AWS Systems Manager Patch Manager가 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에 설치할 패치를 확인하고 싶습니다. 어떻게 해야 하나요?
간략한 설명
Systems Manager Patch Manager를 사용하면 패치 작업을 오케스트레이션할 수 있습니다. 인스턴스를 스캔하여 누락된 패치 보고서만 확인하거나, 스캔하고 모든 누락 패치를 자동 설치할 수 있습니다.
Patch Manager는 패치 기준을 사용합니다. 여기에는 릴리스되고 며칠 이내로 패치를 자동 승인하는 규칙도 포함됩니다. 패치 기준에는 승인된 패치와 거부된 패치의 목록도 포함됩니다. 스캔 작업 중에 Patch Manager는 패치 기준에 따라 patch compliance state 인스턴스를 확인합니다. 패치 기준에 따라 인스턴스에 설치할 패치를 결정하는 방법에 대한 자세한 내용은 사전 정의 패치 및 사용자 지정 패치 기준 정보를 참조하세요.
Patch Manager는 각각 지원되는 운영 체제(OS)에 맞춤 설정하고 미리 정의한 패치 기준을 제공합니다. 사전 정의된 패치 기준이 요구 사항을 충족하지 못할 경우, 사용자 지정 패치 기준을 직접 설정할 수 있습니다. 사용자 지정 패치 기준을 사용하면 환경에서 승인되거나 거부되는 패치를 더욱 잘 통제할 수 있습니다. 또한 패치 그룹을 사용하여 인스턴스와 특정 패치 기준을 연결합니다.
해결 방법
시작하기 전에 Patch Manager 필수 조건을 충족하는지 확인합니다.
패치 기준 검토/생성
사용하는 각 OS에 사전 정의된 패치 기준을 검토합니다. 기본 기준이 요구 사항에 맞지 않을 경우, 사용자 지정 패치 기준을 만들어 선택한 인스턴스 유형에 맞는 표준 패치 세트를 정의합니다.
사용자 지정 패치 기준을 생성할 경우 사용자 지정 기준을 기본 패치 기준으로 설정합니다.
(선택 사항) 인스턴스를 패치 그룹으로 정리
Amazon EC2 태그를 사용해서 인스턴스를 패치 그룹으로 정리할 수 있습니다.
참고: AWS-RunPatchBaseline Systems Manager RunCommand 문서는 보안 및 다른 유형의 업데이트에 대한 패치 작업을 인스턴스에 실행합니다. 패치 그룹을 지정하지 않을 경우 이 문서는 현재 OS 유형에 기본값으로 지정되어 있는 패치 기준을 사용합니다. 패치 그룹이 지정된 경우 이 문서는 패치 그룹과 연결된 패치 기준을 사용합니다.
스캔 작업 실행
AWS Systems Manager 도구를 사용하여 스캔 작업을 실행합니다. **작업(Operation)**에서 **스캔(Scan)**을 선택합니다.
참고: 패치 상태 보고서를 생성하려면 인스턴스에서 "AWS-RunPatchBaseline" 문서를 한 번 이상 실행해야 합니다.
Patch Manager가 설치할 패치 목록 보기
Systems Manager 콘솔 사용
Systems Manager 콘솔의 Patch Manager 보고(Patch Manager Reporting) 탭을 사용하여 AWS-RunPatchBaseline이 보고하는 패치 규정 준수 상태를 확인할 수 있습니다.
- Systems Manager 콘솔(Systems Manager console)을 열고 탐색 창에서 Patch Manager를 선택합니다.
- 보고(Reporting) 탭에서 누락된 패치를 확인하려는 인스턴스를 선택합니다.
- 맨 아래 창에서 누락된 패치 수 하이퍼링크를 선택하여 누락된 패치 목록을 확인합니다.
- (선택 사항) 패치 규정 준수 보고서를 생성하려면 .csv 패치 규정 준수 보고서(콘솔) 생성을 참조하세요.
AWS 명령줄 인터페이스(AWS CLI) 사용
참고: AWS CLI 명령을 실행할 때 오류가 발생하는 경우 최신 버전의 AWS CLI를 사용하고 있는지 확인합니다.
시작하기 전에 DescribeInstancePatches API에 AWS Identity and Access Management(IAM) 권한이 있는지 확인합니다.
describe-instance-patches 명령을 사용하여 AWS-RunPatchBaseline에서 보고한 패치 규정 준수 상태를 확인할 수 있습니다.
다음의 명령을 실행하고 누락된 패치 수를 포함한 패치 규정 준수 상태의 전체 개수 보고서를 가져옵니다. InstanceID를 자신의 EC2 인스턴스 ID로 바꿉니다.
aws ssm describe-instance-patch-states --instance-ids "InstanceID"
기준에서 승인되었지만, 인스턴스에 설치되지 않은 패치를 격리하려면 누락 상태 필터를 적용합니다. 결과에 누락된 패치가 나옵니다. InstanceID를 자신의 Amazon EC2 인스턴스 ID로 바꾸고 RegionID을 자신의 AWS 리전으로 바꿉니다.
aws ssm describe-instance-patches --instance-id "InstanceID" --filters Key=State,Values=Missing --region RegionID
관련 정보
PatchBaseline 모듈을 다운로드할 수 없는 문제 해결
보안 패치 선택 방법
패치 설치 방법
사용자 지정 패치 기준 업데이트/삭제(콘솔)
인스턴스에 대한 패치 규정 준수 상태 정보 가져오기