パッチコンプライアンス状態の値について - AWS Systems Manager

パッチコンプライアンス状態の値について

インスタンスのパッチに関する情報には、個々のパッチの状態、つまり、状況のレポートが含まれます。

注記

インスタンスに特定のパッチコンプライアンス状態を割り当てるには、put-compliance-items AWS Command Line Interface ( AWS CLI ) コマンドまたは PutComplianceItems API オペレーションを使用できます。コンプライアンス状態の割り当てはコンソールではサポートされていません。

以下の表の情報を使用して、インスタンスがパッチコンプライアンスに違反している理由を特定します。

Debian サーバーと Ubuntu Server のパッチコンプライアンス値

Debian サーバーおよび Ubuntu Server の場合、パッケージをコンプライアンスの状態別に分類するルールを次の表で説明します。

注記

Installed (インストール済み)Installed Other (インストール済みその他)Missing (見つからない) の状態の値を評価する場合の注意点: パッチベースラインの作成または更新時に [セキュリティ以外の更新を含める] チェックボックスをオンにしていない場合、パッチの候補となるバージョンは trusty-security (Ubuntu Server 14.04 LTS)、xenial-security (Ubuntu Server 16.04 LTS)、bionic-security (Ubuntu Server 18.04 LTS)、focal-security (Ubuntu Server 20.04 LTS)、groovy-gorilla (Ubuntu Server 20.10 STR) または debian-security (Debian Stretch または Debian Jessie) に含まれているパッチに限定されます。[セキュリティ以外の更新を含める] チェックボックスをオンにした場合は、他のリポジトリからのパッチも考慮されます。

パッチ状態 説明 コンプライアンス状況
インストール済み

パッチはパッチベースラインにリストされ、インスタンスにインストールされます。インスタンスで AWS-RunPatchBaseline ドキュメントが実行されると、個人が手動でインストールすることも、パッチマネージャーで自動的にインストールすることもできます。

準拠
Installed Other (インストール済みその他)

パッチがベースラインに含まれていない、またはベースラインによって承認されていませんが、インスタンスにインストールされています。パッチが手動でインストールされているか、パッケージが別の承認済みパッチの必要な依存関係であるか、パッチが InstallOverrideList オペレーションに含まれている可能性があります。[拒否されたパッチ] アクションとして Block を指定しない場合は、インストール済みでも拒否されたパッチも Installed_Other パッチに含まれます。

準拠
Installed Pending Reboot (インストール済み再起動保留)

パッチマネージャーの Install オペレーションによってパッチがインスタンスに適用されましたが、パッチの適用後にインスタンスは再起動されていません。(パッチマネージャーの外部にインストールされたパッチは、ステータスが INSTALLED_PENDING_REBOOT になることはありません。) 通常、これは NoReboot ドキュメントが最後にインスタンスで実行されたときに、RebootOption パラメータに AWS-RunPatchBaseline オプションが選択されていたことを意味します。詳細については、「」を参照してくださいパラメータ名: RebootOption

非準拠
Installed Rejected (インストール済み拒否)

パッチはインスタンスにインストールされますが、[拒否されたパッチ] リストに指定されています。これは通常、パッチが、拒否されたパッチのリストに追加される前にインストールされたことを意味します。

非準拠
Missing (見つからない)

ベースラインでフィルターされ、まだインストールされていないパッケージ。

非準拠
失敗

パッチオペレーション中にインストールに失敗したパッケージ。

非準拠

その他のオペレーティングシステムのパッチコンプライアンスの値

Debian サーバーおよび Ubuntu Server 以外のすべてのオペレーティングシステムの場合、パッケージをコンプライアンスの状態別に分類するルールを次の表で説明します。

パッチ状態 説明 コンプライアンスの値
INSTALLED

パッチはパッチベースラインにリストされ、インスタンスにインストールされます。インスタンスで AWS-RunPatchBaseline ドキュメントが実行されると、個人が手動でインストールすることも、パッチマネージャーで自動的にインストールすることもできます。

準拠
INSTALLED_OTHER

パッチはベースラインに含まれていませんが、インスタンスにインストールされています。パッチは手動でインストールされているか、パッケージが別の承認済みパッチの必要な依存関係である可能性があります。[拒否されたパッチ] アクションとして Block を指定しない場合は、インストール済みでも拒否されたパッチも Installed_Other パッチに含まれます。

準拠
INSTALLED_REJECTED

パッチはインスタンスにインストールされますが、拒否されたパッチリストに指定されています。これは通常、パッチが、拒否されたパッチのリストに追加される前にインストールされたことを意味します。

非準拠
INSTALLED_PENDING_REBOOT

Patch Manager の Install オペレーションによってパッチがインスタンスに適用されています (または Patch Manager の外部でパッチが Windows Server インスタンスに適用されています) が、パッチの適用後にインスタンスは再起動されていません。(パッチマネージャーの外部にインストールされたパッチは、ステータスが INSTALLED_PENDING_REBOOT になることはありません。) 通常、これは NoReboot ドキュメントが最後にインスタンスで実行されたときに、RebootOption パラメータに AWS-RunPatchBaseline オプションが選択されていたことを意味します。詳細については、「」を参照してくださいパラメータ名: RebootOption

非準拠
MISSING

このパッチはベースラインで承認されていますが、インスタンスにインストールされていません。AWS-RunPatchBaseline ドキュメントタスクでスキャン (インストールではなく) するように設定した場合、スキャンで見つかってもインストールされていないパッチがあると、このステータスがレポートされます。

非準拠
NOT_APPLICABLE

パッチはベースラインで承認されていますが、このパッチを使用するサービスまたは機能がインスタンスにインストールされていません。たとえば、Internet Information Services (IIS) などのウェブサーバーサービスのパッチは、ベースラインで承認されていてもウェブサービスがインスタンスにインストールされていなければ、NOT_APPLICABLE と表示されます。パッチは、後続の更新によって置き換えられた場合に、NOT_APPLICABLE マークを付けることもできます。これは、新しい更新プログラムがインストールされ、 NOT_APPLICABLE 更新プログラムが不要になったことを意味します。

注記

このコンプライアンス状態は、Windows Server オペレーティングシステムでのみレポートされます。

該当しません
FAILED

パッチはベースラインで承認されていますが、インストールできませんでした。この状態のトラブルシューティングを行うには、コマンド出力で問題の理解に役立つ情報を確認します。

非準拠