

• AWS Systems Manager CloudWatch 대시보드는 2026년 4월 30일 이후에는 더 이상 사용할 수 없습니다. 고객은 Amazon CloudWatch 콘솔을 계속 사용하여 현재와 마찬가지로 Amazon CloudWatch 대시보드를 보고, 생성하고, 관리할 수 있습니다. 자세한 내용은 [Amazon CloudWatch 대시보드 설명서](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)를 참조하세요.

# 참조: ec2messages, ssmmessages 및 기타 API 작업
<a name="systems-manager-setting-up-messageAPIs"></a>

API 작업을 모니터링하는 경우 다음 작업에 대한 직접 호출을 볼 수 있습니다.
+ `ec2messages:AcknowledgeMessage`
+ `ec2messages:DeleteMessage`
+ `ec2messages:FailMessage`
+ `ec2messages:GetEndpoint`
+ `ec2messages:GetMessages`
+ `ec2messages:SendReply`
+ `ssmmessages:CreateControlChannel`
+ `ssmmessages:CreateDataChannel`
+ `ssmmessages:OpenControlChannel`
+ `ssmmessages:OpenDataChannel`
+ `ssm:DescribeDocumentParameters`
+ `ssm:DescribeInstanceProperties`
+ `ssm:GetCalendar`
+ `ssm:GetManifest`
+ `ssm:ListInstanceAssociations`
+ `ssm:PutCalendar`
+ `ssm:PutConfigurePackageResult`
+ `ssm:RegisterManagedInstance`
+ `ssm:RequestManagedInstanceRoleToken`
+ `ssm:UpdateInstanceAssociationStatus`
+ `ssm:UpdateInstanceInformation`
+ `ssm:UpdateManagedInstancePublicKey`

이 주제의 나머지 부분에서 설명하는 대로, AWS Systems Manager에서 사용하는 특별한 작업입니다.

## 에이전트 관련 API 작업(`ssmmessages`및 `ec2messages` 엔드포인트)
<a name="message-services"></a>

**ssmmessages API 작업**  
Systems Manager는 `ssmmessages` 엔드포인트를 사용하여 다음 유형의 API 작업을 수행합니다.
+ Systems Manager Agent(SSM Agent)가 클라우드에서 수행하는 Systems Manager 서비스 작업입니다.
+ SSM Agent가 클라우드에서 수행하는 AWS Systems Manager의 도구인 Session Manager 작업입니다. 이 엔드포인트는 클라우드의 Session Manager 서비스를 사용하여 세션 채널을 생성하고 삭제하는 데 필요합니다. 또한 연결이 허용되는 경우 Amazon Message Gateway Service를 통해 `Command` 문서가 SSM Agent에 수신됩니다. 연결이 허용되지 않는 경우 Amazon Message Delivery Service를 통해 `Command` 문서가 SSM Agent에 수신됩니다. 자세한 내용은 [Actions, resources, and condition keys for Amazon Message Gateway Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmessagegatewayservice.html) 섹션을 참조하세요.
**참고**  
IAM 인스턴스 프로파일 또는 IAM 서비스 역할에 연결된 정책에서 `ssmmessages:OpenControlChannel` 권한이 제거되면 관리형 노드의 SSM Agent와 클라우드의 Systems Manager 서비스의 연결이 끊어집니다. 그러나 권한이 제거된 후 연결이 종료되기까지 최대 1시간이 걸릴 수 있습니다. 이 동작은 IAM 인스턴스 역할 또는 IAM 서비스 역할이 삭제될 때와 동일합니다.  
`ssmmessages:OpenControlChannel` 권한은 EC2 인스턴스를 위한 [IAM 인스턴스 프로파일을 생성](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-permissions.html#instance-profile-add-permissions)하고 비EC2 인스턴스를 위한 [IAM 서비스 역할을 생성](https://docs.aws.amazon.com/systems-manager/latest/userguide/hybrid-multicloud-service-role.html)하기 위한 지침에 사용되는 관리형 정책 [AmazonSSMManagedInstanceCore](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html)에 포함되어 있습니다.
+ Run Command의 작업.

**ec2messages API 작업**  
`ec2messages:*` API 작업은 Amazon Message Delivery Service 엔드포인트를 수행합니다. Systems Manager는 이 Systems Manager Agent(SSM Agent)에서 API 작업용 엔드포인트를 클라우드의 Systems Manager 서비스로 사용합니다.

**중요**  
`ec2messages:*` API 작업은 2024년 이전에 릴리스된 AWS 리전에서만 지원됩니다. 2024년 이후 출시된 리전에서는 `ssmmessages:*` API 작업만 지원됩니다.

**엔드포인트 연결 우선순위**  
SSM Agent 버전 3.3.40.0부터 Systems Manager는 가능한 경우 `ec2messages:*` 엔드포인트(Amazon Message Delivery Service) 대신 `ssmmessages:*` 엔드포인트(Amazon Message Gateway Service)를 사용하기 시작했습니다.

AWS Identity and Access Management (IAM) 권한 정책에서 `ssmmessages:*`에 대한 액세스를 제공하는 경우, IAM 인스턴스 프로파일이 두 엔드포인트를 모두 허용하도록 구성되어 있더라도 SSM Agent가 `ssmmessages:*` 엔드포인트에 연결됩니다. 여기에는 사용자가 직접 생성한 [IAM 인스턴스 프로파일](setup-instance-permissions.md#instance-profile-add-permissions)과 [IAM 서비스 역할](hybrid-multicloud-service-role.md), 그리고 [Quick Setup 호스트 관리 구성](quick-setup-host-management.md) 및 [기본 호스트 관리 구성](quick-setup-default-host-management-configuration.md)으로 생성한 IAM 인스턴스 프로파일에 대한 정책이 포함됩니다.

두 엔드포인트에 대한 권한을 부여하고, 예를 들어 CloudWatch 지표를 사용하여 API 작업을 모니터링하는 경우 `ec2messages:*`에 대한 호출이 표시되지 않습니다.

2024년 이전에 출시된 AWS 리전의 경우: 현재 정책에서 `ec2messages:*` 권한을 안전하게 제거할 수 있습니다.

**엔드포인트 연결 장애 조치**  
2024년 이전에 출시된 AWS 리전의 경우에만: 에이전트를 시작할 때 IAM 인스턴스 프로파일에서 `ssmmessages:*`에 대한 권한을 제공하지 않고 `ec2messages:*`만 제공하는 경우 SSM Agent에서는 `ec2messages:*` 엔드포인트에 연결합니다. SSM Agent 시작 시점에 `ssmmessages:*` 및 `ec2messages:*` 둘 다 있지만 에이전트가 시작된 후에 `ssmmessages:*`가 제거될 경우, SSM Agent는 곧 연결이 `ec2messages:*` 엔드포인트로 전환됩니다. 2024년 이후에 출시된 리전의 경우 `ssmmessages:*` 엔드포인트만 지원됩니다.

`ssmmessages` 및 `ec2messages:*` 엔드포인트에 대한 자세한 내용은 *AWS 서비스 권한 부여 참조*에서 다음 주제를 참조하세요.
+ [Amazon Message Gateway Service에 사용되는 작업, 리소스 및 조건 키](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmessagegatewayservice.html)(`ssmmessages`).
+ [Amazon Message Delivery Service에 사용되는 작업, 리소스 및 조건 키](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmessagedeliveryservice.html)(`ec2messages:*`)

## `ssm:*` 네임스페이스 인스턴스 관련 API 작업
<a name="instance-api-ops"></a>

`DescribeDocumentParameters`  
Systems Manager는 이 API 작업을 실행하여 Amazon EC2 콘솔에서 특정 노드를 렌더링합니다. `DescribeDocumentParameters` 작업의 결과가 문서 노드에 표시됩니다.

`DescribeInstanceProperties`  
Systems Manager는 이 API 작업을 실행하여 Amazon EC2 콘솔에서 특정 노드를 렌더링합니다. `DescribeInstanceProperties` 작업의 결과가 Fleet Manager 노드에 표시됩니다.

`GetCalendar`  
Systems Manager는 이 API 작업을 실행하여 Change Calendar 콘솔에서 Change Calendar 유형 문서를 렌더링합니다.

`GetManifest`  
SSM Agent에서는 이 API 작업을 실행하여 [AWS Systems Manager Distributor](distributor.md) 패키지의 지정된 버전 설치 또는 업데이트에 대한 시스템 요구 사항을 결정합니다. 이는 레거시 API 작업이며 2017년 이후에 시작된 AWS 리전에서는 사용할 수 없습니다.

`ListInstanceAssociations`  
SSM Agent에서는 이 API를 실행하여 새 State Manager 연결이 사용 가능한지 확인합니다. 이 API 작업은 State Manager 작동에 필요합니다.

`PutCalendar`  
Systems Manager는 이 API 작업을 실행하여 Change Calendar 콘솔에서 Change Calendar 유형 문서를 업데이트합니다.

`PutConfigurePackageResult`  
SSM Agent에서는 이 API 작업을 실행하여 퍼블릭 배포자 패키지의 설치 오류 및 지연 지표를 패키지 소유자의 계정에 게시합니다.

`RegisterManagedInstance`  
SSM Agent에서는 다음 시나리오에서 이 API 작업을 실행합니다.  
+ Systems Manager에서 활성화 코드 및 ID를 사용하여 온프레미스 서버 또는 가상 머신(VM)을 관리형 인스턴스로 등록하는 경우.
+ AWS IoT Greengrass Version 2 자격 증명을 등록하는 경우.
이 작업은 SSM Agent 버전 3.1.x 이상을 실행하는 Amazon EC2 인스턴스에서도 호출됩니다.

`RequestManagedInstanceRoleToken`  
SSM Agent에서는 이 API 작업을 실행하여 관리 노드에 액세스하기 위한 임시 자격 증명을 검색합니다.

`UpdateInstanceAssociationStatus`  
SSM Agent에서는 이 API 작업을 실행하여 연결을 업데이트합니다. 이 API 작업은 AWS Systems Manager의 도구인 State Manager 작동에 필요합니다.

`UpdateInstanceInformation`  
SSM Agent에서는 5분마다 클라우드의 Systems Manager 서비스를 호출하여 하트비트 정보를 제공합니다. 이 호출은 에이전트가 예상한 대로 작동하고 있음을 해당 서비스에서 알도록 에이전트와 함께 하트비트를 유지 관리하는 데 필요합니다.

`UpdateManagedInstancePublicKey`  
 SSM Agent에서는 이 API 작업을 실행하여 관리형 노드에서 키 쌍을 교체한 후 퍼블릭 키를 제공합니다. 퍼블릭 키는 프라이빗 키로 서명된 요청을 인증하여 Systems Manager에서 임시 자격 증명을 가져오는 데 사용됩니다.

## ssm:\* 네임스페이스 기타 API 작업
<a name="systems-manager-namespace-other-API-operations"></a>

`ExecuteApi`  
OpsCenter에서 OpsItems를 관리하는 Systems Manager의 위임된 관리자에는 여러 AWS 계정에서 OpsItems에 대한 관련 리소스 세부 정보를 볼 수 있도록 이 API 작업에 대한 액세스 권한이 필요합니다. 특히 이 API는 위임된 관리자에게 AWS Management Console에서 OpsItem 세부 정보(OpsItem 설명, 태그, CloudFormation 템플릿, AWS Config 변경 사항, CloudWatch Logs 경보 및 AWS CloudTrail 이벤트)를 볼 수 있는 권한을 부여합니다. 여러 계정에서 OpsItems에 대한 작업을 수행하는 방법에 대한 자세한 내용은 [(선택 사항) 여러 계정에서 OpsItems를 중앙 집중식으로 관리하도록 OpsCenter를 수동으로 설정](OpsCenter-getting-started-multiple-accounts.md) 섹션을 참조하세요. OpsItems에 대한 관련 리소스 세부 정보에 대한 자세한 내용은 [OpsItem에 관련 리소스 추가](OpsCenter-working-with-OpsItems-adding-related-resources.md) 섹션을 참조하세요.