Référence : ec2messages, ssmmessages et autres opérations d'API - AWS Systems Manager
Opérations d’API liées à un agent (points de terminaison ssmmessages et ec2messages)Opérations d’API liées à l’instance d’espace de noms ssm:*Autres opérations d’API d’espace de noms ssm:*

AWS Systems ManagerChange Managern'est plus ouvert aux nouveaux clients. Les clients existants peuvent continuer à utiliser le service normalement. Pour plus d'informations, consultez AWS Systems ManagerChange Managerla section Modification de la disponibilité.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Référence : ec2messages, ssmmessages et autres opérations d'API

Si vous surveillez les opérations d’API, il se peut que vous constatiez des appels vers les opérations suivantes :

  • ec2messages:AcknowledgeMessage

  • ec2messages:DeleteMessage

  • ec2messages:FailMessage

  • ec2messages:GetEndpoint

  • ec2messages:GetMessages

  • ec2messages:SendReply

  • ssmmessages:CreateControlChannel

  • ssmmessages:CreateDataChannel

  • ssmmessages:OpenControlChannel

  • ssmmessages:OpenDataChannel

  • ssm:DescribeDocumentParameters

  • ssm:DescribeInstanceProperties

  • ssm:GetCalendar

  • ssm:GetManifest

  • ssm:ListInstanceAssociations

  • ssm:PutCalendar

  • ssm:PutConfigurePackageResult

  • ssm:RegisterManagedInstance

  • ssm:RequestManagedInstanceRoleToken

  • ssm:UpdateInstanceAssociationStatus

  • ssm:UpdateInstanceInformation

  • ssm:UpdateManagedInstancePublicKey

Il s'agit d'opérations spéciales utilisées par AWS Systems Manager, comme décrit dans le reste de cette rubrique.

Opérations d’API liées à un agent (points de terminaison ssmmessages et ec2messages)

Opérations d'API ssmmessages

Systems Manager utilise le point de terminaison ssmmessages pour les types d’opérations d’API suivants :

  • Opérations de Systems Manager Agent (SSM Agent) au service Systems Manager dans le cloud.

  • Des opérations de SSM Agent àSession Manager, un outil dans AWS Systems Manager, dans le cloud. Ce point de terminaison est requis pour créer et supprimer des canaux de session avec le service Session Manager dans le cloud. De plus, si la connectivité est autorisée, SSM Agent reçoit les documents Command via cet Amazon Message Gateway Service. Si la connectivité n’est pas autorisée, SSM Agent reçoit les documents Command via l’Amazon Message Delivery Service. Pour de plus amples informations, consultez Actions, ressources et clés de condition pour Amazon Message Gateway Service

    Note

    Si l'ssmmessages:OpenControlChannelautorisation est supprimée des politiques associées à votre profil d'instance IAM ou à votre rôle de service IAM, SSM Agent le nœud géré perd la connectivité avec le service Systems Manager dans le cloud. Cependant, la résiliation d'une connexion peut prendre jusqu'à 1 heure après la suppression de l'autorisation. Il s'agit du même comportement que lorsque le rôle d'instance IAM ou le rôle de service IAM est supprimé.

    Notez que l'ssmmessages:OpenControlChannelautorisation est incluse dans la politique gérée Amazon SSMManaged InstanceCore, qui est utilisée dans les instructions pour créer un profil d'instance IAM pour les EC2 instances et pour créer un rôle de service IAM pour les EC2 non-instances.

  • Opérations de Run Command.

Opérations d'API ec2messages

ec2messages:*Les opérations d'API sont effectuées sur le point de terminaison Amazon Message Delivery Service. Systems Manager utilise ce point de terminaison pour effectuer des opérations d'API, de Systems Manager Agent (SSM Agent) au service Systems Manager dans le cloud.

Important

Les opérations d’API ec2messages:* sont prises en charge uniquement dans les Régions AWS lancées avant 2024. Dans les régions lancées à partir de 2024, seules les opérations d’API ssmmessages:* sont prises en charge.

Priorisation des connexions au point de terminaison

À partir de la version 3.3.40.0 de SSM Agent, Systems Manager a commencé à privilégier lorsque possible l’utilisation du point de terminaison ssmmessages:* (Amazon Message Gateway Service) à l’utilisation du point de terminaison ec2messages:* (Amazon Message Delivery Service).

Si vous fournissez l'accès ssmmessages:* à vos politiques d'autorisation AWS Identity and Access Management (IAM), vous vous connectez au point SSM Agent de ssmmessages:* terminaison, même si votre profil d'instance IAM est configuré pour autoriser les deux points de terminaison. Cela inclut les politiques pour les profils d’instance IAM et les rôles de service IAM que vous avez créés, et pour les profils d’instance IAM créés par la configuration de gestion d’hôte Quick Setup et la configuration de gestion d’hôte par défaut.

Si vous avez fourni des autorisations pour les deux points de terminaison et que vous surveillez les opérations d'API à l'aide, par exemple, de CloudWatch Metrics, vous ne verrez aucun appel àec2messages:*.

Pour les Régions AWS versions lancées avant 2024 : vous pouvez supprimer les ec2messages:* autorisations de vos politiques en toute sécurité pour le moment.

Basculement de connexion au point de terminaison

Pour les Régions AWS applications lancées avant 2024 uniquement : si votre profil d'instance IAM ne fournit pas d'autorisations ssmmessages:* au moment du démarrage de l'agent, mais SSM Agent se connecte uniquement ec2messages:* au ec2messages:* point de terminaison. Si vous disposez de ssmmessages:* et ec2messages:* au moment du démarrage de SSM Agent, mais que vous supprimez ssmmessages:* après le démarrage de l’agent, SSM Agent bascule rapidement la connexion vers le point de terminaison ec2messages:*. Pour les régions lancées à partir de 2024, seul le point de terminaison ssmmessages:* est pris en charge.

Pour plus d’informations sur les points de terminaison ssmmessages et ec2messages:*, consultez les sections suivantes dans la référence d’autorisation de service AWS .

Opérations d’API liées à l’instance d’espace de noms ssm:*

DescribeDocumentParameters

Systems Manager exécute cette opération d'API pour afficher des nœuds spécifiques dans la EC2 console Amazon. Les résultats de l’opération DescribeDocumentParameters sont affichés dans le nœud Documents.

DescribeInstanceProperties

Systems Manager exécute ces opérations d'API pour afficher des nœuds spécifiques dans la EC2 console Amazon. Les résultats de l'opération DescribeInstanceProperties sont affichés dans le nœud Fleet Manager.

GetCalendar

Systems Manager exécute cette opération d’API pour afficher les documents de type Change Calendar dans la console Change Calendar.

GetManifest

SSM Agent exécute cette opération d’API pour déterminer la configuration système requise pour installer ou mettre à jour une version spécifiée d’un package AWS Systems Manager Distributor. Il s'agit d'une ancienne opération d'API qui n'est pas disponible si elle Régions AWS a été lancée après 2017.

ListInstanceAssociations

SSM Agent exécute cette opération d’API pour voir si une nouvelle association State Manager est disponible. Cette opération d'API est requise pour que State Manager fonctionne.

PutCalendar

Systems Manager exécute cette opération d’API pour mettre à jour les documents de type Change Calendar dans la console Change Calendar.

PutConfigurePackageResult

SSM Agent exécute cette action d’API pour publier des métriques de latence et d’erreur d’installation pour les packages Distributor publics sur le compte du propriétaire de package.

RegisterManagedInstance

SSM Agent exécute cette opération d’API pour les scénarios suivants :

  • Pour enregistrer un serveur sur site ou une machine virtuelle (VM) auprès de Systems Manager en tant qu’instance gérée à l’aide d’un code d’activation et d’un ID.

  • Pour enregistrer les AWS IoT Greengrass Version 2 informations d'identification.

Cette opération est également appelée par les EC2 instances Amazon exécutant SSM Agent la version 3.1.x ou ultérieure.

RequestManagedInstanceRoleToken

SSM Agent exécute cette opération d’API pour extraire les informations d’identification temporaires permettant d’accéder au nœud géré.

UpdateInstanceAssociationStatus

SSM Agent exécute cette opération d’API pour mettre à jour une association. Cette opération d'API est requise pour State Manager qu'un outil fonctionne. AWS Systems Manager

UpdateInstanceInformation

SSM Agent appelle le service Systems Manager dans le cloud toutes les cinq minutes pour fournir des informations de pulsation. Cet appel est nécessaire pour maintenir une pulsation avec l'agent afin que le service sache que l'agent fonctionne comme prévu.

UpdateManagedInstancePublicKey

SSM Agent exécute cette opération d’API pour fournir la clé publique après avoir effectué la rotation de la paire de clés sur le nœud géré. La clé publique est utilisée pour authentifier les demandes, signées avec la clé privée, et obtenir des informations d’identification temporaires auprès de Systems Manager.

Autres opérations d’API d’espace de noms ssm:*

ExecuteApi

Les administrateurs délégués Systems Manager qui gèrent OpsItems dans OpsCenter ont besoin d’avoir accès à cette action d’API afin de pouvoir consulter les détails des ressources connexes concernant OpsItems sur plusieurs Comptes AWS. Plus précisément, cette API donne à un administrateur délégué l'autorisation d'afficher les OpsItem détails suivants dans AWS Management Console : la OpsItem description, les balises, le CloudFormation modèle, les AWS Config modifications, CloudWatch les alarmes des journaux et les AWS CloudTrail événements. Pour plus d’informations sur l’utilisation des OpsItems sur plusieurs comptes, consultez la section (Facultatif) Configurez manuellement OpsCenter pour gérer de manière centralisée OpsItems sur l’ensemble des comptes. Pour plus d’informations sur les détails des ressources connexes pour OpsItems, consultez la section Ajout de ressources connexes à un OpsItem.