Referenza: ec2messages, ssmmessages e altre operazioni API - AWS Systems Manager
Operazioni API (endpoint ssmmessages e ec2messages) relative agli agentiOperazioni API relative alle istanze dello spazio dei nomi ssm:*ssm:* spazio dei nomi per altre operazioni API

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Referenza: ec2messages, ssmmessages e altre operazioni API

Quando si monitorano le operazioni API, è possibile vedere le chiamate alle seguenti operazioni:

  • ec2messages:AcknowledgeMessage

  • ec2messages:DeleteMessage

  • ec2messages:FailMessage

  • ec2messages:GetEndpoint

  • ec2messages:GetMessages

  • ec2messages:SendReply

  • ssmmessages:CreateControlChannel

  • ssmmessages:CreateDataChannel

  • ssmmessages:OpenControlChannel

  • ssmmessages:OpenDataChannel

  • ssm:DescribeDocumentParameters

  • ssm:DescribeInstanceProperties

  • ssm:GetCalendar

  • ssm:GetManifest

  • ssm:ListInstanceAssociations

  • ssm:PutCalendar

  • ssm:PutConfigurePackageResult

  • ssm:RegisterManagedInstance

  • ssm:RequestManagedInstanceRoleToken

  • ssm:UpdateInstanceAssociationStatus

  • ssm:UpdateInstanceInformation

  • ssm:UpdateManagedInstancePublicKey

Si tratta di operazioni speciali utilizzate da AWS Systems Manager, come descritto nel resto di questo argomento.

Operazioni API (endpoint ssmmessages e ec2messages) relative agli agenti

Operazioni API ssmmessages

Systems Manager utilizza l'endpoint ssmmessages per i seguenti tipi di operazioni API:

  • Operazioni dall'agente Systems Manager (SSM Agent) al servizio Systems Manager nel cloud.

  • Operazioni da SSM Agent a Session Manager AWS Systems Manager, uno strumento nel cloud. Questo endpoint è necessario per creare ed eliminare canali di sessione con il servizio Session Manager in cloud. Inoltre, quando la connettività è consentita, SSM Agent riceve i documenti di Command tramite questo Amazon Message Gateway Service. Invece, quando la connettività non è consentita, l'SSM Agent riceve i documenti di Command tramite Amazon Message Delivery Service. Per ulteriori informazioni, consulta Operazioni, risorse e chiavi di condizione per Amazon Message Gateway Service.

    Nota

    Se l'ssmmessages:OpenControlChannelautorizzazione viene rimossa dalle policy allegate al profilo dell'istanza IAM o al ruolo del servizio IAM, SSM Agent sul nodo gestito perde la connettività al servizio Systems Manager nel cloud. Tuttavia, può essere necessaria fino a 1 ora prima che una connessione venga interrotta dopo la rimozione dell'autorizzazione. Si tratta dello stesso comportamento che si verifica quando il ruolo dell'istanza IAM o il ruolo del servizio IAM vengono eliminati.

    Tieni presente che l'ssmmessages:OpenControlChannelautorizzazione è inclusa nella policy gestita Amazon SSMManaged InstanceCore, utilizzata nelle istruzioni per creare un profilo di istanza IAM per le EC2 istanze e per creare un ruolo di servizio IAM per le non EC2 istanze.

  • Operazioni da Run Command.

Operazioni API ec2messages

Le operazioni API ec2messages:* vengono effettuate per l'endpoint Amazon Message Delivery Service. Systems Manager utilizza questo endpoint per effettuare operazioni API da Systems Manager Agent (SSM Agent) al servizio Systems Manager nel cloud.

Importante

Le operazioni API ec2messages:* sono supportate solo nelle Regioni AWS avviate prima del 2024. Nelle regioni avviate dal 2024 in poi, sono supportate solo le operazioni API ssmmessages:*.

Priorità delle connessioni all'endpoint

A partire dalla versione 3.3.40.0 dell'SSM Agent, Systems Manager ha iniziato a utilizzare endpoint ssmmessages:* (Amazon Message Gateway Service) ogni volta che era disponibile, al posto dell'endpoint ec2messages:* (Amazon Message Delivery Service).

Se fornisci l'accesso alle ssmmessages:* tue policy di autorizzazione AWS Identity and Access Management (IAM), SSM Agent si connette all'ssmmessages:*endpoint, anche se il profilo dell'istanza IAM è configurato per consentire entrambi gli endpoint. Ciò include le policy per i profili dell'istanza e i ruoli di servizio IAM creati, nonché per i profili dell'istanza IAM creati dalla Configurazione di gestione host di Quick Setup e dalla Configurazione di gestione host predefinita.

Se hai fornito le autorizzazioni per entrambi gli endpoint e monitorato le operazioni delle API utilizzando, ad esempio, CloudWatch Metrics, non vedrai alcuna chiamata a. ec2messages:*

Per il Regioni AWS lancio precedente al 2024: in questo momento puoi rimuovere in sicurezza ec2messages:* le autorizzazioni dalle tue politiche.

Failover della connessione all'endpoint

Solo per Regioni AWS versioni lanciate prima del 2024: se il profilo dell'istanza IAM non fornisce le autorizzazioni ssmmessages:* al momento dell'avvio dell'agente, ma si limita a SSM Agent connettersi all'ec2messages:*endpoint. ec2messages:* Quando si dispone sia di ssmmessages:* che di ec2messages:* al momento dell'avvio dell'SSM Agent, ma si rimuove ssmmessages:* dopo l'avvio dell'agente, SSM Agent passa presto la connessione all'endpoint ec2messages:*. Per le regioni avviate dal 2024 in poi, è supportato solo l'endpoint ssmmessages:*.

Per ulteriori informazioni sugli endpoint ssmmessages e ec2messages:*, consulta gli argomenti seguenti nella Referenza sull'autorizzazione del servizio AWS .

Operazioni API relative alle istanze dello spazio dei nomi ssm:*

DescribeDocumentParameters

Systems Manager esegue questa operazione API per eseguire il rendering di nodi specifici nella EC2 console Amazon. I risultati delle operazioni DescribeDocumentParameters sono visualizzati nel nodo Documenti.

DescribeInstanceProperties

Systems Manager esegue queste operazioni API per eseguire il rendering di nodi specifici nella EC2 console Amazon. I risultati delle operazioni DescribeInstanceProperties sono visualizzati nel nodo Fleet Manager.

GetCalendar

Systems Manager esegue questa operazione API per eseguire il rendering dei documenti di tipo Change Calendar nella console Change Calendar.

GetManifest

SSM Agent esegue questa operazione API per determinare i requisiti di sistema per l'installazione o l'aggiornamento di una versione specificata di un pacchetto AWS Systems Manager Distributor. Si tratta di un'operazione API legacy e non è disponibile nelle versioni Regioni AWS lanciate dopo il 2017.

ListInstanceAssociations

SSM Agent: avvia questa operazione API per vedere se è disponibile una nuova associazione State Manager. Questa operazione API è necessaria per il funzionamento di State Manager.

PutCalendar

Systems Manager esegue questa operazione API per aggiornare i documenti di tipo Change Calendar nella console Change Calendar.

PutConfigurePackageResult

SSM Agent esegue questa operazione API per pubblicare i parametri degli errori di installazione e latenza per i pacchetti Distributor pubblici sull'account del proprietario del pacchetto.

RegisterManagedInstance

SSM Agent esegue questa operazione API per i seguenti scenari:

  • Per registrare un server On-Premises o macchina virtuale (VM) con Systems Manager come istanza gestita utilizzando un codice di attivazione e un ID.

  • Per registrare AWS IoT Greengrass Version 2 le credenziali.

Questa operazione viene richiamata anche dalle EC2 istanze Amazon che eseguono la SSM Agent versione 3.1.x o successiva.

RequestManagedInstanceRoleToken

SSM Agent esegue questa operazione API per recuperare le credenziali temporanee per accedere al nodo gestito.

UpdateInstanceAssociationStatus

SSM Agent: esegue questa operazione API per aggiornare un'associazione. Questa operazione API è necessaria per State Manager il funzionamento di uno strumento. AWS Systems Manager

UpdateInstanceInformation

SSM Agent chiama il servizio Systems Manager in cloud ogni cinque minuti per fornire le informazioni di heartbeat. Questa chiamata è necessaria per mantenere l'heartbeat con l'agente in modo che il servizio sappia che l'agente funziona correttamente.

UpdateManagedInstancePublicKey

SSM Agent esegue questa operazione API per fornire la chiave pubblica dopo aver ruotato la coppia di chiavi sul nodo gestito. La chiave pubblica viene utilizzata per autenticare le richieste, firmate con la chiave privata, col fine di ottenere credenziali temporanee da Systems Manager.

ssm:* spazio dei nomi per altre operazioni API

ExecuteApi

Gli amministratori delegati di Systems Manager che gestiscono gli OpsItems in OpsCenter richiedono l'accesso a questa operazione API in modo da visualizzare i dettagli su OpsItems tramite diversi Account AWS. In particolare, questa API fornisce a un amministratore delegato l'autorizzazione a visualizzare OpsItem i seguenti dettagli in AWS Management Console: OpsItem descrizione, tag, AWS CloudFormation modello, AWS Config modifiche, CloudWatch registri, allarmi ed eventi. AWS CloudTrail Per ulteriori informazioni su come utilizzare gli OpsItems negli account, consulta (Facoltativo) Configurazione manuale di OpsCenter per la gestione centralizzata multi-account di OpsItems. Per ulteriori informazioni sui dettagli delle risorse correlate per gli OpsItems, consulta Aggiunta di risorse correlate a un OpsItem.