AWS re:Post을(를) 사용하면 다음에 동의하게 됩니다. AWS re:Post 이용 약관
AWS re:Postre:Post

내 인스턴스가 Systems Manager 규정 준수 대시보드에 미준수로 표시되는 이유는 무엇인가요?

5분 분량
0

내 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스가 AWS Systems Manager 규정 준수 대시보드에 규정 미준수로 표시됩니다.

간략한 설명

Systems Manager 규정 준수 기능으로 관리형 인스턴스 플릿에 관한 규정 준수 데이터를 얻을 수 있습니다. 관리형 인스턴스의 규정 준수 상태는 다음 요인에 따라 규정 준수 또는 규정 미준수로 결정됩니다.

  • Patch Manager 패치 적용 상태
  • State Manager 연결 상태
  • 사용자 지정 규정 준수 항목의 상태(해당하는 경우)

구성 규정 준수 보고서 보기를 통해 인스턴스의 규정 준수 상태를 확인할 수 있습니다. 규정 준수 보고서를 검토할 때는 각 규정 미준수 인스턴스의 규정 준수 유형을 확인하세요.

  • 규정 준수 유형 패치는 Patch Manager 패치 적용으로 인해 인스턴스가 규정을 준수하지 않음을 나타냅니다.
  • 규정 준수 유형 연결은 State Manager 연결로 인해 인스턴스가 규정을 준수하지 않음을 나타냅니다.

참고: Systems Manager 규정 준수에서 규정 준수 데이터 보고를 시작하려면 먼저 규정 준수 전제 조건이 충족되어야 합니다.

인스턴스의 패치 준수 상태는 규정 준수를 지원하는 패치 문서가 실행될 때 업데이트됩니다. 다음 SSM 패치 문서를 통해 규정 준수 상태를 업데이트할 수 있습니다.

빠른 시작 또는 Patch Manager를 사용하여 패치를 구성할 수 있습니다.

해결 방법

Patch Manager 패치 상태에 따른 규정 미준수

인스턴스는 다음과 같은 이유로 Patch Manager 패치 적용에 따라 규정 미준수로 나타날 수 있습니다.

인스턴스에서 패치 문서가 실행되지 않음

인스턴스 패치 기준 문서 설정에 따라 패치가 승인된 후 설치 작업을 사용하는 패치 문서가 인스턴스에서 실행되지 않았습니다. 다음 단계에 따라 문제를 해결합니다.

  1. 구성 규정 준수 보고서를 확인합니다. 패치 탭을 선택한 다음 패치 요약을 검토합니다. 업데이트 필요0이 아닌 경우, 승인된 패치를 하나 이상 설치해야 하기 때문에 인스턴스가 규정을 준수하지 않다는 의미입니다.
  2. 설치해야 하는 패치를 확인하려면 아래로 스크롤하여 검색 창을 선택하고 상태가 누락으로 설정된 패치를 찾습니다.
    참고: 관리형 인스턴스의 각 패치에는 규정 준수 상태 값이 할당됩니다. 값은 해당 인스턴스의 규정 준수 상태에 따라 달라집니다.
  3. 규정 미준수 인스턴스에서 설치 작업을 사용하여 AWS-RunPatchBaseline 문서를 실행합니다. Patch Manager 콘솔에서 지금 패치 옵션을 사용하여 패치 적용 작업을 시작할 수 있습니다. 또는 실행 명령을 사용하거나 유지 관리 기간의 일부로 AWS-RunPatchBaseline 문서를 실행할 수 있습니다.

참고: 기본 AWS-RunPatchBaseline 설정은 패치가 릴리스된 날부터 7일 후 자동 승인을 설정합니다. Windows, macOS, Linux의 사용자 지정 패치 기준선을 생성할 수도 있습니다. 자세한 내용은 사용자 지정 패치 기준선 작업을 참고하세요.

패치 문서가 실행되었으나 승인된 일부 패치를 설치하지 못함

인스턴스에서 설치 작업을 사용하여 AWS-RunPatchBaseline 문서를 실행했습니다. 그러나 인스턴스 문제 때문에 승인된 패치 중 일부가 인스턴스에 설치되지 않았습니다. 인스턴스별 문제를 파악하려면 다음 단계를 따르세요.

  1. 구성 규정 준수 보고서를 확인합니다. 패치 탭을 선택하고 아래로 스크롤하여 검색 창을 선택한 다음, 상태가 실패로 설정된 패치를 찾습니다.
  2. 실패한 패치를 기록한 다음, SSH 또는 Session Manager를 사용하여 인스턴스에 로그인합니다.
  3. 인스턴스의 SSM Agent 로그와 특정 작업 로그를 검토하여 인스턴스별 문제를 파악합니다.
    Linux 기반 인스턴스:
    /var/log/amazon/ssm/amazon-ssm-agent.log
    /var/lib/amazon/ssm/InstanceID/document/orchestration/CommandID
    Windows 기반 인스턴스:
    %PROGRAMDATA%\Amazon\SSM\Logs\amazon-ssm-agent.log
    %PROGRAMDATA%\Amazon\PatchBaselineOperations
    참고: 이름이 Install-PatchBaselineOperation-date인 로그 파일을 찾으세요.

참고: Patch Manager에서는 패치를 제공하지 않습니다. 대신 각 운영 체제(OS)별 기본 제공 메커니즘을 사용하여 인스턴스에 업데이트를 설치하는 방식으로 패치를 조율합니다. 예를 들어 Windows 업데이트를 이용해 Microsoft Windows를 실행하는 인스턴스에 패치를 설치합니다. 이와 마찬가지로 Amazon Linux 2를 실행하는 인스턴스에는 yum을 사용합니다.

패치 문서가 실행되었지만 RebootOption 파라미터가 NoReboot로 설정됨

설치 작업을 사용하는 패치 문서가 인스턴스에서 실행되었고 승인된 모든 패치가 성공적으로 설치되었습니다. 그러나 AWS-RunPatchBaseline 문서의 RebootOption 파라미터가 NoReboot로 설정되었습니다. 다음 단계에 따라 문제를 해결합니다.

  1. 구성 규정 준수 보고서를 확인합니다. 패치 탭을 선택하고 아래로 스크롤하여 검색 창을 선택한 다음, 상태가 InstalledPendingReboot로 설정된 패치를 찾습니다.
    참고: InstalledPendingReboot 상태는 재부팅하고 스캔할 때까지 인스턴스를 규정 미준수 상태로 유지합니다.
  2. 인스턴스를 재부팅합니다.
  3. 인스턴스를 스캔하고 Systems Manager 규정 준수 대시보드에 해당 인스턴스가 규정 준수로 표시되는지 확인합니다.

패치 문서가 실행되었지만 일부 거부된 패치가 인스턴스에 존재함

설치 작업을 사용하는 패치 문서가 인스턴스에서 실행되었고 승인된 모든 패치가 성공적으로 설치되었습니다. 그러나 인스턴스에 일부 거부된 패치가 있습니다. 다음 단계에 따라 문제를 해결합니다.

  1. 구성 규정 준수 보고서를 확인합니다. 나중에 사용할 수 있도록 규정 미준수 연결 유형에 해당하는 연결 ID를 기록해 둡니다.
  2. 패치 탭을 선택하고 아래로 스크롤하여 검색 창을 선택한 다음, 상태가 InstalledRejected로 설정된 패치를 찾습니다.
    참고: InstalledRejected 상태는 패치가 거부된 패치 목록에 추가되기 전에 설치되었음을 나타냅니다.
  3. 거부된 패치를 기록한 다음, SSH 또는 Session Manager를 사용하여 인스턴스에 로그인합니다.
  4. 거부된 패치를 모두 제거합니다.

패치 문서가 실행되었지만 실패함

패치 문서가 인스턴스에서 시작되었지만 제대로 실행되지 않았습니다. 패치 프로세스가 인스턴스에서 제대로 실행되지 않으면 해당 인스턴스에 대한 규정 준수가 업데이트되지 않습니다.

자세한 내용은 Linux에서 AWS-RunPatchBaseline을 실행할 때 발생하는 오류Windows 서버에서 AWS-RunPatchBaseline을 실행할 때 발생하는 오류를 참고하세요.

State Manager 연결의 상태에 따른 규정 미준수

Systems Manager State Manager 연결이 생성되면 인스턴스의 구성 상태가 정의됩니다. 이 상태가 유지되지 않으면 Systems Manager 규정 준수 대시보드가 해당 인스턴스를 규정 미준수로 보고합니다. 다음 단계에 따라 문제를 해결합니다.

  1. 구성 규정 준수 보고서를 확인합니다. 나중에 사용할 수 있도록 규정 미준수 연결 유형에 해당하는 연결 ID를 기록해 둡니다.
  2. Systems Manager 콘솔에서 연결 기록을 확인합니다.
  3. 결과를 검토하여 연결 실패 원인을 파악합니다. 더 자세한 내용은 “실패” 또는 “대기 중” 상태로 굳어진 State Manager 연결 문제를 해결하려면 어떻게 해야 하나요?를 참고하세요.

AWS-GatherSoftwareInventory 문서 문제

AWS-GatherSoftwareInventory 문서를 실행하는 문제로 인해 인스턴스가 규정 미준수로 표시되는 경우, Systems Manager 인벤토리에서 문제를 해결하세요.

AWS CloudTrail을 통한 규정 준수 이벤트 모니터링

사용자 지정 규정 준수 개체나 연결에 새 규정 준수 정보를 추가하면 PutComplianceItems API가 호출됩니다. PutInventory API 호출은 인벤토리 항목이 없는 경우 해당 항목을 추가하거나 업데이트합니다.

자세한 내용은 CloudTrail로 Systems Manager API 호출 로깅을 참고하세요.

주제
관리 및 거버넌스
태그
AWS Systems Manager
언어
한국어
AWS 공식
AWS 공식업데이트됨 일 년 전
댓글 없음

관련 콘텐츠