パッチコンプライアンス状態の値について

マネージドノードのパッチに関する情報には、個々のパッチの状態、つまり、状況のレポートが含まれます。

注記

マネージドノードに特定のパッチコンプライアンス状態を割り当てる場合は、 put-compliance-items AWS Command Line Interface (AWS CLI) コマンドまたは PutComplianceItems API オペレーションを使用できます。コンプライアンス状態の割り当てはコンソールではサポートされていません。

以下の表の情報を使用して、マネージドノードがパッチコンプライアンスに違反している理由を特定します。

Debian Server、Raspberry Pi OS、および Ubuntu Server のパッチコンプライアンスの値

次の表に、Debian Server、Raspberry Pi OS、および Ubuntu Server でパッケージをコンプライアンスの状態別に分類するルールを示します。

注記

インストール済み、その他のインストール済み、見つかりませんの状態の値を評価する際は次の点に注意してください: パッチベースラインの作成または更新時に [セキュリティ以外の更新を含める] チェックボックスをオンにしていない場合、パッチの候補となるバージョンは trusty-security (Ubuntu Server 14.04 LTS)、xenial-security (Ubuntu Server 16.04 LTS)、bionic-security (Ubuntu Server 18.04 LTS)、focal-security (Ubuntu Server 20.04 LTS)、groovy-security (Ubuntu Server 20.10 STR) または jammy-security (Ubuntu Server 22.04 LTS)、または debian-security (Debian Server および Raspberry Pi OS) に含まれているパッチに限定されます。[セキュリティ以外の更新を含める] チェックボックスをオンにした場合は、他のリポジトリからのパッチも考慮されます。

パッチ状態	説明	コンプライアンス状況
INSTALLED	パッチはパッチベースラインにリストされ、マネージドノードにインストールされます。マネージドノードで AWS-RunPatchBaseline ドキュメントを実行している場合は、既に手動で個別にインストールされていたり、Patch Manager で自動的にインストールされていたりすることがあります。	準拠
INSTALLED_OTHER	パッチがベースラインに含まれていない、またはベースラインによって承認されていませんが、マネージドノードにインストールされています。パッチが手動でインストールされている、パッケージが別の承認済みパッチに必要な依存関係である、またはパッチが InstallOverrideList オペレーションに含まれている可能性があります。[拒否されたパッチ] アクションとして Block を指定しない場合は、インストール済みでも拒否されたパッチも Installed_Other パッチに含まれます。	準拠
INSTALLED_PENDING_REBOOT	Patch Manager の Install オペレーションによってパッチがマネージドノードに適用されていますが、パッチの適用後にノードが再起動されていません。(Patch Manager以外でインストールされたパッチは、ステータスが INSTALLED_PENDING_REBOOT になることはありません。) 通常、これは NoReboot ドキュメントが最後にマネージドノードで実行されたときに、RebootOption パラメータに AWS-RunPatchBaseline オプションが選択されていたことを意味します。詳細については、「パラメータ名: RebootOption」を参照してください。	非準拠
INSTALLED_REJECTED	パッチはマネージドノードにインストールされますが、[Rejected patches] (拒否されたパッチ) リストに指定されています。これは通常、パッチが、拒否されたパッチのリストに追加される前にインストールされたことを意味します。	非準拠
MISSING	ベースラインでフィルターされ、まだインストールされていないパッケージ。	非準拠
FAILED	パッチオペレーション中にインストールに失敗したパッケージ。	非準拠

その他のオペレーティングシステムのパッチコンプライアンスの値

次の表に、Debian Server、Raspberry Pi OS、および Ubuntu Server 以外のすべてのオペレーティングシステムでパッケージをコンプライアンスの状態別に分類するルールを示します。

パッチ状態	説明	コンプライアンスの値
INSTALLED	パッチはパッチベースラインにリストされ、マネージドノードにインストールされます。ノードで AWS-RunPatchBaseline ドキュメントを実行している場合は、既に手動で個別にインストールされていたり、Patch Manager で自動的にインストールされていたりすることがあります。	準拠
INSTALLED_OTHER1	パッチはベースラインに含まれていませんが、マネージドノードにインストールされています。パッチは手動でインストールされているか、パッケージが別の承認済みパッチの必要な依存関係である可能性があります。[拒否されたパッチ] アクションとして Block を指定しない場合は、インストール済みでも拒否されたパッチも Installed_Other パッチに含まれます。	準拠
INSTALLED_REJECTED	パッチはマネージドノードにインストールされますが、[Rejected patches] (拒否されたパッチ) リストに指定されています。これは通常、パッチが、拒否されたパッチのリストに追加される前にインストールされたことを意味します。	非準拠
INSTALLED_PENDING_REBOOT	Patch Manager Install オペレーションによってパッチがマネージドノードに適用 (または、Patch Manager 以外でパッチが Windows Server マネージドノードに適用) されていますが、パッチの適用後にノードが再起動されていません。(Patch Manager以外でインストールされたパッチは、ステータスが INSTALLED_PENDING_REBOOT になることはありません。) 通常、これは NoReboot ドキュメントが最後にマネージドノードで実行されたときに、RebootOption パラメータに AWS-RunPatchBaseline オプションが選択されていたことを意味します。詳細については、「パラメータ名: RebootOption」を参照してください。	非準拠
MISSING	このパッチはベースラインで承認されていますが、マネージドノードにインストールされていません。AWS-RunPatchBaseline ドキュメントタスクでスキャン (インストールではなく) するように設定した場合、スキャンで見つかってもインストールされていないパッチがあると、このステータスがレポートされます。	非準拠
NOT_APPLICABLE1	パッチはベースラインで承認されていますが、このパッチを使用するサービスまたは機能がマネージドノードにインストールされていません。例えば、Internet Information Services (IIS) などのウェブ サーバーサービスのパッチは、ベースラインで承認されていてもウェブサービスがマネージドノードにインストールされていなければ、NOT_APPLICABLE と表示されます。パッチは、後続の更新によって置き換えられた場合に、NOT_APPLICABLE マークを付けることもできます。これは、新しい更新プログラムがインストールされ、 NOT_APPLICABLE 更新プログラムが不要になったことを意味します。 注記 このコンプライアンス状態は、Windows Server オペレーティングシステムでのみレポートされます。	該当しない
FAILED	パッチはベースラインで承認されていますが、インストールできませんでした。この状態のトラブルシューティングを行うには、コマンド出力で問題の理解に役立つ情報を確認します。	非準拠

¹ 状態が INSTALLED_OTHER および NOT_APPLICABLE のパッチの場合、Patch Manager は describe-instance-patches コマンドに基づいてクエリ結果から一部のデータを省略します (Classification や Severity の値など)。これは、 の一機能であるインベントリで個々のノードのデータ制限を超えないようにするために行われます AWS Systems Manager。すべてのパッチの詳細を表示するには、describe-available-patches コマンドを使用します。