本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
參考:ec2messages、ssmmessages 和其他 API 操作
如果您監控 API 操作,則可能會看到對下列項目的呼叫:
-
ec2messages:AcknowledgeMessage -
ec2messages:DeleteMessage -
ec2messages:FailMessage -
ec2messages:GetEndpoint -
ec2messages:GetMessages -
ec2messages:SendReply -
ssmmessages:CreateControlChannel -
ssmmessages:CreateDataChannel -
ssmmessages:OpenControlChannel -
ssmmessages:OpenDataChannel -
ssm:DescribeInstanceProperties -
ssm:DescribeDocumentParameters -
ssm:ListInstanceAssociations -
ssm:RegisterManagedInstance -
ssm:UpdateInstanceAssociationStatus -
ssm:UpdateInstanceInformation -
ssm:GetManifest -
ssm:PutConfigurePackageResult -
ssm:GetCalendar -
ssm:PutCalendar
這些是使用的特殊操作 AWS Systems Manager。
代理程式相關的 API 作業 (SSM訊息和 ec2 訊息端點)
ssmmessages API 操作
Systems Manager 會使用ssmmessages端點進行下列兩種類型的 API 作業:
-
操作從SSM Agent到Session Manager,一種功能 AWS Systems Manager,在雲中。必須使用這個端點建立和刪除連往雲端 Session Manager 服務的工作階段管道。此外,如果允許連SSM Agent接,則通過此接收
Command文檔Amazon Message Gateway Service。如果不允許連線,SSM Agent會透過接收Command文件Amazon Message Delivery Service。如需詳細資訊,請參閱適用於 Amazon Session Manager Message Gateway Service 的動作、資源和條件鍵。 -
從系統管理員代理程式 (SSM Agent) 到雲端中的 Systems Manager 服務的作業。
ec2messages API 操作
ec2messages:* API 操作會對 Amazon
Message Delivery Service 端點執行。Systems Manager 使用此端點用於從 Systems Manager Agent (SSM Agent) 至雲端中的 Systems Manager 服務的 API 操作。
端點連線優先權
從 3.3.40.0 版開始SSM Agent,Systems Manager 會在可用時開始使用ssmmessages:*端點 (Amazon Message Gateway Service),而不是ec2messages:*端點 ()。Amazon Message Delivery Service
如果您ssmmessages:*在 AWS Identity and Access Management (IAM) 許可政策中提供存取權,請SSM Agent連線到ssmmessages:*端點,即使您的 IAM 執行個體設定檔設定為允許兩個端點也是如此。這包括您自己建立的 IAM 執行個體設定檔和 IAM 服務角色的政策,以及由主機管理組態和預設Quick Setup主機管理組態建立的 IAM 執行個體設定檔的政策。
如果您已同時為端點提供權限,並使用指標 (例如 CloudWatch 指標) 監控 API 作業,則不會看到任何呼叫ec2messages:*。
不過,您目前可以在原則中安全地保留ec2messages:*權限。
端點連線容錯移
如果您的 IAM 執行個體設定檔在代理程式啟動ssmmessages:*時未提供許可,但僅ec2messages:*提供SSM Agent連線到ec2messages:*端點的許可。如果您同時同ssmmessages:*時SSM Agent啟動,但是ec2messages:*在代理程式啟動ssmmessages:*後移除,請SSM Agent立即將連線切換到ec2messages:*端點。
如需有關ssmmessages和ec2messages:*端點的詳細資訊,請參閱AWS 服務授權參考中的下列主題。
-
Amazon Message Gateway Service(
ssmmessages) 的動作、資源和條件索引鍵。 -
Amazon Message Delivery Service(
ec2messages:*) 的動作、資源和條件索引鍵
執行個體相關的 API 操作
UpdateInstanceInformation:SSM Agent 會每 5 分鐘呼叫雲端的 Systems Manager 服務,提供活動訊號資訊。必須要有此呼叫維持與代理程式的活動訊號,讓服務知道代理程式運作正常。
UpdateInstanceAssociationStatus:代理程式會執行此 API 操作來更新關聯。此 API 操作是功能所必需的 AWS Systems Manager功能。State Manager
ListInstanceAssociations:代理程式執行此 API 操作,以看是否有新的 State Manager 關聯可用。State Manager 需要有這個 API 操作才能運作。
DescribeInstanceProperties 和 DescribeDocumentParameters:Systems Manager 會執行這些 API 操作,以在 Amazon EC2 主控台中轉譯特定的節點。DescribeInstanceProperties 操作的結果會顯示在 Fleet Manager 節點中。DescribeDocumentParameters 操作的結果會顯示在 Documents (文件) 節點中。
GetCalendar和PutCalendar:Systems Manager 運行這些 API 操作,以在Change Calendar控制台中渲染和更新Change Calendar類型文檔。
RegisterManagedInstance:SSM Agent執行此 API 作業,以使用啟動碼和 ID 將內部部署伺服器或虛擬機器 (VM) 註冊為 Systems Manager 的受控執行個體,或註冊 AWS IoT Greengrass Version 2 認證。執行 SSM Agent 3.1.x 版或更新版本的 Amazon EC2 執行個體也會呼叫此操作。
與分發者相關的 API 操作
SSM Agent 執行 GetManifest 來判斷安裝或更新 AWS Systems Manager Distributor 指定套件版本的系統要求。這是舊版 API 作業,並不適用於 2017 年之後 AWS 區域 推出。
SSM Agent 執行 PutConfigurePackageResult 以將公開分發者套件的安裝錯誤和延遲指標發佈到套件擁有者的帳戶。
