参考:ec2messages、ssmmessages 和其他 API 操作 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

参考:ec2messages、ssmmessages 和其他 API 操作

如果您监控 API 操作,可能会看到以下调用:

  • ec2messages:AcknowledgeMessage

  • ec2messages:DeleteMessage

  • ec2messages:FailMessage

  • ec2messages:GetEndpoint

  • ec2messages:GetMessages

  • ec2messages:SendReply

  • ssmmessages:CreateControlChannel

  • ssmmessages:CreateDataChannel

  • ssmmessages:OpenControlChannel

  • ssmmessages:OpenDataChannel

  • ssm:DescribeInstanceProperties

  • ssm:DescribeDocumentParameters

  • ssm:ListInstanceAssociations

  • ssm:RegisterManagedInstance

  • ssm:UpdateInstanceAssociationStatus

  • ssm:UpdateInstanceInformation

  • ssm:GetManifest

  • ssm:PutConfigurePackageResult

这些是使用的特殊操作 Amazon Systems Manager。

与代理相关的 API 操作(ssmessages 和 ec2messages 端点)

ssmmessages API 操作

Systems Manager 使用ssmmessages端点进行以下两种类型的 API 操作:

  • 从SSM Agent到的操作Session Manager,即云端的 Amazon Systems Manager功能。使用云中的Session Manager服务创建和删除会话通道需要此终端节点。此外,如果允许连接,则通过它SSM Agent接收Command文档Amazon Message Gateway Service。如果不允许连接,则通过SSM Agent接收Command文档Amazon Message Delivery Service。有关更多信息,请参阅用于 Amazon Session Manager Message Gateway Service 的操作、资源和条件键

  • 从 Systems Manager 代理 (SSM Agent) 到云端的 Systems Manager 服务的操作。

ec2messages API 操作

对 Amazon Message Delivery Service 端点进行 ec2messages:* API 操作。Systems Manager 将此端点用于从 Systems Manager Agent (SSM Agent) 到云中 Systems Manager 服务的 API 操作。

端点连接优先级

从的 3.3.40.0 版本开始,Systems SSM Agent Manager 开始在可用时使用ssmmessages:*端点 (Amazon Message Gateway Service) 而不是端点 ()。ec2messages:* Amazon Message Delivery Service

如果您在 Amazon Identity and Access Management (IAM) 权限策略ssmmessages:*中提供访问权限,则即使您的 IAM 实例配置文件配置为允许两个ssmmessages:*终端节点,也会SSM Agent连接到终端节点。这包括您自己创建的 IAM 实例配置文件和 IAM 服务角色的策略,以及由Quick Setup主机管理配置和默认主机管理配置创建的 IAM 实例配置文件的策略。

如果您使用 CloudWatch 指标(例如,Metrics)为端点和监控 API 操作提供了权限,则不会看到对的调用ec2messages:*

但是,此时您可以放心地在策略中保留ec2messages:*权限。

端点连接故障转移

如果您的 IAM 实例配置文件ssmmessages:*在代理启动时未提供权限,而仅ec2messages:*提供SSM Agent连接到ec2messages:*终端节点的权限。如果您ec2messages:*在启动时同时拥有两者ssmmessages:*,但在代理SSM Agent启动ssmmessages:*后将其删除,则SSM Agent很快就会将连接切换到ec2messages:*端点。

有关ssmmessagesec2messages:*终端节点的更多信息,请参阅《Amazon 服务授权参考》中的以下主题。

与实例相关的 API 操作

UpdateInstanceInformation:SSM Agent 每 5 分钟调用一次云中的 Systems Manager 服务,以提供检测信号信息。需要此调用来保持代理的检测信号,以便服务了解代理按照预期工作。

UpdateInstanceAssociationStatus:代理运行此 API 操作以更新关联。此 API 操作是运行所必需State Manager的 Amazon Systems Manager,其功能为。

ListInstanceAssociations:代理运行此 API 操作以了解新的 State Manager 关联是否可用。State Manager 需要此 API 操作才能正常运行。

DescribeInstancePropertiesDescribeDocumentParameters:Systems Manager 运行这些 API 以在 Amazon EC2 控制台中呈现特定节点。DescribeInstanceProperties 操作的结果将显示在 Fleet Manager 节点中。DescribeDocumentParameters 操作的结果将显示在 Documents(文档)节点中。

RegisterManagedInstance:SSM Agent运行此 API 操作以使用激活码和 ID 向 Systems Manager 注册本地服务器或虚拟机 (VM) 作为托管实例,或者注册 Amazon IoT Greengrass Version 2 凭据。运行 SSM Agent 版本 3.1.x 或更高版本的 Amazon EC2 实例也会调用此操作。

与分发服务器相关的 API 操作

SSM Agent 运行 GetManifest 以确定安装或更新指定版本 Amazon Systems Manager Distributor 软件包的系统要求。这是一项传统的 API 操作,在 2017 年之后 Amazon Web Services 区域 推出的版本中不可用。

SSM Agent 运行 PutConfigurePackageResult 以将公共分发服务器软件包的安装错误和延迟指标发布到软件包所有者的账户。