リファレンス: ec2messages、ssmmessages およびその他の API オペレーション - AWS Systems Manager
エージェント関連の API オペレーション (ssmmessages および ec2messages エンドポイント)ssm:* 名前空間インスタンス関連の API オペレーションssm:* 名前空間の他の API オペレーション

リファレンス: ec2messages、ssmmessages およびその他の API オペレーション

API オペレーションをモニタリングしていると、以下のオペレーションへの呼び出しが表示されることがあります。

  • ec2messages:AcknowledgeMessage

  • ec2messages:DeleteMessage

  • ec2messages:FailMessage

  • ec2messages:GetEndpoint

  • ec2messages:GetMessages

  • ec2messages:SendReply

  • ssmmessages:CreateControlChannel

  • ssmmessages:CreateDataChannel

  • ssmmessages:OpenControlChannel

  • ssmmessages:OpenDataChannel

  • ssm:DescribeDocumentParameters

  • ssm:DescribeInstanceProperties

  • ssm:GetCalendar

  • ssm:GetManifest

  • ssm:ListInstanceAssociations

  • ssm:PutCalendar

  • ssm:PutConfigurePackageResult

  • ssm:RegisterManagedInstance

  • ssm:RequestManagedInstanceRoleToken

  • ssm:UpdateInstanceAssociationStatus

  • ssm:UpdateInstanceInformation

  • ssm:UpdateManagedInstancePublicKey

これらは、このトピックの残りの部分で説明されているとおり、AWS Systems Manager で使用される特別なオペレーションです。

エージェント関連の API オペレーション (ssmmessages および ec2messages エンドポイント)

ssmmessages API オペレーション

Systems Manager は、次のタイプの API オペレーションに ssmmessages エンドポイントを使用します。

  • Systems Manager Agent (SSM Agent) からクラウド内の Systems Manager サービスへのオペレーション。

  • クラウドでの、SSM Agent から、AWS Systems Manager のツールである Session Manager へのオペレーション。このエンドポイントは、クラウド内の Session Manager サービスでセッションチャネルを作成および削除するために必要です。さらに、接続が許可されている場合、SSM Agent はこの Amazon Message Gateway Service 経由で Command ドキュメントを受信します。接続が許可されていない場合、SSM Agent は Amazon Message Delivery Service 経由で Command ドキュメントを受信します。詳細については、「Amazon Message Gateway Service のアクション、リソース、および条件キー」を参照してください。

    注記

    IAM インスタンスプロファイルまたは IAM サービスロールにアタッチされたポリシーから ssmmessages:OpenControlChannel アクセス許可が削除されると、マネージドノード上の SSM Agent はクラウド内の Systems Manager サービスへの接続を失います。ただし、アクセス許可が削除された後、接続が終了するまでに最大 1 時間かかる場合があります。これは、IAM インスタンスロールまたは IAM サービスロールが削除されたときと同じ動作です。

    ssmmessages:OpenControlChannel アクセス許可は、EC2 インスタンスの IAM インスタンスプロファイルを作成する手順および EC2 インスタンス以外の IAM サービスロールを作成する手順で使用される管理ポリシー AmazonSSMManagedInstanceCore に含まれています。

  • Run Command からのオペレーション。

ec2messages API オペレーション 

ec2messages:* API オペレーションは、Amazon Message Delivery Service エンドポイントにする必要があります。Systems Manager は、Systems Manager Agent (SSM Agent) からクラウド上の Systems Manager サービスへの API オペレーションにこのエンドポイントを使用します。

重要

ec2messages:* API オペレーションは、2024 年より前にローンチされた AWS リージョン でのみサポートされます。2024 年以降にローンチされたリージョンでは、ssmmessages:* API オペレーションのみがサポートされます。

エンドポイント接続の優先順位

SSM Agent のバージョン 3.3.40.0 以降、Systems Manager は、使用可能な場合には ec2messages:* エンドポイント (Amazon Message Delivery Service) の代わりに ssmmessages:* エンドポイント (Amazon Message Gateway Service) を使用するようになりました。

AWS Identity and Access Management (IAM) アクセス許可ポリシーで ssmmessages:* へのアクセスを許可すると、IAM インスタンスプロファイルが両方のエンドポイントを許可するように設定されている場合でも、SSM Agent は ssmmessages:* エンドポイントに接続できます。これには、自分で作成した IAM インスタンスプロファイルIAM サービスロールのポリシー、およびQuick Setup ホスト管理設定デフォルトのホスト管理設定で作成した IAM インスタンスプロファイルのポリシーが含まれます。

両方のエンドポイントにアクセス許可を付与し、CloudWatch Metrics などを使用して API オペレーションをモニタリングしている場合、ec2messages:* への呼び出しは表示されません。

2024 年より前にローンチされた AWS リージョン の場合: 現時点では、ec2messages:* アクセス許可はポリシーから安全に削除できます。

エンドポイント接続のフェイルオーバー

2024 年より前にローンチされた AWS リージョン のみ: エージェントの起動時に、IAM インスタンスプロファイルから ssmmessages:* のアクセス許可ではなく、ec2messages:* のアクセス許可のみが提供される場合、SSM Agent は ec2messages:* エンドポイントに接続します。SSM Agent の起動時に、ssmmessages:*ec2messages:* の両方が存在していたが、エージェントの起動後に ssmmessages:* を削除した場合、SSM Agent はすぐに接続を ec2messages:* エンドポイントに切り替えます。2024 年以降にローンチされたリージョンでは、ssmmessages:* エンドポイントのみがサポートされます。

ssmmessages エンドポイントと ec2messages:* エンドポイントの詳細については、「AWS サービス認可リファレンス」を参照してください。

ssm:* 名前空間インスタンス関連の API オペレーション

DescribeDocumentParameters

Systems Manager はこの API オペレーションを実行して、Amazon EC2 コンソールで指定されるノードをレンダリングします。  DescribeDocumentParameters オペレーションの結果は、[ドキュメント] ノードに表示されます。

DescribeInstanceProperties

Systems Manager はこの API オペレーションを実行して、Amazon EC2 コンソールで指定されるノードをレンダリングします。  DescribeInstanceProperties オペレーションの結果は、[Fleet Manager] ノードに表示されます。

GetCalendar

Systems Manager はこの API オペレーションを実行して、Change Calendar コンソールで Change Calendar タイプのドキュメントをレンダリングします。

GetManifest

SSM Agent はこの API オペレーションを実行して、指定されたバージョンの AWS Systems Manager Distributor パッケージをインストールまたは更新するためのシステム要件を決定します。これはレガシーの API オペレーションであり、2017 年以降に AWS リージョン でリリースされた場合は使用できません。

ListInstanceAssociations

SSM Agent はこの API オペレーションを実行して、新しい State Manager の関連付けが利用可能かどうかを確認します。この API オペレーションは、State Manager が機能するために必要です。

PutCalendar

Systems Manager はこの API オペレーションを実行して、Change Calendar コンソールで Change Calendar タイプのドキュメントを更新します。

PutConfigurePackageResult

SSM Agent はこの API オペレーションを実行して、パブリックディストリビューターパッケージのインストールエラーとレイテンシーのメトリクスをパッケージ所有者のアカウントに公開します。

RegisterManagedInstance

SSM Agent は、次のシナリオでこの API オペレーションを実行します。

  • アクティベーションコードと ID を使用して Systems Manager にオンプレミスサーバーや仮想マシン (VM) をマネージドインスタンスとして登録します。

  • AWS IoT Greengrass Version 2 認証情報を登録します。

このオペレーションは、SSM Agentバージョン 3.1.x 以降を実行している Amazon EC2 インスタンスからも呼び出されます。

RequestManagedInstanceRoleToken

SSM Agent はこの API オペレーションを実行して、マネージドノードにアクセスするための一時的な認証情報を取得します。

UpdateInstanceAssociationStatus

SSM Agent はこの API オペレーションを実行して関連付けを更新します。この API オペレーションは、AWS Systems Manager のツールである State Manager が機能するために必要です。

UpdateInstanceInformation

SSM Agent はクラウドの Systems Manager サービスを 5 分ごとに呼び出して、ハートビート情報を提供します。この呼び出しはエージェントのハートビートを維持するために必要となり、こうしてエージェントが想定どおり機能していることがサービスによって確認されます。

UpdateManagedInstancePublicKey

SSM Agent は、マネージドノードでキーペアをローテーションした後、この API オペレーションを実行してパブリックキーを提供します。パブリックキーは、プライベートキーで署名されたリクエストを認証し、Systems Manager から一時的な認証情報を取得するために使用されます。

ssm:* 名前空間の他の API オペレーション

ExecuteApi

OpsCenter で OpsItems を管理する Systems Manager の委任管理者は、複数の AWS アカウント にわたる OpsItems に関する関連リソースの詳細を表示できるよう、この API アクションへのアクセスが必要でます。具体的には、この API は、AWS Management Console で OpsItem の詳細 (OpsItem の説明、タグ、CloudFormation テンプレート、AWS Config の変更、CloudWatch Logs アラーム、AWS CloudTrail イベント) を表示するアクセス許可を委任管理者に付与します。複数のアカウントにわたる OpsItems の操作に関する詳細については、「(オプション) OpsCenter の手動設定により、複数のアカウント間で OpsItems を一元管理する」を参照してください。OpsItems の関連リソースの詳細については、「関連リソースを OpsItem に追加する」を参照してください。