Referenz: ec2messages, ssmmessages und andere API-Operationen - AWS Systems Manager
API-Vorgänge (ssmmessages- und ec2messages-Endpunkte) im Zusammenhang mit Agentenssm:*-Namespace-Instance-bezogene API-Vorgängessm:* Namespace andere API-Vorgänge

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Referenz: ec2messages, ssmmessages und andere API-Operationen

Beim Überwachen von API-Vorgängen werden Ihnen möglicherweise Aufrufe der folgenden Vorgänge angezeigt:

  • ec2messages:AcknowledgeMessage

  • ec2messages:DeleteMessage

  • ec2messages:FailMessage

  • ec2messages:GetEndpoint

  • ec2messages:GetMessages

  • ec2messages:SendReply

  • ssmmessages:CreateControlChannel

  • ssmmessages:CreateDataChannel

  • ssmmessages:OpenControlChannel

  • ssmmessages:OpenDataChannel

  • ssm:DescribeDocumentParameters

  • ssm:DescribeInstanceProperties

  • ssm:GetCalendar

  • ssm:GetManifest

  • ssm:ListInstanceAssociations

  • ssm:PutCalendar

  • ssm:PutConfigurePackageResult

  • ssm:RegisterManagedInstance

  • ssm:RequestManagedInstanceRoleToken

  • ssm:UpdateInstanceAssociationStatus

  • ssm:UpdateInstanceInformation

  • ssm:UpdateManagedInstancePublicKey

Dies sind spezielle Operationen, die von verwendet werden AWS Systems Manager, wie im Rest dieses Themas beschrieben.

API-Vorgänge (ssmmessages- und ec2messages-Endpunkte) im Zusammenhang mit Agenten

ssmmessages-API-Operationen

Systems Manager verwendet den ssmmessages-Endpunkt für die folgenden Arten von API-Vorgängen:

  • Operationen vom Systems Manager Agent (SSM Agent) zum Systems-Manager-Service in der Cloud.

  • Operationen von SSM Agent bisSession Manager, ein Tool in AWS Systems Manager, in der Cloud. Dieser Endpunkt ist zum Erstellen und Löschen von Sitzungskanälen mit dem Session Manager-Service in der Cloud erforderlich. Zusätzlich empfängt SSM Agent, wenn Konnektivität erlaubt ist, Command-Dokumente über dieses Amazon Message Gateway Service. Wenn Konnektivität nicht zulässig ist, empfängt SSM Agent Command-Dokumente über den Amazon Message Delivery Service. Weitere Informationen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon Message Gateway Service.

    Anmerkung

    Wenn die ssmmessages:OpenControlChannel Berechtigung aus den Richtlinien entfernt wird, die mit Ihrem IAM-Instanzprofil oder Ihrer IAM-Dienstrolle verknüpft sind, SSM Agent verliert der verwaltete Knoten die Konnektivität zum Systems Manager Manager-Dienst in der Cloud. Es kann jedoch bis zu 1 Stunde dauern, bis eine Verbindung beendet wird, nachdem die Berechtigung entfernt wurde. Dies ist dasselbe Verhalten wie beim Löschen der IAM-Instanzrolle oder der IAM-Servicerolle.

    Beachten Sie, dass die ssmmessages:OpenControlChannel Berechtigung in der verwalteten Richtlinie Amazon enthalten ist SSMManagedInstanceCore, die in den Anweisungen zum Erstellen eines IAM-Instance-Profils für EC2 Instances und zum Erstellen einer IAM-Servicerolle für EC2 Nicht-Instances verwendet wird.

  • Operationen von Run Command.

ec2messages-API-Operationen

ec2messages:*-API-Operationen werden an den Amazon Message Delivery Service-Endpunkt gemacht. Systems Manager verwendet diesen Endpunkt für API-Operationen vom Systems-Manager-Agent (SSM Agent) an den Systems-Manager-Service in der Cloud.

Wichtig

ec2messages:*-API-Vorgänge werden nur für Operationen in AWS-Regionen unterstützt, die vor 2024 gestartet wurden. In Regionen, die 2024 und später eingeführt wurden, werden nur ssmmessages:* API-Vorgänge unterstützt.

Rangfolge der Endpunktverbindungen

Ab Version 3.3.40.0 von SSM Agent begann Systems Manager, den ssmmessages:*-Endpunkt (Amazon Message Gateway Service), wann immer verfügbar, anstelle des ec2messages:*-Endpunkts (Amazon Message Delivery Service) zu verwenden.

Wenn Sie ssmmessages:* in Ihren AWS Identity and Access Management (IAM-) Berechtigungsrichtlinien Zugriff auf gewähren, SSM Agent stellt eine Verbindung zum ssmmessages:* Endpunkt her, auch wenn Ihr IAM-Instance-Profil so konfiguriert ist, dass beide Endpunkte zugelassen sind. Dazu gehören Richtlinien für IAM-Instance-Profile und IAM-Servicerollen, die Sie selbst erstellt haben, sowie für IAM-Instance-Profile, die mit der Host-Management-Konfiguration und der Quick Setup-Standard-Host-Management-Konfiguration erstellt wurden.

Wenn Sie Berechtigungen für beide Endpunkte bereitgestellt haben und API-Operationen beispielsweise mithilfe von CloudWatch Metrics überwachen, werden Ihnen keine Aufrufe von angezeigt. ec2messages:*

Für AWS-Regionen Produkte, die vor 2024 veröffentlicht wurden: Sie können zu diesem Zeitpunkt problemlos ec2messages:* Berechtigungen aus Ihren Richtlinien entfernen.

Failover der Endpunktverbindung

Nur für vor 2024 AWS-Regionen gestartete Versionen: Wenn Ihr IAM-Instanzprofil zum ssmmessages:* Zeitpunkt des Starts des Agenten keine Berechtigungen bereitstellt, sondern lediglich ec2messages:* SSM Agent eine Verbindung zum ec2messages:* Endpunkt herstellt. Wenn Sie ssmmessages:* und ec2messages:* zum Zeitpunkt des SSM Agent-Starts haben, aber ssmmessages:* entfernen, nachdem der Agent gestartet wurde, wechselt SSM Agent bald die Verbindung zum ec2messages:*-Endpunkt. Für Regionen, die 2024 und später eingeführt wurden, wird nur der ssmmessages:*-Endpunkt unterstützt.

Weitere Informationen zu den ssmmessages- und ec2messages:*-Endpunkten finden Sie in den folgenden Themen im AWS -Service-Authorization-Benutzerhandbuch.

ssm:*-Namespace-Instance-bezogene API-Vorgänge

DescribeDocumentParameters

Systems Manager führt diesen API-Vorgang aus, um bestimmte Knoten in der EC2 Amazon-Konsole zu rendern. Ergebnisse der DescribeDocumentParameters-Operation werden im Knoten Dokumente angezeigt.

DescribeInstanceProperties

Systems Manager führt diese API-Operationen aus, um bestimmte Knoten in der EC2 Amazon-Konsole zu rendern. Ergebnisse der DescribeInstanceProperties-Operation werden im Knoten Fleet Manager angezeigt.

GetCalendar

Systems Manager führt diesen API-Vorgang aus, um Change Calendar-Typdokumente in der Change Calendar-Konsole zu rendern.

GetManifest

SSM Agent führt diesen API-Vorgang aus, um die Systemanforderungen für die Installation oder Aktualisierung einer bestimmten Version eines AWS Systems Manager Distributor-Pakets zu ermitteln. Dies ist ein älterer API-Vorgang, der nicht verfügbar ist, wenn er nach 2017 AWS-Regionen gestartet wurde.

ListInstanceAssociations

SSM Agent ruft diesen API-Vorgang auf, um festzustellen, ob eine neue State Manager-Zuordnung verfügbar ist. Dieser API-Vorgang ist für die Funktion von State Manager erforderlich.

PutCalendar

Systems Manager führt diesen API-Vorgang aus, um Change Calendar-Typdokumente in der Change Calendar-Konsole zu aktualisieren.

PutConfigurePackageResult

SSM Agent führt diesen API-Vorgang aus, um Installationsfehler- und Latenzmetriken für öffentliche Distributor-Pakete im Konto des Paketbesitzers zu veröffentlichen.

RegisterManagedInstance

SSM Agent führt diesen API-Vorgang für die folgenden Szenarien aus:

  • So registrieren Sie einen On-Premises-Server oder eine virtuelle Maschine (VM) mithilfe eines Aktivierungscodes und einer ID als verwaltete Instance bei Systems Manager.

  • Um AWS IoT Greengrass Version 2 Anmeldeinformationen zu registrieren.

Dieser Vorgang wird auch von EC2 Amazon-Instances aufgerufen, auf denen SSM Agent Version 3.1.x oder höher ausgeführt wird.

RequestManagedInstanceRoleToken

SSM Agent führt diesen API-Vorgang aus, um temporäre Anmeldeinformationen für den Zugriff auf den verwalteten Knoten abzurufen.

UpdateInstanceAssociationStatus

SSM Agent führt diesen API-Vorgang aus, um eine Zuordnung zu aktualisieren. Dieser API-Vorgang ist erforderlichState Manager, damit ein Tool in AWS Systems Manager, funktioniert.

UpdateInstanceInformation

SSM Agent ruft den Systems-Manager-Service in der Cloud alle fünf Minuten auf, um Heartbeat-Informationen bereitzustellen. Dieser Aufruf ist erforderlich, um einen Heartbeat mit dem Agent beizubehalten, damit der Service erkennt, dass der Agent erwartungsgemäß funktioniert.

UpdateManagedInstancePublicKey

SSM Agent führt diesen API-Vorgang aus, um den öffentlichen Schlüssel bereitzustellen, nachdem das key pair auf dem verwalteten Knoten rotiert wurde. Der öffentliche Schlüssel wird zur Authentifizierung der mit dem privaten Schlüssel signierten Anfragen verwendet, um temporäre Anmeldeinformationen von Systems Manager zu erhalten.

ssm:* Namespace andere API-Vorgänge

ExecuteApi

Von Systems Manager delegierte Administratoren, die OpsItems in OpsCenter verwalten benötigen Zugriff auf diese API-Aktion, damit sie zugehörige Ressourcendetails zu OpsItems über mehrere AWS-Konten anzeigen können. Insbesondere gewährt diese API einem delegierten Administrator die Erlaubnis, die folgenden OpsItem Details in der OpsItem Beschreibung, den the console Tags, der CloudFormation Vorlage, den AWS Config Änderungen, den CloudWatch Protokollen, Alarmen und AWS CloudTrail Ereignissen einzusehen. Weitere Informationen zum kontoübergreifenden OpsItems-Arbeiten finden Sie unter (Optional) Manuelle Einrichtung von OpsCenter für die zentrale kontenübergreifende Verwaltung von OpsItems. Weitere Informationen zu zugehörigen Ressourcendetails fürOpsItems finden Sie unter Hinzufügen zugehöriger Ressourcen zu einem OpsItem.