

• O AWS Systems Manager CloudWatch Dashboard não estará mais disponível a partir de 30 de abril de 2026. Os clientes podem continuar usando o console do Amazon CloudWatch para visualizar, criar e gerenciar os painéis do Amazon CloudWatch exatamente como fazem hoje. Para obter mais informações, consulte a [documentação do Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

# Referência: ec2messages, ssmmessages e outras operações da API
<a name="systems-manager-setting-up-messageAPIs"></a>

Se você monitorar operações de API, poderá ver chamadas para as seguintes operações:
+ `ec2messages:AcknowledgeMessage`
+ `ec2messages:DeleteMessage`
+ `ec2messages:FailMessage`
+ `ec2messages:GetEndpoint`
+ `ec2messages:GetMessages`
+ `ec2messages:SendReply`
+ `ssmmessages:CreateControlChannel`
+ `ssmmessages:CreateDataChannel`
+ `ssmmessages:OpenControlChannel`
+ `ssmmessages:OpenDataChannel`
+ `ssm:DescribeDocumentParameters`
+ `ssm:DescribeInstanceProperties`
+ `ssm:GetCalendar`
+ `ssm:GetManifest`
+ `ssm:ListInstanceAssociations`
+ `ssm:PutCalendar`
+ `ssm:PutConfigurePackageResult`
+ `ssm:RegisterManagedInstance`
+ `ssm:RequestManagedInstanceRoleToken`
+ `ssm:UpdateInstanceAssociationStatus`
+ `ssm:UpdateInstanceInformation`
+ `ssm:UpdateManagedInstancePublicKey`

Essas são operações especiais usadas pelo AWS Systems Manager, conforme descrito no restante deste tópico.

## Operações de API relacionadas a atendentes (endpoints `ssmmessages` e `ec2messages`)
<a name="message-services"></a>

**Operações de API ssmmessages**  
O Systems Manager usa o endpoint `ssmmessages` para estes tipos de operações de API:
+ Operações do Systems Manager Agent (SSM Agent) para o serviço do Systems Manager na nuvem.
+ Operações do SSM Agent para o Session Manager, uma ferramenta do AWS Systems Manager, na nuvem. Esse endpoint é necessário para criar e excluir canais de sessão com o serviço Session Manager na nuvem. Além disso, se a conectividade for permitida, o SSM Agent receberá documentos do `Command` por meio deste Amazon Message Gateway Service. Se a conectividade não for permitida, o SSM Agent receberá documentos do `Command` via Amazon Message Delivery Service. Para obter mais informações, consulte [Ações, recursos e chaves de condição do Amazon Message Gateway Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmessagegatewayservice.html).
**nota**  
Se a permissão `ssmmessages:OpenControlChannel` for removida das políticas anexadas ao seu perfil de instância do IAM ou perfil de serviço do IAM, o SSM Agent no nó gerenciado perderá a conectividade com o serviço Systems Manager na nuvem. No entanto, pode levar até 1 hora para uma conexão ser encerrada após a remoção da permissão. Esse é o mesmo comportamento de quando a função da instância do IAM ou o perfil de serviço do IAM é excluído.  
Observe que a permissão `ssmmessages:OpenControlChannel` está incluída na política gerenciada [AmazonSSMManagedInstanceCore](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html), que é usada nas instruções para [criar um perfil de instância do IAM](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-permissions.html#instance-profile-add-permissions) para instâncias do EC2 e para [criar um perfil de serviço do IAM](https://docs.aws.amazon.com/systems-manager/latest/userguide/hybrid-multicloud-service-role.html) para instâncias não EC2.
+ Operações de Run Command.

**Operações da API ec2messages**  
As operações de API `ec2messages:*` são feitas para o endpoint do Amazon Message Delivery Service. O Systems Manager usa esse endpoint para fazer operações de API do Systems Manager Agent (SSM Agent) para o serviço Systems Manager na nuvem.

**Importante**  
As operações da API do `ec2messages:*` são aceitas somente nas Regiões da AWS lançadas antes de 2024. Nas regiões lançadas em 2024 e posteriormente, somente as operações da API do `ssmmessages:*` são aceitas.

**Precedência de conexão do endpoint**  
A partir da versão 3.3.40.0 do SSM Agent, o Systems Manager começou a usar o endpoint `ssmmessages:*` (Amazon Message Gateway Service) sempre que disponível, em vez do endpoint `ec2messages:*` (Amazon Message Delivery Service).

Se você fornecer acesso a `ssmmessages:*` em suas políticas de permissão do AWS Identity and Access Management (IAM), o SSM Agent se conectará ao endpoint `ssmmessages:*`, mesmo que seu perfil de instância do IAM esteja configurado para permitir os dois endpoints. Isso inclui políticas para [perfis de instância do IAM](setup-instance-permissions.md#instance-profile-add-permissions) e [perfis de serviço do IAM](hybrid-multicloud-service-role.md) que você mesmo criou e para perfis de instância do IAM criados pela [Configuração de gerenciamento de hosts de Quick Setup](quick-setup-host-management.md) e pela [configuração padrão de gerenciamento de hosts](quick-setup-default-host-management-configuration.md).

Se você tiver fornecido permissões para ambos os endpoints e monitorado as operações de API usando, por exemplo, o CloudWatch Metrics, você não verá nenhuma chamada para. `ec2messages:*`

Para Regiões da AWS lançadas antes de 2024: é possível remover as permissões de `ec2messages:*` com segurança das suas políticas.

**Failover de conexão do endpoint**  
Somente para Regiões da AWS lançadas antes de 2024: se seu perfil de instância do IAM não fornecer permissões para `ssmmessages:*` no momento que o atendente for iniciado, mas apenas `ec2messages:*`, o SSM Agent se conectará ao endpoint `ec2messages:*`. Se você tiver `ssmmessages:*` e `ec2messages:*` ao mesmo tempo no no momento que SSM Agent iniciar, mas remover `ssmmessages:*` após a inicialização do atendente, o SSM Agent logo transferirá a conexão para o endpoint `ec2messages:*`. Para regiões lançadas em 2024 e posteriormente, somente o endpoint `ssmmessages:*` é aceito.

Para obter mais informações sobre os endpoints `ssmmessages` e `ec2messages:*`, consulte os seguintes tópicos na *Referência de autorização de serviço da AWS*.
+ [Ações, recursos e chaves de condição para o Amazon Message Gateway Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmessagegatewayservice.html) (`ssmmessages`).
+ [Ações, recursos e chaves de condição para o Amazon Message Delivery Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmessagedeliveryservice.html) (`ec2messages:*`)

## Operações de API relacionadas à instância do namespace `ssm:*`
<a name="instance-api-ops"></a>

`DescribeDocumentParameters`  
O Systems Manager executa essa operação da API para renderizar nós específicos no console do Amazon EC2. Os resultados da operação `DescribeDocumentParameters` são exibidos em seu nó Documentos.

`DescribeInstanceProperties`  
O Systems Manager executa essa operação da API para renderizar nós específicos no console do Amazon EC2. Os resultados da operação `DescribeInstanceProperties` são exibidos em seu nó Fleet Manager.

`GetCalendar`  
O Systems Manager executa essa operação da API para renderizar documentos do tipo Change Calendar no console do Change Calendar.

`GetManifest`  
O SSM Agent executa essa operação da API para determinar os requisitos do sistema para instalar ou atualizar uma versão específica de um pacote [AWS Systems Manager Distributor](distributor.md). Essa é uma operação de API herdada e não está disponível nas Regiões da AWS iniciadas após 2017. 

`ListInstanceAssociations`  
O SSM Agent executa essa operação da API para ver se uma nova associação do State Manager está disponível. Essa operação de API é essencial para o State Manager funcionar.

`PutCalendar`  
O Systems Manager executa essa operação da API para atualizar documentos do tipo Change Calendar no console do Change Calendar.

`PutConfigurePackageResult`  
O SSM Agent executa essa operação da API para publicar métricas de erro de instalação e latência de pacotes públicos do Distributor na conta do proprietário do pacote.

`RegisterManagedInstance`  
O SSM Agent executa essa operação de API para os seguintes cenários:  
+ Para registrar um servidor on-premises ou máquina virtual (VM) com o Systems Manager como uma instância gerenciada usando um código de ativação e um ID.
+ Para registrar as credenciais do AWS IoT Greengrass Version 2. 
Essa operação também é chamada por instâncias do Amazon EC2 que executam a versão 3.1.x ou posterior do SSM Agent.

`RequestManagedInstanceRoleToken`  
O SSM Agent executa essa operação da API para recuperar credenciais temporárias para acessar o nó gerenciado.

`UpdateInstanceAssociationStatus`  
SSM Agent: o atendente executa essa operação de API para atualizar uma associação. Essa operação de API é essencial para o State Manager, uma ferramenta do AWS Systems Manager, funcionar.

`UpdateInstanceInformation`  
O SSM Agent chama o serviço Systems Manager na nuvem a cada cinco minutos para fornecer informações sobre pulsação. Essa chamada é necessária para manter uma pulsação com o atendente, para que o serviço saiba que o atendente está funcionando conforme esperado. 

`UpdateManagedInstancePublicKey`  
 O SSM Agent executa essa operação da API para fornecer a chave pública depois de alternar o par de chaves no nó gerenciado. A chave pública é usada para autenticar as solicitações, assinadas com a chave privada, para obter credenciais temporárias do Systems Manager.

## ssm:\* namespace outras operações de API
<a name="systems-manager-namespace-other-API-operations"></a>

`ExecuteApi`  
Os administradores delegados do Systems Manager que gerenciam OpsItems no OpsCenter exigem acesso a essa ação de API para que possam visualizar detalhes de recursos relacionados a OpsItems em várias Contas da AWS. Especificamente, essa API dá a um administrador delegado permissão para visualizar os seguintes detalhes de OpsItem no Console de gerenciamento da AWS: a descrição de OpsItem, tags, modelo do CloudFormation, alterações no AWS Config, alarmes do CloudWatch Logs e eventos do AWS CloudTrail. Para obter mais informações sobre como trabalhar com OpsItems entre contas diferentes, consulte [(Opcional) Configuração do OpsCenter para gerenciar OpsItems de forma centralizada entre contas](OpsCenter-getting-started-multiple-accounts.md). Para obter mais informações sobre detalhes de recursos relacionados para OpsItems, consulte [Adição de recursos relacionados para um OpsItem](OpsCenter-working-with-OpsItems-adding-related-resources.md).