참조: ec2messages, ssmmessages 및 기타 API 작업 - AWS Systems Manager
에이전트 관련 API 작업(ssmmessages및 ec2messages 엔드포인트)ssm:* 네임스페이스 인스턴스 관련 API 작업ssm:* 네임스페이스 기타 API 작업

참조: ec2messages, ssmmessages 및 기타 API 작업

API 작업을 모니터링하는 경우 다음 작업에 대한 직접 호출을 볼 수 있습니다.

  • ec2messages:AcknowledgeMessage

  • ec2messages:DeleteMessage

  • ec2messages:FailMessage

  • ec2messages:GetEndpoint

  • ec2messages:GetMessages

  • ec2messages:SendReply

  • ssmmessages:CreateControlChannel

  • ssmmessages:CreateDataChannel

  • ssmmessages:OpenControlChannel

  • ssmmessages:OpenDataChannel

  • ssm:DescribeDocumentParameters

  • ssm:DescribeInstanceProperties

  • ssm:GetCalendar

  • ssm:GetManifest

  • ssm:ListInstanceAssociations

  • ssm:PutCalendar

  • ssm:PutConfigurePackageResult

  • ssm:RegisterManagedInstance

  • ssm:RequestManagedInstanceRoleToken

  • ssm:UpdateInstanceAssociationStatus

  • ssm:UpdateInstanceInformation

  • ssm:UpdateManagedInstancePublicKey

이 주제의 나머지 부분에서 설명하는 대로, AWS Systems Manager에서 사용하는 특별한 작업입니다.

에이전트 관련 API 작업(ssmmessagesec2messages 엔드포인트)

ssmmessages API 작업

Systems Manager는 ssmmessages 엔드포인트를 사용하여 다음 유형의 API 작업을 수행합니다.

  • Systems Manager Agent(SSM Agent)가 클라우드에서 수행하는 Systems Manager 서비스 작업입니다.

  • SSM Agent가 클라우드에서 수행하는 AWS Systems Manager의 도구인 Session Manager 작업입니다. 이 엔드포인트는 클라우드의 Session Manager 서비스를 사용하여 세션 채널을 생성하고 삭제하는 데 필요합니다. 또한 연결이 허용되는 경우 Amazon Message Gateway Service를 통해 Command 문서가 SSM Agent에 수신됩니다. 연결이 허용되지 않는 경우 Amazon Message Delivery Service를 통해 Command 문서가 SSM Agent에 수신됩니다. 자세한 내용은 Amazon Message Gateway Service를 위한 작업, 리소스 및 조건 키를 참조하세요.

  • Run Command의 작업.

ec2messages API 작업

ec2messages:* API 작업은 Amazon Message Delivery Service 엔드포인트를 수행합니다. Systems Manager는 이 Systems Manager Agent(SSM Agent)에서 API 작업용 엔드포인트를 클라우드의 Systems Manager 서비스로 사용합니다.

중요

ec2messages:* API 작업은 2024년 이전에 릴리스된 AWS 리전에서만 지원됩니다. 2024년 이후 출시된 리전에서는 ssmmessages:* API 작업만 지원됩니다.

엔드포인트 연결 우선순위

SSM Agent 버전 3.3.40.0부터 Systems Manager는 가능한 경우 ec2messages:* 엔드포인트(Amazon Message Delivery Service) 대신 ssmmessages:* 엔드포인트(Amazon Message Gateway Service)를 사용하기 시작했습니다.

AWS Identity and Access Management (IAM) 권한 정책에서 ssmmessages:*에 대한 액세스를 제공하는 경우, IAM 인스턴스 프로파일이 두 엔드포인트를 모두 허용하도록 구성되어 있더라도 SSM Agent가 ssmmessages:* 엔드포인트에 연결됩니다. 여기에는 사용자가 직접 생성한 IAM 인스턴스 프로파일IAM 서비스 역할, 그리고 Quick Setup 호스트 관리 구성기본 호스트 관리 구성으로 생성한 IAM 인스턴스 프로파일에 대한 정책이 포함됩니다.

두 엔드포인트에 대한 권한을 부여하고, 예를 들어 CloudWatch 지표를 사용하여 API 작업을 모니터링하는 경우 ec2messages:*에 대한 호출이 표시되지 않습니다.

2024년 이전에 출시된 AWS 리전의 경우: 현재 정책에서 ec2messages:* 권한을 안전하게 제거할 수 있습니다.

엔드포인트 연결 장애 조치

2024년 이전에 출시된 AWS 리전의 경우에만: 에이전트를 시작할 때 IAM 인스턴스 프로파일에서 ssmmessages:*에 대한 권한을 제공하지 않고 ec2messages:*만 제공하는 경우 SSM Agent에서는 ec2messages:* 엔드포인트에 연결합니다. SSM Agent 시작 시점에 ssmmessages:*ec2messages:* 둘 다 있지만 에이전트가 시작된 후에 ssmmessages:*가 제거될 경우, SSM Agent는 곧 연결이 ec2messages:* 엔드포인트로 전환됩니다. 2024년 이후에 출시된 리전의 경우 ssmmessages:* 엔드포인트만 지원됩니다.

ssmmessagesec2messages:* 엔드포인트에 대한 자세한 내용은 AWS 서비스 권한 부여 참조에서 다음 주제를 참조하세요.

ssm:* 네임스페이스 인스턴스 관련 API 작업

DescribeDocumentParameters

Systems Manager는 이 API 작업을 실행하여 Amazon EC2 콘솔에서 특정 노드를 렌더링합니다. DescribeDocumentParameters 작업의 결과가 문서 노드에 표시됩니다.

DescribeInstanceProperties

Systems Manager는 이 API 작업을 실행하여 Amazon EC2 콘솔에서 특정 노드를 렌더링합니다. DescribeInstanceProperties 작업의 결과가 Fleet Manager 노드에 표시됩니다.

GetCalendar

Systems Manager는 이 API 작업을 실행하여 Change Calendar 콘솔에서 Change Calendar 유형 문서를 렌더링합니다.

GetManifest

SSM Agent에서는 이 API 작업을 실행하여 AWS Systems Manager Distributor 패키지의 지정된 버전 설치 또는 업데이트에 대한 시스템 요구 사항을 결정합니다. 이는 레거시 API 작업이며 2017년 이후에 시작된 AWS 리전에서는 사용할 수 없습니다.

ListInstanceAssociations

SSM Agent에서는 이 API를 실행하여 새 State Manager 연결이 사용 가능한지 확인합니다. 이 API 작업은 State Manager 작동에 필요합니다.

PutCalendar

Systems Manager는 이 API 작업을 실행하여 Change Calendar 콘솔에서 Change Calendar 유형 문서를 업데이트합니다.

PutConfigurePackageResult

SSM Agent에서는 이 API 작업을 실행하여 퍼블릭 배포자 패키지의 설치 오류 및 지연 지표를 패키지 소유자의 계정에 게시합니다.

RegisterManagedInstance

SSM Agent에서는 다음 시나리오에서 이 API 작업을 실행합니다.

  • Systems Manager에서 활성화 코드 및 ID를 사용하여 온프레미스 서버 또는 가상 머신(VM)을 관리형 인스턴스로 등록하는 경우.

  • AWS IoT Greengrass Version 2 자격 증명을 등록하는 경우.

이 작업은 SSM Agent 버전 3.1.x 이상을 실행하는 Amazon EC2 인스턴스에서도 호출됩니다.

RequestManagedInstanceRoleToken

SSM Agent에서는 이 API 작업을 실행하여 관리 노드에 액세스하기 위한 임시 자격 증명을 검색합니다.

UpdateInstanceAssociationStatus

SSM Agent에서는 이 API 작업을 실행하여 연결을 업데이트합니다. 이 API 작업은 AWS Systems Manager의 도구인 State Manager 작동에 필요합니다.

UpdateInstanceInformation

SSM Agent에서는 5분마다 클라우드의 Systems Manager 서비스를 호출하여 하트비트 정보를 제공합니다. 이 호출은 에이전트가 예상한 대로 작동하고 있음을 해당 서비스에서 알도록 에이전트와 함께 하트비트를 유지 관리하는 데 필요합니다.

UpdateManagedInstancePublicKey

SSM Agent에서는 이 API 작업을 실행하여 관리형 노드에서 키 쌍을 교체한 후 퍼블릭 키를 제공합니다. 퍼블릭 키는 프라이빗 키로 서명된 요청을 인증하여 Systems Manager에서 임시 자격 증명을 가져오는 데 사용됩니다.

ssm:* 네임스페이스 기타 API 작업

ExecuteApi

OpsCenter에서 OpsItems를 관리하는 Systems Manager의 위임된 관리자에는 여러 AWS 계정에서 OpsItems에 대한 관련 리소스 세부 정보를 볼 수 있도록 이 API 작업에 대한 액세스 권한이 필요합니다. 특히 이 API는 위임된 관리자에게 AWS Management Console에서 OpsItem 세부 정보(OpsItem 설명, 태그, AWS CloudFormation 템플릿, AWS Config 변경 사항, CloudWatch Logs 경보 및 AWS CloudTrail 이벤트)를 볼 수 있는 권한을 부여합니다. 여러 계정에서 OpsItems에 대한 작업을 수행하는 방법에 대한 자세한 내용은 (선택 사항) 여러 계정에서 OpsItems를 중앙 집중식으로 관리하도록 OpsCenter를 수동으로 설정 섹션을 참조하세요. OpsItems에 대한 관련 리소스 세부 정보에 대한 자세한 내용은 OpsItem에 관련 리소스 추가 섹션을 참조하세요.