAssociations
-
SSM Agent はこの API オペレーションを実行して、新しい State Manager の関連付けが利用可能かどうかを確認します。この API オペレーションは、State Manager が機能するために必要です。
PutCalendar
-
Systems Manager はこの API オペレーションを実行して、Change Calendar コンソールで Change Calendar タイプのドキュメントを更新します。
PutConfigurePackageResult
-
SSM Agent はこの API オペレーションを実行して、パブリックディストリビューターパッケージのインストールエラーとレイテンシーのメトリクスをパッケージ所有者のアカウントに公開します。
RegisterManagedInstance
-
SSM Agent は、次のシナリオでこの API オペレーションを実行します。
-
アクティベーションコードと ID を使用して Systems Manager にオンプレミスサーバーや仮想マシン (VM) をマネージドインスタンスとして登録します。
-
AWS IoT Greengrass Version 2 認証情報を登録します。
このオペレーションは、SSM Agentバージョン 3.1.x 以降を実行している Amazon EC2 インスタンスからも呼び出されます。
-
RequestManagedInstanceRoleToken
-
SSM Agent はこの API オペレーションを実行して、マネージドノードにアクセスするための一時的な認証情報を取得します。
UpdateInstanceAssociationStatus
-
SSM Agent はこの API オペレーションを実行して関連付けを更新します。この API オペレーションは、AWS Systems Manager の一機能である State Manager が機能するために必要です。
UpdateInstanceInformation
-
SSM Agent はクラウドの Systems Manager サービスを 5 分ごとに呼び出して、ハートビート情報を提供します。この呼び出しはエージェントのハートビートを維持するために必要となり、こうしてエージェントが想定どおり機能していることがサービスによって確認されます。
UpdateManagedInstancePublicKey
-
SSM Agent は、マネージドノードでキーペアをローテーションした後、この API オペレーションを実行してパブリックキーを提供します。パブリックキーは、プライベートキーで署名されたリクエストを認証し、Systems Manager から一時的な認証情報を取得するために使用されます。
ssm:* 名前空間の他の API オペレーション
ExecuteApi
-
OpsCenter で OpsItems を管理する Systems Manager の委任管理者は、複数の AWS アカウント にわたる OpsItems に関する関連リソースの詳細を表示できるよう、この API アクションへのアクセスが必要でます。具体的には、この API は、AWS Management Console で OpsItem の詳細 (OpsItem の説明、タグ、AWS CloudFormation テンプレート、AWS Config の変更、CloudWatch Logs アラーム、AWS CloudTrail イベント) を表示するアクセス許可を委任管理者に付与します。複数のアカウントにわたる OpsItems の操作に関する詳細については、「(オプション) OpsCenter の手動設定により、複数のアカウント間で OpsItems を一元管理する」を参照してください。OpsItems の関連リソースの詳細については、「関連リソースを OpsItem に追加する」を参照してください。