Referência: ec2messages, ssmmessages e outras operações da API - AWS Systems Manager
Operações de API relacionadas a agentes (endpoints ssmmessages e ec2messages)Operações de API relacionadas à instância do namespace ssm:*

Referência: ec2messages, ssmmessages e outras operações da API

Se você monitorar operações de API, poderá ver chamadas para as seguintes operações:

  • ec2messages:AcknowledgeMessage

  • ec2messages:DeleteMessage

  • ec2messages:FailMessage

  • ec2messages:GetEndpoint

  • ec2messages:GetMessages

  • ec2messages:SendReply

  • ssmmessages:CreateControlChannel

  • ssmmessages:CreateDataChannel

  • ssmmessages:OpenControlChannel

  • ssmmessages:OpenDataChannel

  • ssm:DescribeDocumentParameters

  • ssm:DescribeInstanceProperties

  • ssm:GetCalendar

  • ssm:GetManifest

  • ssm:ListInstanceAssociations

  • ssm:PutCalendar

  • ssm:PutConfigurePackageResult

  • ssm:RegisterManagedInstance

  • ssm:RequestManagedInstanceRoleToken

  • ssm:UpdateInstanceAssociationStatus

  • ssm:UpdateInstanceInformation

  • ssm:UpdateManagedInstancePublicKey

Essas são operações especiais usadas pelo AWS Systems Manager, conforme descrito no restante deste tópico.

Operações de API relacionadas a agentes (endpoints ssmmessages e ec2messages)

Operações de API ssmmessages

O Systems Manager usa o endpoint ssmmessages para os dois tipos de operações de API a seguir:

  • Operações do SSM Agent ao Session Manager, um recurso do AWS Systems Manager, na nuvem. Esse endpoint é necessário para criar e excluir canais de sessão com o serviço Session Manager na nuvem. Além disso, se a conectividade for permitida, o SSM Agent receberá documentos do Command por meio deste Amazon Message Gateway Service. Se a conectividade não for permitida, o SSM Agent receberá documentos do Command via Amazon Message Delivery Service. Para obter mais informações, consulte Ações, recursos e chaves de condição do Amazon Session Manager Message Gateway Service.

  • Operações do Systems Manager Agent (SSM Agent) para o serviço do Systems Manager na nuvem.

Operações da API ec2messages

As operações de API ec2messages:* são feitas para o endpoint do Amazon Message Delivery Service. O Systems Manager usa esse endpoint para fazer operações de API do Systems Manager Agent (SSM Agent) para o serviço Systems Manager na nuvem.

Importante

As operações da API do ec2messages:* são aceitas somente nas Regiões da AWS lançadas antes de 2024. Nas regiões lançadas em 2024 e posteriormente, somente as operações da API do ssmmessages:* são aceitas.

Precedência de conexão do endpoint

A partir da versão 3.3.40.0 do SSM Agent, o Systems Manager começou a usar o endpoint ssmmessages:* (Amazon Message Gateway Service) sempre que disponível, em vez do endpoint ec2messages:* (Amazon Message Delivery Service).

Se você fornecer acesso a ssmmessages:* em suas políticas de permissão do AWS Identity and Access Management (IAM), o SSM Agent se conectará ao endpoint ssmmessages:*, mesmo que seu perfil de instância do IAM esteja configurado para permitir os dois endpoints. Isso inclui políticas para perfis de instância do IAM e perfis de serviço do IAM que você mesmo criou e para perfis de instância do IAM criados pela Configuração de gerenciamento de hosts de Quick Setup e pela configuração padrão de gerenciamento de hosts.

Se você tiver fornecido permissões para ambos os endpoints e monitorado as operações de API usando, por exemplo, o CloudWatch Metrics, você não verá nenhuma chamada para. ec2messages:*

Para Regiões da AWS lançadas antes de 2024: é possível remover as permissões de ec2messages:* com segurança das suas políticas.

Failover de conexão do endpoint

Somente para Regiões da AWS lançadas antes de 2024: se seu perfil de instância do IAM não fornecer permissões para ssmmessages:* no momento que o agente for iniciado, mas apenas ec2messages:*, o SSM Agent se conectará ao endpoint ec2messages:*. Se você tiver ssmmessages:* e ec2messages:* ao mesmo tempo no no momento que SSM Agent iniciar, mas remover ssmmessages:* após a inicialização do agente, o SSM Agent logo transferirá a conexão para o endpoint ec2messages:*. Para regiões lançadas em 2024 e posteriormente, somente o endpoint ssmmessages:* é aceito.

Para obter mais informações sobre os endpoints ssmmessages e ec2messages:*, consulte os seguintes tópicos na Referência de autorização de serviço da AWS.

Operações de API relacionadas à instância do namespace ssm:*

DescribeDocumentParameters

O Systems Manager executa essa operação da API para renderizar nós específicos no console do Amazon EC2. Os resultados da operação DescribeDocumentParameters são exibidos em seu nó Documentos.

DescribeInstanceProperties

O Systems Manager executa essa operação da API para renderizar nós específicos no console do Amazon EC2. Os resultados da operação DescribeInstanceProperties são exibidos em seu nó Fleet Manager.

GetCalendar

O Systems Manager executa essa operação da API para renderizar documentos do tipo Change Calendar no console do Change Calendar.

GetManifest

O SSM Agent executa essa operação da API para determinar os requisitos do sistema para instalar ou atualizar uma versão específica de um pacote AWS Systems Manager Distributor. Essa é uma operação de API herdada e não está disponível nas Regiões da AWS iniciadas após 2017.

ListInstanceAssociations

O SSM Agent executa essa operação da API para ver se uma nova associação do State Manager está disponível. Essa operação de API é essencial para o State Manager funcionar.

PutCalendar

O Systems Manager executa essa operação da API para atualizar documentos do tipo Change Calendar no console do Change Calendar.

PutConfigurePackageResult

O SSM Agent executa essa operação da API para publicar métricas de erro de instalação e latência de pacotes públicos do Distributor na conta do proprietário do pacote.

RegisterManagedInstance

O SSM Agent executa essa operação de API para os seguintes cenários:

  • Para registrar um servidor on-premises ou máquina virtual (VM) com o Systems Manager como uma instância gerenciada usando um código de ativação e um ID.

  • Para registrar as credenciais do AWS IoT Greengrass Version 2.

Essa operação também é chamada por instâncias do Amazon EC2 que executam a versão 3.1.x ou posterior do SSM Agent.

RequestManagedInstanceRoleToken

O SSM Agent executa essa operação da API para recuperar credenciais temporárias para acessar o nó gerenciado.

UpdateInstanceAssociationStatus

SSM Agent: o agente executa essa operação de API para atualizar uma associação. Essa operação da API é exigida pelo State Manager, um recurso do AWS Systems Manager, para funcionar.

UpdateInstanceInformation

O SSM Agent chama o serviço Systems Manager na nuvem a cada cinco minutos para fornecer informações sobre pulsação. Essa chamada é necessária para manter uma pulsação com o agente, para que o serviço saiba que o agente está funcionando conforme esperado.

UpdateManagedInstancePublicKey

O SSM Agent executa essa operação da API para fornecer a chave pública depois de alternar o par de chaves no nó gerenciado. A chave pública é usada para autenticar as solicitações, assinadas com a chave privada, para obter credenciais temporárias do Systems Manager.