• 2026 年 4 月 30 日之後將不再提供 AWS Systems Manager CloudWatch Dashboard。客戶可以繼續使用 Amazon CloudWatch 主控台來檢視、建立和管理其 Amazon CloudWatch 儀表板,就像現在一樣。如需詳細資訊,請參閱 [Amazon CloudWatch Dashboard 文件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 參考:ec2messages、ssmmessages 和其他 API 操作
如果您監控 API 操作,則可能會看到對下列操作的呼叫:
+ `ec2messages:AcknowledgeMessage`
+ `ec2messages:DeleteMessage`
+ `ec2messages:FailMessage`
+ `ec2messages:GetEndpoint`
+ `ec2messages:GetMessages`
+ `ec2messages:SendReply`
+ `ssmmessages:CreateControlChannel`
+ `ssmmessages:CreateDataChannel`
+ `ssmmessages:OpenControlChannel`
+ `ssmmessages:OpenDataChannel`
+ `ssm:DescribeDocumentParameters`
+ `ssm:DescribeInstanceProperties`
+ `ssm:GetCalendar`
+ `ssm:GetManifest`
+ `ssm:ListInstanceAssociations`
+ `ssm:PutCalendar`
+ `ssm:PutConfigurePackageResult`
+ `ssm:RegisterManagedInstance`
+ `ssm:RequestManagedInstanceRoleToken`
+ `ssm:UpdateInstanceAssociationStatus`
+ `ssm:UpdateInstanceInformation`
+ `ssm:UpdateManagedInstancePublicKey`
這些是 使用的特殊操作 AWS Systems Manager,如本主題的其餘部分所述。
## 代理程式相關的 API 操作 (`ssmmessages` 和 `ec2messages` 端點)
**ssmmessages API 操作**
Systems Manager 會將 `ssmmessages` 端點用於下列 API 操作類型:
+ 從 Systems Manager Agent (SSM Agent) 至雲端中的 Systems Manager 服務的操作。
+ 在雲端中 AWS Systems Manager從 SSM Agent到 的操作Session Manager,這是 中的工具。必須使用這個端點建立和刪除連往雲端 Session Manager 服務的工作階段管道。此外,如果允許連線,則 SSM Agent 會透過此 Amazon Message Gateway Service 接收 `Command` 文件。如果不允許連線,則 SSM Agent 會透過 Amazon Message Delivery Service 接收 `Command` 文件。如需詳細資訊,請參閱[適用於 Amazon Message Gateway Service 的動作、資源和條件鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmessagegatewayservice.html)。
**注意**
如果從連接至 IAM 執行個體描述檔或 IAM 服務角色的政策中移除`ssmmessages:OpenControlChannel`許可,SSM Agent則受管節點上的 會失去與雲端中 Systems Manager 服務的連線。不過,在移除許可後,最多可能需要 1 小時才能終止連線。這與刪除 IAM 執行個體角色或 IAM 服務角色時的行為相同。
請注意, `ssmmessages:OpenControlChannel`許可包含在 受管政策 [AmazonSSMManagedInstanceCore](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html) 中,該政策用於為 EC2 [執行個體建立 IAM 執行個體描述](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-permissions.html#instance-profile-add-permissions)檔以及為non-EC2 執行個體[建立 IAM 服務角色](https://docs.aws.amazon.com/systems-manager/latest/userguide/hybrid-multicloud-service-role.html)的指示。
+ 來自 Run Command 的操作。
**ec2messages API 操作**
`ec2messages:*` API 操作會對 Amazon Message Delivery Service 端點執行。Systems Manager 使用此端點用於從 Systems Manager Agent (SSM Agent) 至雲端中的 Systems Manager 服務的 API 操作。
**重要**
只有在 2024 年之前推出的 AWS 區域 中才支援 `ec2messages:*` API 操作。在 2024 年及以後推出的區域中僅支援 `ssmmessages:*` API 操作。
**端點連線優先順序**
從 SSM Agent 3.3.40.0 版開始,Systems Manager 會在可用時開始使用 `ssmmessages:*` 端點 (Amazon Message Gateway Service),而不是 `ec2messages:*` 端點 (Amazon Message Delivery Service)。
如果您在 AWS Identity and Access Management (IAM) 許可政策`ssmmessages:*`中提供對 的存取權, SSM Agent會連線至`ssmmessages:*`端點,即使您的 IAM 執行個體描述檔設定為允許這兩個端點。這包括您自行建立的 [IAM 執行個體設定檔](setup-instance-permissions.md#instance-profile-add-permissions)和 [IAM 服務角色](hybrid-multicloud-service-role.md),以及[Quick Setup主機管理組態](quick-setup-host-management.md)和[預設主機管理組態](quick-setup-default-host-management-configuration.md)建立的 IAM 執行個體設定檔的政策。
如果您已提供兩個端點的許可,且使用 CloudWatch Metrics 監控 API 操作,則不會看到對 `ec2messages:*` 的呼叫。
對於 2024 年之前 AWS 區域 啟動的 :此時您可以安全地從政策中移除`ec2messages:*`許可。
**端點連線容錯移轉**
僅適用於 2024 年之前 AWS 區域 啟動的 :如果您的 IAM 執行個體描述檔`ssmmessages:*`在代理程式啟動時未提供 的許可,但只有 `ec2messages:*`, SSM Agent會連線至`ec2messages:*`端點。如果您在 SSM Agent 啟動時擁有 `ssmmessages:*` 和 `ec2messages:*` 兩者,但在代理程式啟動後移除 `ssmmessages:*`,則 SSM Agent 很快就會將連線切換到 `ec2messages:*` 端點。對於 2024 年及以後推出的區域,僅支援 `ssmmessages:*` 端點。
如需有關 `ssmmessages` 和 `ec2messages:*` 端點的詳細資訊,請參閱《AWS 服務授權參考》**中的下列主題:
+ [Actions, resources, and condition keys for Amazon Message Gateway Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmessagegatewayservice.html) (`ssmmessages`)
+ [Actions, resources, and condition keys for Amazon Message Delivery Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmessagedeliveryservice.html) (`ec2messages:*`)
## `ssm:*` 命名空間執行個體相關的 API 操作
`DescribeDocumentParameters`
Systems Manager 會執行此 API 操作,在 Amazon EC2 主控台中轉譯特定的節點。`DescribeDocumentParameters` 操作的結果會顯示在文件節點中。
`DescribeInstanceProperties`
Systems Manager 會執行這些 API 操作,在 Amazon EC2 主控台中轉譯特定的節點。`DescribeInstanceProperties` 操作的結果會顯示在 Fleet Manager 節點中。
`GetCalendar`
Systems Manager 會執行此 API 操作,在 Change Calendar 主控台中轉譯 Change Calendar 類型文件。
`GetManifest`
SSM Agent 會執行此 API 操作,判斷安裝或更新 [AWS Systems Manager Distributor](distributor.md) 套件指定版本的系統要求。這是舊版 API 操作,不適用於 2017 年之後 AWS 區域 推出的 。
`ListInstanceAssociations`
SSM Agent 會執行此 API 操作,確認是否有新的 State Manager 關聯可用。State Manager 需要有這個 API 操作才能運作。
`PutCalendar`
Systems Manager 會執行此 API 操作,在 Change Calendar 主控台中更新 Change Calendar 類型文件。
`PutConfigurePackageResult`
SSM Agent 會執行此 API 操作,將 Distributor 公開套件的安裝錯誤和延遲指標發布到套件擁有者的帳戶。
`RegisterManagedInstance`
SSM Agent 針對下列案例執行此 API 操作:
+ 使用啟用代碼和 ID,向 Systems Manager 註冊內部部署伺服器或虛擬機器 (VM) 作為受管執行個體。
+ 註冊 AWS IoT Greengrass Version 2 登入資料。
執行 SSM Agent 3.1.x 版或更新版本的 Amazon EC2 執行個體也會呼叫此操作。
`RequestManagedInstanceRoleToken`
SSM Agent 會執行此 API 操作來擷取可存取受管節點的臨時憑證。
`UpdateInstanceAssociationStatus`
SSM Agent 會執行此 API 操作來更新關聯。State Manager中的工具 需要此 API 操作 AWS Systems Manager才能運作。
`UpdateInstanceInformation`
SSM Agent 會每 5 分鐘呼叫雲端中的 Systems Manager 服務,提供活動訊號資訊。必須要有此呼叫維持與代理程式的活動訊號,讓服務知道代理程式運作正常。
`UpdateManagedInstancePublicKey`
在受管節點上輪換金鑰對後,SSM Agent 會執行此 API 操作來提供公有金鑰。公有金鑰會用於驗證使用私有金鑰簽署的請求,以便從 Systems Manager 取得臨時憑證。
## ssm:\* 命名空間其他 API 操作
`ExecuteApi`
在 OpsCenter 中管理 OpsItems 的 Systems Manager 委派管理員需要存取此 API 動作,以便他們可以檢視多個 AWS 帳戶之間 OpsItems 的相關資源詳細資訊。具體而言,此 API 提供委派管理員在 中檢視下列OpsItem詳細資訊的許可 AWS 管理主控台:OpsItem描述、標籤、 CloudFormation 範本、 AWS Config 變更、CloudWatch Logs 警示和 AWS CloudTrail 事件。如需有關跨帳戶使用 OpsItems 的詳細資訊,請參閱 [(選用) 手動設定 OpsCenter 以跨帳戶集中管理 OpsItems](OpsCenter-getting-started-multiple-accounts.md)。如需有關 OpsItems 相關資源的詳細資訊,請參閱[將相關的資源新增至 OpsItem](OpsCenter-working-with-OpsItems-adding-related-resources.md)。