패치를 위한 SSM 명령 문서: AWS-RunPatchBaselineAssociation
AWS-RunPatchBaseline 문서와 마찬가지로 AWS-RunPatchBaselineAssociation은 보안 관련 업데이트 및 기타 유형의 업데이트 모두에 대해 인스턴스에서 패치 작업을 수행합니다. 문서 AWS-RunPatchBaselineAssociation을 사용하면 운영 체제와 애플리케이션 모두를 패치할 수도 있습니다. (Windows Server에서 애플리케이션 지원은 Microsoft에서 릴리스한 애플리케이션의 업데이트로 제한됩니다.)
이 문서는 Linux, macOS 및 Windows Server용 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스를 지원합니다. 하이브리드 및 멀티클라우드 환경의 비 EC2 노드는 지원되지 않습니다. 이 문서는 Linux 및 macOS 인스턴스에서 Python 모듈을 호출하고 Windows 인스턴스에서 PowerShell 모듈을 호출하여 각 플랫폼에 대해 적절한 작업을 수행합니다.
그러나 AWS-RunPatchBaselineAssociation은 다음과 같은 점에서 AWS-RunPatchBaseline과 다릅니다.
-
AWS-RunPatchBaselineAssociation은 주로 AWS Systems Manager의 기능인 Quick Setup을 사용하여 생성된 State Manager 연결에 사용하도록 만들어졌습니다. 특히 Quick Setup 호스트 관리 구성 유형을 사용하는 경우, Scan instances for missing patches daily((매일 인스턴스에서 누락된 패치 스캔) 옵션을 선택하면 작업에AWS-RunPatchBaselineAssociation이 사용됩니다.그러나 대부분의 경우 패치 작업을 직접 설정할 때
AWS-RunPatchBaselineAssociation대신 AWS-RunPatchBaseline 또는 AWS-RunPatchBaselineWithHooks를 선택해야 합니다. -
AWS-RunPatchBaselineAssociation문서를 사용할 때 문서의BaselineTags파라미터 필드에 태그 키 페어를 지정할 수 있습니다. AWS 계정의 사용자 정의 패치 기준이 이러한 태그를 공유하는 경우 AWS Systems Manager의 기능인 Patch Manager는 운영 체제 유형에 대해 현재 지정된 "기본" 패치 기준 대신 대상 인스턴스에서 실행할 때 태그가 지정된 기준을 사용합니다.중요
Quick Setup을 사용하여 설정한 작업 이외의 패치 작업에서
AWS-RunPatchBaselineAssociation을 사용하도록 선택하고 옵션BaselineTags파라미터를 사용하려면 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스의 인스턴스 프로파일에 몇 가지 추가 권한을 제공해야 합니다. 자세한 내용은 파라미터 이름: BaselineTags 단원을 참조하십시오.다음 두 형식 모두
BaselineTags파라미터에 대해 유효합니다.Key=tag-key,Values=tag-valueKey=tag-key,Values=tag-value1,tag-value2,tag-value3 -
AWS-RunPatchBaselineAssociation실행 시AWS-RunPatchBaseline에서 사용하는PutInventory명령 대신PutComplianceItemsAPI 명령을 사용하여 수집된 패치 규정 준수 데이터가 기록됩니다. 이 차이는 특정 연결별로 저장 및 보고되는 패치 규정 준수 정보를 의미합니다. 이 연결 외부에서 생성된 패치 규정 준수 데이터는 덮어쓰지 않습니다. -
AWS-RunPatchBaselineAssociation실행 후 보고되는 패치 규정 준수 정보는 인스턴스가 준수하는지 여부를 나타냅니다. 다음 AWS Command Line Interface(AWS CLI) 명령의 출력에서 알 수 있듯이 패치 수준 세부 정보는 포함되지 않습니다. 이 명령은Association을 규정 준수 유형으로 필터링합니다.aws ssm list-compliance-items \ --resource-ids "i-02573cafcfEXAMPLE" \ --resource-types "ManagedInstance" \ --filters "Key=ComplianceType,Values=Association,Type=EQUAL" \ --region us-east-2시스템은 다음과 같은 정보를 반환합니다.
{ "ComplianceItems": [ { "Status": "NON_COMPLIANT", "Severity": "UNSPECIFIED", "Title": "MyPatchAssociation", "ResourceType": "ManagedInstance", "ResourceId": "i-02573cafcfEXAMPLE", "ComplianceType": "Association", "Details": { "DocumentName": "AWS-RunPatchBaselineAssociation", "PatchBaselineId": "pb-0c10e65780EXAMPLE", "DocumentVersion": "1" }, "ExecutionSummary": { "ExecutionTime": 1590698771.0 }, "Id": "3e5d5694-cd07-40f0-bbea-040e6EXAMPLE" } ] }
태그 키 페어 값이 AWS-RunPatchBaselineAssociation 문서의 파라미터로 지정된 경우 Patch Manager는 운영 체제 유형과 일치하고 동일한 태그 키 페어로 태그가 지정된 사용자 정의 패치 기준을 검색합니다. 이 검색은 현재 지정된 기본 패치 기준 또는 패치 그룹에 할당된 기준으로 제한되지 않습니다. 지정된 태그에 기준이 없으면 AWS-RunPatchBaselineAssociation을 실행하는 명령에 패치 그룹이 지정된 경우 Patch Manager는 다음으로 패치 그룹을 찾습니다. 일치하는 패치 그룹이 없으면 Patch Manager는 운영 체제 계정의 현재 기본 패치 기준으로 폴백합니다.
AWS-RunPatchBaselineAssociation 문서에 지정된 태그와 함께 둘 이상의 패치 기준이 발견되면 Patch Manager는 작업을 계속하기 위해 해당 키-값 페어로 하나의 패치 기준에만 태그를 지정할 수 있음을 나타내는 오류 메시지를 반환합니다.
참고
Linux 인스턴스에서는 각 인스턴스 유형에 대한 적절한 패키지 관리자가 패키지를 설치하는 데 사용됩니다.
-
Amazon Linux 1, Amazon Linux 2, CentOS, Oracle Linux 및 RHEL 인스턴스는 YUM을 사용합니다. YUM 작업의 경우
Python 2.6이상의 지원되는 버전(2.6~3.10)이 Patch Manager에 필요합니다. -
Debian Server, Raspberry Pi OS 및 Ubuntu Server 인스턴스는 APT를 사용합니다. APT 작업의 경우 지원되는
Python 3버전(3.0~3.10)이 Patch Manager에 필요합니다. -
SUSE Linux Enterprise Server 인스턴스는 Zypper를 사용합니다. Zypper 작업의 경우
Python 2.6이상의 지원되는 버전(2.6~3.10)이 Patch Manager에 필요합니다.
검사가 완료된 후 또는 승인되고 적용 가능한 모든 업데이트가 설치된 후 필요에 따라 재부팅이 수행되면 패치 규정 준수 정보가 인스턴스에서 생성되고 Patch Compliance 서비스에 다시 보고됩니다.
참고
AWS-RunPatchBaselineAssociation 문서에서 RebootOption 파라미터가 NoReboot로 설정되어 있으면 Patch Manager를 실행한 후 인스턴스가 재부팅되지 않습니다. 자세한 내용은 파라미터 이름: RebootOption 단원을 참조하십시오.
패치 규정 준수 데이터를 보는 방법에 대한 자세한 내용은 패치 규정 준수 정보 섹션을 참조하세요.
AWS-RunPatchBaselineAssociation 파라미터
AWS-RunPatchBaselineAssociation에서는 4개의 파라미터를 지원합니다. Operation 및 AssociationId 파라미터가 필요합니다. InstallOverrideList, RebootOption 및 BaselineTags 파라미터는 옵션입니다.
파라미터
파라미터 이름: Operation
사용 여부: 필수.
옵션: Scan | Install.
- 스캔
-
Scan옵션을 선택하는 경우AWS-RunPatchBaselineAssociation에 따라 인스턴스의 패치 규정 준수 상태가 결정되며 이 정보가 Patch Manager에게 다시 보고됩니다.Scan은 업데이트를 설치하거나 인스턴스를 재부팅하라는 메시지를 표시하지 않습니다. 대신, 승인되고 인스턴스에 적용 가능한 업데이트가 누락된 위치를 식별해 줍니다. - Install
-
Install옵션을 선택하는 경우AWS-RunPatchBaselineAssociation이 인스턴스에서 누락된 승인되고 적용 가능한 업데이트를 설치하려고 시도합니다.Install작업의 일부로 생성된 패치 규정 준수 정보에는 누락된 업데이트가 나열되지 않지만, 어떠한 이유로든 업데이트 설치가 성공하지 못하면 실패 상태에 있는 업데이트를 보고할 수 있습니다. 인스턴스에 업데이트가 설치될 때마다 업데이트가 설치되었는지 및 활성 상태인지를 확인하기 위해 인스턴스가 재부팅됩니다. (예외:AWS-RunPatchBaselineAssociation문서에서RebootOption파라미터가NoReboot로 설정되어 있으면 Patch Manager를 실행한 후 인스턴스가 재부팅되지 않습니다. 자세한 내용은 파라미터 이름: RebootOption 섹션을 참조하세요.)참고
Patch Manager가 인스턴스를 업데이트하기 전에 기준 규칙에 의해 지정된 패치가 설치된 경우 시스템이 예상대로 재부팅되지 않을 수도 있습니다. 이는 패치가 사용자에 의해 수동으로 설치되어 있거나 Ubuntu Server의
unattended-upgrades패키지와 같은 다른 프로그램에 의해 자동으로 설치되어 있는 경우에 발생할 수 있습니다.
파라미터 이름: BaselineTags
사용 여부: 선택.
BaselineTags는 사용자가 선택하여 개별 사용자 정의 패치 기준에 할당하는 고유한 태그 키-값 페어입니다. 이 파라미터에 대해 값을 하나 이상 지정할 수 있습니다. 다음 형식이 모두 유효합니다.
Key=tag-key,Values=tag-value
Key=tag-key,Values=tag-value1,tag-value2,tag-value3
BaselineTags 값은 Patch Manager가 단일 작업으로 패치된 인스턴스 집합 모두가 승인된 패치 집합과 정확히 일치하는지를 확인하기 위해 사용합니다. 패치 작업이 실행될 때 Patch Manager는 운영 체제 유형에 대한 패치 기준에 사용자가 BaselineTags에 대해 지정한 동일한 키-값 페어로 태그가 지정되었는지 확인합니다. 일치 항목이 있는 경우 이 사용자 정의 패치 기준이 사용됩니다. 일치 항목이 없는 경우 패치 작업에 대해 지정된 패치 그룹에 따라 패치 기준이 식별됩니다. 아무 것도 없는 경우 해당 운영 체제에 대해 미리 정의된 AWS 관리형 패치 기준이 사용됩니다.
추가 권한 요구 사항
Quick Setup을 사용하여 설정한 작업 이외의 패치 작업에서 AWS-RunPatchBaselineAssociation을 사용하는 경우 옵션 BaselineTags 파라미터를 사용하려면 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스의 인스턴스 프로파일에 다음 권한을 제공해야 합니다.
참고
Quick Setup 및 AWS-RunPatchBaselineAssociation은 온프레미스 서버와 가상 머신(VM)을 지원하지 않습니다.
{ "Effect": "Allow", "Action": [ "ssm:DescribePatchBaselines", "tag:GetResources" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ssm:GetPatchBaseline", "ssm:DescribeEffectivePatchesForPatchBaseline" ], "Resource": "patch-baseline-arn" }
patch-baseline-arn을 arn:aws:ssm:us-east-2:123456789012:patchbaseline/pb-0c10e65780EXAMPLE 형식으로 액세스를 제공하려는 패치 기준의 Amazon 리소스 이름(ARN)으로 바꿉니다.
파라미터 이름: AssociationId
사용 여부: 필수.
AssociationId는 AWS Systems Manager의 기능인 State Manager에 있는 기존 연결의 ID입니다. 이 ID는 Patch Manager에서 지정된 연결에 규정 준수 데이터를 추가하는 데 사용됩니다. 이 연결은 Quick Setup에서 생성한 호스트 관리 구성에 활성화되어 있는 패치 Scan 작업과 관련이 있습니다. 패치 결과를 인벤토리 규정 준수 데이터 대신 연결 규정 준수 데이터로 전송하면 패치 작업 후 또는 다른 연결 ID에 대해 인스턴스의 기존 인벤토리 규정 준수 정보를 덮어쓰지 않습니다. 사용하려는 연결이 아직 없는 경우 create-association 명령을 실행하여 하나를 생성할 수 있습니다. 예:
파라미터 이름: InstallOverrideList
사용 여부: 선택.
InstallOverrideList를 사용하여 설치하려는 패치 목록에 대해 https URL 또는 Amazon Simple Storage Service(Amazon S3) 경로 스타일 URL을 지정합니다. YAML 형식으로 관리되는 이 패치 설치 목록은 현재 기본 패치 기준으로 지정된 패치를 재정의합니다. 그러면 인스턴스에 설치되는 패치를 세부적으로 제어할 수 있습니다.
InstallOverrideList 파라미터를 사용할 때의 패치 작업 동작은 Linux 및 macOS 관리형 노드와 Windows Server 관리형 노드가 다릅니다. Linux 및 macOS에서는 Patch Manager가 패치가 패치 기준 규칙과 일치하는지 여부와 관계없이 노드에 활성화된 모든 리포지토리의 InstallOverrideList 패치 목록에 포함된 패치를 적용하려고 시도합니다. 그러나 Windows Server 노드에서는 InstallOverrideList 패치 목록의 패치가 패치 기준 규칙과도 일치하는 경우에만 적용됩니다.
규정 준수 보고서에서는 InstallOverrideList 패치 목록에 지정된 항목이 아니라 패치 기준선에 지정된 항목에 따라 패치 상태를 반영합니다. 다시 말해 스캔 작업에서 InstallOverrideList 파라미터를 무시합니다. 그래야만 규정 준수 보고서에서 특정 패치 적용 작업에 대해 승인된 내용이 아닌 정책에 따라 패치 상태를 일관되게 반영합니다.
유효한 URL 형식
참고
파일이 공개적으로 사용 가능한 버킷에 저장된 경우 https URL 형식 또는 Amazon S3 경로 스타일 URL을 지정할 수 있습니다. 파일이 프라이빗 버킷에 저장된 경우 Amazon S3 경로 스타일 URL을 지정해야 합니다.
-
https URL 형식 예시:
https://s3.amazonaws.com/amzn-s3-demo-bucket/my-windows-override-list.yaml -
Amazon S3 경로 스타일 URL 예시:
s3://amzn-s3-demo-bucket/my-windows-override-list.yaml
유효한 YAML 콘텐츠 형식
목록에서 패치를 지정하는 데 사용되는 형식은 인스턴스의 운영 체제에 따라 다릅니다. 일반적인 형식은 다음과 같습니다.
patches: - id: '{patch-d}' title: '{patch-title}' {additional-fields}:{values}
YAML 파일에 추가 필드를 제공할 수 있지만 해당 필드는 패치 작업 중에 무시됩니다.
또한 S3 버킷에서 목록을 추가하거나 업데이트하기 전에 YAML 파일 형식이 올바른지 확인하는 것이 좋습니다. YAML 형식에 대한 자세한 내용은 yaml.org
-
Microsoft Windows
id
id 필드는 필수입니다. id 필드는 Microsoft Knowledge Base ID(예: KB2736693)와 Microsoft Security Bulletin ID(예: MS17-023)를 사용하여 패치를 지정하는 데 사용됩니다.
Windows에 대한 패치 목록에 제공하려는 다른 필드는 선택 사항이며 정보 제공의 목적으로만 사용됩니다. title, classification, severity 등과 같은 추가 필드를 사용하여 지정된 패치에 대한 자세한 정보를 제공할 수 있습니다.
-
Linux
id
id 필드는 필수입니다. 패키지 이름 및 아키텍처를 사용하여 패치를 지정하는 데 사용됩니다. 예:
'dhclient.x86_64'. id에서 와일드카드를 사용하여 여러 패키지를 나타낼 수 있습니다. 예를 들면'dhcp*'및'dhcp*1.*'등입니다.title
제목 필드는 선택 사항이지만 Linux 시스템의 경우 이 필드는 추가 필터링 기능을 제공합니다. title을 사용할 경우 패키지 버전 정보를 다음 중 한 가지 형식으로 포함해야 합니다.
YUM/SUSE Linux Enterprise Server(SLES):
{name}.{architecture}:{epoch}:{version}-{release}APT
{name}.{architecture}:{version}Linux 패치 제목의 경우 임의의 위치에서 하나 이상의 와일드카드를 사용하여 패키지 일치 수를 확장할 수 있습니다. 예:
'*32:9.8.2-0.*.rc1.57.amzn1'.예:
-
apt 패키지 버전 1.2.25가 인스턴스에 현재 설치되어 있지만 버전 1.2.27을 지금 사용할 수 있습니다.
-
apt.amd64 버전 1.2.27을 패치 목록에 추가합니다. apt utils.amd64 버전 1.2.27을 사용하지만 apt-utils.amd64 버전 1.2.25가 목록에 지정되어 있습니다.
이 경우 apt 버전 1.2.27은 설치 시 차단되고 “Failed-NonCompliant”로 보고됩니다.
-
기타 필드
Linux에 대한 패치 목록에 제공하려는 다른 필드는 선택 사항이며 정보 제공의 목적으로만 사용됩니다. classification, severity 등과 같은 추가 필드를 사용하여 지정된 패치에 대한 자세한 정보를 제공할 수 있습니다.
샘플 패치 목록
-
Windows
patches: - id: 'KB4284819' title: '2018-06 Cumulative Update for Windows Server 2016 (1709) for x64-based Systems (KB4284819)' - id: 'KB4284833' - id: 'KB4284835' title: '2018-06 Cumulative Update for Windows Server 2016 (1803) for x64-based Systems (KB4284835)' - id: 'KB4284880' - id: 'KB4338814' -
APT
patches: - id: 'apparmor.amd64' title: '2.10.95-0ubuntu2.9' - id: 'cryptsetup.amd64' title: '*2:1.6.6-5ubuntu2.1' - id: 'cryptsetup-bin.*' title: '*2:1.6.6-5ubuntu2.1' - id: 'apt.amd64' title: '*1.2.27' - id: 'apt-utils.amd64' title: '*1.2.25' -
Amazon Linux
patches: - id: 'kernel.x86_64' - id: 'bind*.x86_64' title: '32:9.8.2-0.62.rc1.57.amzn1' - id: 'glibc*' - id: 'dhclient*' title: '*12:4.1.1-53.P1.28.amzn1' - id: 'dhcp*' title: '*10:3.1.1-50.P1.26.amzn1' -
Red Hat Enterprise Linux (RHEL)
patches: - id: 'NetworkManager.x86_64' title: '*1:1.10.2-14.el7_5' - id: 'NetworkManager-*.x86_64' title: '*1:1.10.2-14.el7_5' - id: 'audit.x86_64' title: '*0:2.8.1-3.el7' - id: 'dhclient.x86_64' title: '*.el7_5.1' - id: 'dhcp*.x86_64' title: '*12:5.2.5-68.el7' -
SUSE Linux Enterprise Server (SLES)
patches: - id: 'amazon-ssm-agent.x86_64' - id: 'binutils' title: '*0:2.26.1-9.12.1' - id: 'glibc*.x86_64' title: '*2.19*' - id: 'dhcp*' title: '0:4.3.3-9.1' - id: 'lib*' -
Ubuntu Server
patches: - id: 'apparmor.amd64' title: '2.10.95-0ubuntu2.9' - id: 'cryptsetup.amd64' title: '*2:1.6.6-5ubuntu2.1' - id: 'cryptsetup-bin.*' title: '*2:1.6.6-5ubuntu2.1' - id: 'apt.amd64' title: '*1.2.27' - id: 'apt-utils.amd64' title: '*1.2.25' -
Windows
patches: - id: 'KB4284819' title: '2018-06 Cumulative Update for Windows Server 2016 (1709) for x64-based Systems (KB4284819)' - id: 'KB4284833' - id: 'KB4284835' title: '2018-06 Cumulative Update for Windows Server 2016 (1803) for x64-based Systems (KB4284835)' - id: 'KB4284880' - id: 'KB4338814'
파라미터 이름: RebootOption
사용 여부: 선택.
옵션: RebootIfNeeded | NoReboot
기본값: RebootIfNeeded
주의
기본 옵션은 RebootIfNeeded입니다. 사용 사례에 맞는 올바른 옵션을 선택해야 합니다. 예를 들어 구성 프로세스를 완료하기 위해 인스턴스를 즉시 재부팅해야 하는 경우, RebootIfNeeded를 선택합니다. 또는 예약된 재부팅 시간까지 인스턴스 가용성을 유지해야 하는 경우, NoReboot를 선택합니다.
중요
Amazon EMR(이전 명칭: Amazon Elastic MapReduce)에서 클러스터 인스턴스 패치를 적용하는 데는 Patch Manager를 사용하지 않는 것이 좋습니다. 특히 RebootOption 파라미터에 RebootIfNeeded 옵션을 선택하지 마세요. (이 옵션은 AWS-RunPatchBaseline, AWS-RunPatchBaselineAssociation 및 AWS-RunPatchBaselineWithHooks 패치 적용에 대한 SSM 명령 문서에서 제공되지 않습니다.)
Patch Manager를 사용하는 패치 적용에 대한 기본 명령에서는 yum 및 dnf 명령을 사용합니다. 따라서 패키지 설치 방식 때문에 작업이 호환되지 않을 수 있습니다. Amazon EMR 클러스터의 소프트웨어 업데이트용으로 기본 설정된 방법에 대한 자세한 내용은 Amazon EMR 관리 안내서의 Amazon EMR용 기본 AMI 사용을 참조하세요.
- RebootIfNeeded
-
RebootIfNeeded옵션을 선택하면 다음과 같은 경우 인스턴스가 재부팅됩니다.-
Patch Manager가 하나 이상의 패치를 설치했습니다.
Patch Manager가 패치에 재부팅이 필요한지 여부를 평가하지 않습니다. 패치에 재부팅이 필요하지 않은 경우에도 시스템이 재부팅됩니다.
-
Patch Manager가
Install작업 중INSTALLED_PENDING_REBOOT상태의 패치를 하나 이상 감지합니다.INSTALLED_PENDING_REBOOT상태는Install작업이 마지막으로 실행될 때NoReboot옵션이 선택되었거나 관리형 노드를 마지막으로 재부팅한 이후에 Patch Manager 외부에 패치가 설치되었다는 의미일 수 있습니다.
이 두 가지 경우에 인스턴스를 재부팅하면 업데이트된 패키지가 메모리에서 플러시되고 모든 운영 체제에서 패치 및 재부팅 동작이 일관되게 유지됩니다.
-
- NoReboot
-
NoReboot옵션을 선택하면 Patch Manager가Install작업 중에 패치를 설치한 경우에도 인스턴스를 재부팅하지 않습니다. 이 옵션은 패치된 후 인스턴스를 재부팅할 필요가 없다는 것을 알고 있거나 패치 작업 재부팅으로 인해 중단되지 않아야 하는 인스턴스에서 실행되는 애플리케이션 또는 프로세스가 있는 경우에 유용합니다. 유지 관리 기간을 사용하는 등 인스턴스 재부팅 시간을 보다 정확하게 제어하려는 경우에도 유용합니다.
[패치 설치 추적 파일(Patch installation tracking file)]: 패치 설치, 특히 마지막 시스템 재부팅 이후에 설치된 패치를 추적하기 위해 Systems Manager는 관리형 인스턴스에서 파일을 유지 관리합니다.
중요
추적 파일을 삭제하거나 수정하지 않습니다. 이 파일이 삭제되거나 손상된 경우 인스턴스에 대한 패치 준수 보고서가 부정확하게 됩니다. 이 경우 인스턴스를 재부팅하고 패치 스캔 작업을 실행하여 파일을 복원합니다.
이 추적 파일은 관리형 인스턴스의 다음 위치에 저장됩니다.
-
Linux 운영 체제:
-
/var/log/amazon/ssm/patch-configuration/patch-states-configuration.json -
/var/log/amazon/ssm/patch-configuration/patch-inventory-from-last-operation.json
-
-
Windows Server 운영 체제:
-
C:\ProgramData\Amazon\PatchBaselineOperations\State\PatchStatesConfiguration.json -
C:\ProgramData\Amazon\PatchBaselineOperations\State\PatchInventoryFromLastOperation.json
-
