パッチコンプライアンスデータに対する意図しない上書きの回避 - AWS Systems Manager

パッチコンプライアンスデータに対する意図しない上書きの回避

インスタンスに対するパッチコンプライアンスのスキャン処理に複数の種類が存在する場合、スキャンからのパッチコンプライアンスデータは、次のスキャンが行われるたびに上書きされます。その結果、パッチコンプライアンスデータで想定外の結果を得ることがあります。

例えば、現地時間の午前 2 時に毎日、パッチコンプライアンスをスキャンするパッチポリシーを作成したとします。このパッチポリシーでは、重大度が CriticalImportant、および Moderate としてマークされたパッチを対象とする、パッチベースラインを使用しています。このパッチベースラインでは、特に拒否されたパッチもいくつか指定されています。

また、毎日、現地時間の午前 4 時に同じマネージドノードのセットをスキャンするメンテナンスウィンドウがすでに設定されていて、それを削除したり無効化したりすることはないとします。このメンテナンスウィンドウのタスクでは、重大度が Critical のパッチのみを対象とする別のパッチベースラインを使用しており、また、特定のパッチを除外することはありません。

この 2 回目のスキャンがメンテナンスウィンドウで実行されると、1 回目のスキャンによるパッチコンプライアンスデータは削除され、この 2 回目のスキャンのパッチコンプライアンスデータにより置き換えられます。

そのため、パッチ適用処理においてスキャンとインストールを自動化する場合には、単一の方法のみを使用するように強くお勧めします。パッチポリシーを設定するには、パッチコンプライアンスの他のスキャン方法を削除または無効化する必要があります。詳細については、次のトピックを参照してください。

ホスト管理設定で毎日のパッチコンプライアンススキャンを無効にするには、Quick Setup で次の操作を行います。

  1. ナビゲーションペインで、Quick Setup を選択します。

  2. 更新するホスト管理設定を選択します。

  3. [Actions, Edit configuration] (アクション、設定の編集) を選択します。

  4. [Scan instances for missing patches daily] (不足しているパッチがないか毎日インスタンスをスキャンする) のチェックボックスをオフにします。

  5. [Update] (更新) を選択します。

注記

[Patch now] (今すぐパッチ適用) オプションを使用して、マネージドノードのコンプライアンスをスキャンすると、同時にパッチコンプライアンスデータも上書きされます。