내 인스턴스가 Systems Manager 규정 준수 대시보드에서 비준수로 표시되는 이유는 무엇입니까?

간략한 설명

Systems Manager 규정 준수 기능은 관리형 인스턴스 플릿에 대한 규정 준수 데이터를 제공합니다. 관리형 인스턴스의 규정 준수 상태는 다음 요소에 따라 규정 준수 또는 비준수로 결정됩니다.

• 패치 관리자 패치 작업의 상태
• 상태 관리자 연결의 상태
• 해당하는 경우, 사용자 지정 규정 준수 항목의 상태

인스턴스의 규정 준수 상태를 확인하기 위해 구성 규정 준수 보고서를 확인할 수 있습니다. 규정 준수 보고서를 검토할 때 각 비준수 인스턴스에 대한 규정 준수 유형을 식별합니다.

• 규정 준수 유형 패치는 패치 관리자 패치 작업으로 인해 인스턴스가 비준수임을 나타냅니다.
• 규정 준수 유형 연결은 상태 관리자 연결로 인해 인스턴스가 비준수임을 나타냅니다.

참고: Systems Manager 규정 준수가 규정 준수 데이터 보고를 시작하려면 먼저 규정 준수를 시작하기 위한 사전 요구 사항이 충족되어야 합니다.

​해결 방법

패치 관리자 패치 작업의 상태에 따른 비준수

다음과 같은 이유로 인해 패치 관리자 패치 작업을 기준으로 인스턴스가 비준수로 표시될 수 있습니다.

AWS-RunPatchBaseline 문서가 인스턴스에서 실행되지 않았음

인스턴스 패치 기준 문서 설정에 따라 패치가 승인된 후 설치 작업을 사용하는 AWS-RunPatchBaseline 문서가 인스턴스에서 실행되지 않았습니다. 다음 단계에 따라 문제를 해결하세요.

1. 구성 규정 준수 보고서를 봅니다. 패치 탭을 선택한 다음 패치 요약을 검토합니다. 필요한 업데이트가 0이 아닌 경우 승인된 패치가 하나 이상 설치되어 있어야 하므로 인스턴스가 호환되지 않습니다.
2. 설치해야 하는 패치를 확인하려면 아래로 스크롤하여 검색 창을 선택한 다음 상태가 누락으로 설정된 패치를 찾습니다.
   참고: 관리형 인스턴스의 각 패치에는 규정 준수 상태 값이 할당됩니다. 값은 해당 인스턴스의 규정 준수 상태를 결정합니다.
3. 비준수 인스턴스에서 설치 작업을 사용하여 AWS-RunPatchBaseline 문서를 실행합니다. 패치 관리자 콘솔에서 지금 패치 옵션을 사용하여 패치 작업을 시작할 수 있습니다. 또는Run 명령을 사용하거나 유지 관리 기간의 일부로 AWS-RunPatchBaseline 문서를 실행할 수 있습니다.

AWS-RunPatchBaseline 문서가 실행되었지만 승인된 패치 일부를 설치하지 못함

인스턴스에서 설치 작업을 사용하는 AWS-RunPatchBaseline 문서가 실행되었습니다. 그러나 승인된 패치 일부는 인스턴스와 관련된 이유로 인해 인스턴스에 설치하지 못했습니다. 인스턴스별 문제를 식별하려면 다음 단계를 수행하세요.

1. 구성 규정 준수 보고서를 봅니다. 패치 탭을 선택하고 아래로 스크롤하여 검색 창을 선택한 다음 상태가 실패로 설정된 패치를 찾습니다.
2. 실패한 패치를 기록한 다음 SSH 또는 세션 관리자를 사용하여 인스턴스에 로그인합니다.
3. 인스턴스의 SSM 에이전트 로그와 특정 작업 로그를 검토하여 인스턴스별 문제를 식별합니다.
   Linux 기반 인스턴스:
   /var/log/amazon/ssm/amazon-ssm-agent.log
   /var/lib/amazon/ssm/InstanceID/document/orchestration/CommandID
   Windows 기반 인스턴스:
   %PROGRAMDATA%\Amazon\SSM\Logs\amazon-ssm-agent.log
   %PROGRAMDATA%\Amazon\PatchBaselineOperations
   참고: Install-PatchBaselineOperation-date라는 로그 파일을 찾습니다.

참고: 패치 관리자는 패치를 제공하지 않습니다. 대신, 패치 관리자는 인스턴스에 업데이트를 설치하기 위해 각 운영 체제(OS)에 대해 적절한 기본 제공 메커니즘을 사용하여 패치 작업을 오케스트레이션합니다. 예를 들어 패치 관리자는 Windows 업데이트를 사용하여 Microsoft Windows를 실행하는 인스턴스에 패치를 설치합니다. 마찬가지로 패치 관리자는 Amazon Linux 2를 실행하는 인스턴스에 대해 yum을 사용합니다.

AWS-RunPatchBaseline 문서가 실행되었지만 RebootOption 파라미터가 NoReboot로 설정되어 있음

설치 작업을 사용하는 AWS-RunPatchBaseline 문서가 인스턴스에서 실행되었으며 승인된 모든 패치가 성공적으로 설치되었습니다. 그러나 AWS-RunPatchBaseline 문서의 RebootOption 파라미터는 NoReboot로 설정됩니다. 다음 단계에 따라 문제를 해결하세요.

1. 구성 규정 준수 보고서를 봅니다. 패치 탭을 선택하고 아래로 스크롤하여 검색 창을 선택한 다음 상태가 InstalledPendingReboot로 설정된 패치를 찾습니다.
   참고: InstalledPendingReboot 상태는 인스턴스를 재부팅하고 스캔할 때까지 인스턴스를 비준수 상태로 유지합니다.
2. 인스턴스를 재부팅합니다.
3. 인스턴스를 스캔하고 해당 인스턴스가 Systems Manager 규정 준수 대시보드에서 준수로 나타나는지 확인합니다.

AWS-RunPatchBaseline 문서가 실행되었지만 거부된 패치 일부가 인스턴스에 있음

설치 작업을 사용하는 AWS-RunPatchBaseline 문서가 인스턴스에서 실행되었으며 승인된 모든 패치가 성공적으로 설치되었습니다. 그러나 거부된 패치 일부도 인스턴스에 있었습니다. 다음 단계에 따라 문제를 해결하세요.

1. 구성 규정 준수 보고서를 봅니다. 나중에 사용할 수 있도록 비준수 연결 유형에 해당하는 연결 ID를 기록해 둡니다.
2. 패치 탭을 선택하고 아래로 스크롤하여 검색 창을 선택한 다음 상태가 InstallEjected로 설정된 패치를 찾습니다.
   참고: InstallEjected 상태는 거부된 패치 목록에 패치가 추가되기 전에 패치가 설치되었음을 나타냅니다.
3. 거부된 패치를 기록해 둔 다음, SSH 또는 세션 관리자를 사용하여 인스턴스에 로그인합니다.
4. 거부된 패치를 모두 제거합니다.

상태 관리자 연결 상태를 기준으로 한 비준수

Systems Manager 상태 관리자 연결이 만들어지면 인스턴스에 대한 구성 상태가 정의됩니다. 해당 상태가 유지되지 않으면 Systems Manager 규정 준수 대시보드에서 인스턴스를 비준수로 보고합니다. 다음 단계에 따라 문제를 해결하세요.

1. 구성 규정 준수 보고서를 봅니다. 나중에 사용할 수 있도록 비준수 연결 유형에 해당하는 연결 ID를 기록해 둡니다.
2. Systems Manager 콘솔에서 연결 기록을 봅니다.
3. 출력을 검토하여 실패한 연결에 대한 이유를 파악합니다. 자세한 내용은 실패했거나 대기 중인 상태로 멈춘 상태 관리자 연결 문제를 해결하려면 어떻게 해야 합니까?를 참조하세요.

AWS-GatherSoftwareInventory 문서 문제

AWS-GatherSoftwareInventory 문서 실행 문제로 인해 인스턴스가 규정을 준수하지 않는 경우 Systems Manager 인벤토리와 관련된 일반적인 문제를 해결하세요.

---