Quick Setup을 사용한 조직 내 인스턴스에 대한 패치 적용 구성 - AWS Systems Manager

Quick Setup을 사용한 조직 내 인스턴스에 대한 패치 적용 구성

이제 AWS Systems Manager의 기능인 Quick Setup을 사용하여 Patch Manager 기반 패치 정책을 생성할 수 있습니다. 패치 정책은 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스와 기타 관리형 노드를 자동으로 패치할 때 사용할 일정과 기준선을 정의합니다. 단일 패치 정책 구성을 사용하여 조직 내 여러 AWS 리전의 모든 계정이나, 선택한 계정 및 리전이나, 단일 계정-리전 쌍에 대한 패치 적용을 정의할 수 있습니다. 패치 정책에 대한 자세한 내용은 Quick Setup의 패치 정책 구성 섹션을 참조하세요.

전제 조건

Quick Setup을 사용하여 노드에 대한 패치 정책을 정의하려면, 해당 노드가 관리형 노드여야 합니다. 노드 관리에 대한 자세한 내용은 AWS Systems Manager 설정 섹션을 참조하세요.

중요

패치 규정 준수 검사 방법-Systems Manager는 몇 가지 관리형 노드 패치 규정 준수 검사 방법을 지원합니다. 이러한 방법을 한 번에 두 가지 이상 구현할 경우 항상 가장 최근 검사의 결과가 패치 규정 준수 정보로 표시됩니다. 이전 검사의 결과는 덮어씁니다. 검사 방법에서 승인 규칙이 서로 다른 여러 패치 기준선을 사용하는 경우, 패치 규정 준수 정보가 예기치 않게 변경될 수 있습니다. 자세한 내용은 의도치 않은 패치 규정 준수 데이터 덮어쓰기 방지 단원을 참조하십시오.

연결 규정 준수 상태 및 패치 정책-Quick Setup 패치 정책이 적용되는 관리형 노드의 패치 상태는 해당 노드의 State Manager 연결 실행 상태와 일치합니다. 연결 실행 상태가 Compliant인 경우 관리형 노드의 패치 상태가 Compliant로 표시됩니다. 연결 실행 상태가 Non-Compliant인 경우 관리형 노드의 패치 상태가 Non-Compliant로 표시됩니다.

패치 정책 구성을 지원하는 리전

Quick Setup의 패치 정책 구성은 현재 다음 리전에서 지원됩니다.

  • 미국 동부(오하이오)(us-east-2)

  • 미국 동부(버지니아 북부)(us-east-1)

  • 미국 서부(캘리포니아 북부) (us-west-1)

  • 미국 서부(오레곤)(us-west-2)

  • 아시아 태평양(뭄바이)(ap-south-1)

  • 아시아 태평양(서울)(ap-northeast-2)

  • 아시아 태평양(싱가포르)(ap-southeast-1)

  • 아시아 태평양(시드니)(ap-southeast-2)

  • 아시아 태평양(도쿄)(ap-northeast-1)

  • 캐나다(중부)(ca-central-1)

  • 유럽(프랑크푸르트)(eu-central-1)

  • 유럽(아일랜드)(eu-west-1)

  • 유럽(런던) (eu-west-2)

  • 유럽(파리) (eu-west-3)

  • 유럽(스톡홀름) (eu-north-1)

  • 남아메리카(상파울루)(sa-east-1)

패치 정책 S3 버킷에 대한 권한

패치 정책을 생성할 때 baseline_overrides.json이라는 파일이 포함된 Amazon S3 버킷을 Quick Setup에서 생성합니다. 이 파일에는 패치 정책에 지정한 패치 기준선에 대한 정보가 저장됩니다.

S3 버킷 이름은 aws-quicksetup-patchpolicy-account-id-quick-setup-configuration-id 형식으로 되어 있습니다.

예: aws-quicksetup-patchpolicy-123456789012-abcde

조직의 패치 정책을 생성하는 경우 해당 조직의 관리 계정에 버킷이 생성됩니다.

AWS Identity and Access Management(IAM) 정책을 사용하여 이 S3 버킷에 액세스하는 권한을 다른 AWS 리소스에 제공해야 하는 두 가지 사용 사례가 있습니다.

둘 중 하나에 필요한 권한 정책은 아래 섹션에 있습니다(Quick Setup S3 버킷에 대한 정책 권한).

사례 1: Quick Setup에서 제공되는 것이 아니라 관리형 노드가 있는 자체 인스턴스 프로파일 또는 서비스 역할을 사용합니다.

패치 정책 구성에는 인스턴스에 연결된 기존 인스턴스 프로파일에 필수 IAM 정책 추가 옵션이 포함됩니다.

이 옵션을 선택하지 않고 이 패치 정책을 사용하여 Quick Setup을 통해 관리형 노드에 패치를 적용하려면 다음이 구현되었는지 확인해야 합니다.

  • 관리형 노드에 Systems Manager 권한을 제공하는 데 사용되는 IAM 인스턴스 프로파일 또는 IAM 서비스 역할에 IAM 관리형 정책 AmazonSSMManagedInstanceCore가 연결되어야 합니다.

  • 패치 정책 버킷에 액세스하는 권한을 IAM 인스턴스 프로파일 또는 IAM 서비스 역할에 인라인 정책으로 추가해야 합니다. 이전 코드 샘플과 같이 모든 aws-quicksetup-patchpolicy 버킷 또는 조직 또는 계정용으로 생성된 특정 버킷에만 와일드카드 액세스 권한을 제공할 수 있습니다.

  • 다음 키-값 쌍으로 IAM 인스턴스 프로파일 또는 IAM 서비스 역할에 태그를 지정해야 합니다.

    Key: QSConfigId-quick-setup-configuration-id, Value: quick-setup-configuration-id

    quick-setup-configuration-id는 패치 정책 구성을 생성하는 데 사용되는 AWS CloudFormation 스택에 적용되는 파라미터의 값을 나타냅니다. 이 문제를 해결하려면 다음을 수행하세요.

    1. AWS CloudFormation 콘솔(https://console.aws.amazon.com/cloudformation)을 엽니다.

    2. 패치 정책을 생성하는 데 사용되는 스택의 이름을 선택합니다. 이름은 StackSet-AWS-QuickSetup-PatchPolicy-LA-q4bkg-52cd2f06-d0f9-499e-9818-d887cEXAMPLE과 같은 형식으로 되어 있습니다.

    3. 파라미터 탭을 선택합니다.

    4. 파라미터 목록의 열에서 QSConfigurationId라는 키를 찾습니다. 해당 행의 열에서 구성 ID(예: abcde)를 찾습니다.

      이 예제에서 인스턴스 프로파일 또는 서비스 역할에 적용할 태그의 키는 QSConfigId-abcde이고 값은 abcde입니다.

IAM 역할에 태그를 추가하는 방법에 대한 자세한 내용은 IAM 사용 설명서의 IAM 역할 태깅인스턴스 프로파일의 태그 관리(AWS CLI 또는 AWS API)를 참조하세요.

사례 2: VPC 엔드포인트를 사용하여 Systems Manager에 연결

VPC 엔드포인트를 사용하여 Systems Manager에 연결하는 경우, S3용 VPC 엔드포인트 정책에서 Quick Setup 패치 정책 S3 버킷에 대한 액세스를 허용해야 합니다.

S3의 VPC 엔드포인트 정책에 권한을 추가하는 방법에 대한 자세한 내용은 Amazon S3 사용 설명서의 버킷 정책을 통해 VPC 엔드포인트의 액세스 제어를 참조하세요.

Quick Setup S3 버킷에 대한 정책 권한

모든 aws-quicksetup-patchpolicy 버킷 또는 조직 또는 계정용으로 생성된 특정 버킷에만 와일드카드 액세스 권한을 제공할 수 있습니다. 아래에 설명된 두 가지 사례에 필요한 권한을 제공하려면 두 형식 중 하나를 사용합니다.

All patch policy buckets
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AccessToAllPatchPolicyRelatedBuckets", "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::aws-quicksetup-patchpolicy-*" } ] }
Specific patch policy bucket
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AccessToMyPatchPolicyRelatedBucket", "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::aws-quicksetup-patchpolicy-account-id-quick-setup-configuration-id"Footnote callout 1 to explain a line in a JSON policy } ] }

1 패치 정책 구성이 생성되면 S3 콘솔에서 버킷의 전체 이름을 찾을 수 있습니다. 예: aws-quicksetup-patchpolicy-123456789012-abcde

패치 정책 작업의 무작위 패치 기준선 ID

패치 정책의 패치 적용 작업에서는 AWS-RunPatchBaseline SSM 명령 문서의 BaselineOverride 파라미터를 활용합니다.

패치 정책 외부의 패치 적용에 AWS-RunPatchBaseline을 사용하면 BaselineOverride를 사용하여 지정된 기본값과 다른 작업 중에 사용할 패치 기준선 목록을 지정할 수 있습니다. BaselineOverride 파라미터 사용에 설명된 대로 baseline_overrides.json이라는 파일에 이 목록을 생성하고 소유하는 Amazon S3 버킷에 수동으로 추가합니다.

그러나 패치 정책에 따른 패치 적용 작업의 경우 Systems Manager에서 자동으로 S3 버킷을 생성하고 baseline_overrides.json 파일을 추가합니다. 그러면 Quick Setup에서 패치 적용(Run Command 사용) 기능을 실행할 때마다 시스템에서는 각 패치 기준선의 무작위 ID를 생성합니다. 이 ID는 패치 정책 패치 적용 작업마다 다르며, 이 ID가 나타내는 패치 기준선은 계정에 저장되거나 액세스할 수 없습니다.

따라서 구성에서 선택한 패치 기준선의 ID는 패치 적용 로그에 표시되지 않습니다. 이는 AWS 관리형 패치 기준선과 사용자가 선택했을 수 있는 사용자 지정 패치 기준선에 모두 적용됩니다. 그 대신 로그에서 보고되는 기준선 ID는 해당 특정 패치 적용 작업용으로 생성된 ID입니다.

또한 무작위 ID로 생성된 패치 기준선에 대한 Patch Manager의 세부 정보를 보려고 시도하면 시스템에서는 패치 기준선이 존재하지 않는다고 보고합니다. 이는 예상되는 동작이며 무시해도 됩니다.

패치 정책 생성

패치 정책을 생성하려면 Systems Manager 콘솔에서 다음 태스크를 수행합니다.

Quick Setup을 사용하여 패치 정책을 생성하려면
  1. AWS Systems Manager 콘솔(https://console.aws.amazon.com/systems-manager/)을 엽니다.

    조직에 대한 패치를 설정하는 경우, 조직의 관리 계정에 로그인해야 합니다. 위임된 관리자 계정이나 멤버 계정을 사용할 경우 정책을 설정할 수 없습니다.

  2. 탐색 창에서 Quick Setup를 선택합니다.

  3. Patch Manager 카드에서 Create(생성)을 선택합니다.

    작은 정보

    계정에 이미 하나 이상의 구성이 있으면 먼저 구성 섹션에서 라이브러리 탭 또는 생성 버튼을 선택하여 카드를 봅니다.

  4. Configuration name(구성 이름)에 패치 정책을 식별하는 데 유용한 이름을 입력합니다.

  5. Scanning and installation(검사 및 설치) 섹션의 Patch operation(패치 작업)에서 패치 정책이 지정된 대상을 Scan(검사)하도록 할지 아니면 지정된 대상에 대해 패치 Scan and install(검사 및 설치)을 모두 수행할지를 선택합니다.

  6. Scanning schedule(검사 일정)에서 Use recommended defaults(권장 기본값 사용) 또는 Custom scan schedule(사용자 지정 검사 일정)을 선택합니다. 기본 검사 일정을 선택할 경우 매일 오전 1시(UTC)에 대상을 검사합니다.

    • Custom scan schedule(사용자 지정 검사 일정)을 선택한 경우 Scanning frequency(검사 빈도)를 선택합니다.

    • Daily(매일)를 선택한 경우 대상을 검사할 시간을 UTC 시간으로 입력합니다.

    • Custom CRON Expression(사용자 지정 CRON 표현식)을 선택한 경우 일정을 CRON expression(CRON 표현식)으로 입력합니다. Systems Manager의 CRON 표현식 형식에 대한 자세한 내용은 참조: Systems Manager용 Cron 및 Rate 표현식 섹션을 참조하세요.

      또한 Wait to scan targets until first CRON interval(첫 번째 CRON 간격까지 대상 검사 대기)을 선택합니다. 기본적으로 Patch Manager는 노드가 대상으로 설정되는 즉시 노드를 검사합니다.

  7. Scan and install(검사 및 설치)을 선택한 경우 지정된 대상에 패치를 설치할 때 사용할 Installation schedule(설치 일정)을 선택합니다. Use recommended defaults(권장 기본값 사용)을 선택하면 Patch Manager는 일요일 오전 2:00 UTC에 주간 패치를 설치합니다.

    • Custom install schedule(사용자 지정 설치 일정)을 선택한 경우 Installation frequency(설치 빈도)를 선택합니다.

    • Daily(매일)를 선택한 경우 대상에 업데이트를 설치할 시간을 UTC 시간으로 입력합니다.

    • Custom CRON Expression(사용자 지정 CRON 표현식)을 선택한 경우 일정을 CRON expression(CRON 표현식)으로 입력합니다. Systems Manager의 CRON 표현식 형식에 대한 자세한 내용은 참조: Systems Manager용 Cron 및 Rate 표현식 섹션을 참조하세요.

      또한 노드가 대상으로 설정되는 즉시 업데이트를 설치하려면 Wait to install updates until first CRON interval(첫 번째 CRON 간격까지 업데이트 설치 대기) 확인란을 선택 취소합니다. 기본적으로 Patch Manager는 첫 번째 CRON 간격까지 기다린 후에 업데이트를 설치합니다.

    • 패치 설치 후 노드를 재부팅하려면 Reboot if needed(필요한 경우 재부팅)를 선택합니다. 설치 후 재부팅하는 것이 좋지만 가용성 문제가 발생할 수 있습니다.

  8. Patch baseline(패치 기준선) 섹션에서 대상을 검사하고 업데이트할 때 사용할 패치 기준선을 선택합니다.

    기본적으로 Patch Manager는 사전 정의된 패치 기준선을 사용합니다. 자세한 내용은 미리 정의된 기준 단원을 참조하십시오.

    Custom patch baseline(사용자 지정 패치 기준선)을 선택한 경우 사전 정의된 AWS 패치 기준선을 사용하지 않으려는 운영 체제에 대해 선택된 패치 기준선을 변경합니다.

    참고

    VPC 엔드포인트를 사용하여 Systems Manager에 연결하는 경우, S3에 대한 VPC 엔드포인트 정책에서 이 S3 버킷에 대한 액세스를 허용하는지 확인하세요. 자세한 내용은 패치 정책 S3 버킷에 대한 권한 단원을 참조하십시오.

    중요

    Quick Setup에서 패치 정책 구성을 사용하는 경우 사용자 지정 패치 기준선에 대한 업데이트는 한 시간에 한 번씩 Quick Setup과 동기화됩니다.

    패치 정책에서 참조된 사용자 지정 패치 기준선이 삭제되면 해당 패치 정책의 Quick Setup Configuration details(구성 세부 정보) 페이지에 배너가 표시됩니다. 배너는 패치 정책에서 더 이상 존재하지 않는 패치 기준선을 참조하고 있으며 후속 패치 작업이 실패할 것임을 알려줍니다. 이 경우 Quick Setup Configurations(구성) 페이지로 돌아가서 Patch Manager 구성을 선택하고 Actions(작업), Edit configuration(구성 편집)을 선택합니다. 삭제된 패치 기준선 이름이 강조 표시되며, 영향을 받는 운영 체제의 새 패치 기준선을 선택해야 합니다.

  9. (선택 사항) Patching log storage(패치 로그 스토리지) 섹션에서 Write output to S3 bucket(S3 버킷에 출력 쓰기)을 선택하여 패치 작업 로그를 Amazon S3 버킷에 저장합니다.

    참고

    조직의 패치 정책을 설정하는 경우, 조직의 관리 계정에 이 버킷에 대한 읽기 전용 권한 이상의 권한이 있어야 합니다. 정책에 포함된 모든 조직 단위에는 버킷에 대한 쓰기 권한이 있어야 합니다. 여러 계정에 버킷 액세스 권한을 부여하는 방법에 대한 자세한 내용은 Amazon Simple Storage Service 사용 설명서에서 예제 2: 버킷 소유자가 교차 계정 버킷 권한 부여를 참조하세요.

  10. S3 찾아보기를 선택하여 패치 로그 출력을 저장할 버킷을 선택합니다. 관리 계정에 이 버킷에 대한 읽기 권한이 있어야 합니다. 로깅을 위해, Targets(대상) 섹션에 구성된 모든 비관리 계정 및 대상에는 제공된 S3 버킷에 대한 쓰기 권한이 있어야 합니다.

  11. Targets(대상) 섹션에서 다음 중 하나를 선택하여 이 패치 정책 작업의 계정 및 리전을 식별합니다.

    참고

    단일 계정에서 작업하는 경우 조직 및 조직 단위(OU) 작업을 위한 옵션을 사용할 수 없습니다. 이 구성을 계정의 모든 AWS 리전에 적용할지 아니면 선택한 리전에만 적용할지 선택할 수 있습니다.

    이전에 계정의 홈 리전을 지정하고 새 Quick Setup 콘솔 환경에 온보딩하지 않은 경우 해당 리전을 대상 구성에서 제외할 수 없습니다.

    • Entire organization(전체 조직) - 조직 내 모든 계정 및 리전

    • Custom(사용자 지정) - 사용자가 지정한 OU 및 리전만

      • Target OUs(대상 OU) 섹션에서 패치 정책을 설정할 OU를 선택합니다.

      • Target Regions(대상 리전) 섹션에서 패치 정책을 적용할 리전을 선택합니다.

    • Current account(현재 계정) - 현재 로그인한 계정에서 지정한 리전만 대상으로 합니다. 다음 중 하나를 선택합니다.

      • Current Region(현재 리전) - 콘솔에서 선택한 리전의 관리형 노드만 대상으로 합니다.

      • Choose Regions(리전 선택) - 패치 정책을 적용할 개별 리전을 선택합니다.

  12. Choose how you want to target instances(대상 인스턴스 지정 방식 선택)에서 다음 중 하나를 선택하여 패치할 노드를 식별합니다.

    • All managed nodes(모든 관리형 노드) - 선택한 OU 및 리전의 모든 관리형 노드.

    • Specify the resource group(리소스 그룹 지정) - 목록에서 리소스 그룹의 이름을 선택하여 관련 리소스를 대상으로 지정합니다.

      참고

      현재, 리소스 그룹 선택은 단일 계정 구성에 대해서만 지원됩니다. 여러 계정의 리소스를 패치하려면 다른 대상 지정 옵션을 선택하세요.

    • Specify a node tag(노드 태그 지정) - 대상으로 지정한 모든 계정 및 리전에서, 사용자가 지정한 키-값 페어로 태깅된 노드만 패치됩니다.

    • Manual(수동) - 지정된 모든 계정 및 리전의 관리형 노드를 목록에서 수동으로 선택합니다.

      참고

      이 옵션은 현재 Amazon EC2 인스턴드만 지원합니다.

  13. Rate control(속도 제어) 섹션에서 다음을 수행합니다.

    • Concurrency(동시성)에 패치 정책을 동시에 실행할 노드의 개수 또는 백분율을 입력합니다.

    • Error threshold(오류 임계값)에 패치 정책이 실패하기까지 오류 발생이 허용되는 노드의 개수 또는 백분율을 입력합니다.

  14. (선택 사항) 인스턴스에 연결된 기존 인스턴스 프로파일에 필수 IAM 정책 추가 확인란을 선택합니다.

    이렇게 선택하면 연결된 인스턴스 프로파일(EC2 인스턴스스) 또는 연결된 서비스 역할(하이브리드 정품 인증 노드)이 이미 있는 노드에 이 Quick Setup 구성을 통해 생성된 IAM 정책이 적용됩니다. 관리형 노드에 이미 인스턴스 프로파일 또는 서비스 역할이 연결되어 있지만, Systems Manager를 사용하는 데 필요한 모든 권한이 포함되어 있지는 않은 경우 이렇게 선택하는 것이 좋습니다.

    여기서 선택한 항목은 이 패치 정책 구성이 적용되는 계정 및 리전에서 나중에 생성되는 관리형 노드에 적용됩니다.

    중요

    이 확인란을 선택하지 않고 이 패치 정책을 사용하여 Quick Setup을 통해 관리형 노드에 패치를 적용하려면 다음을 수행해야 합니다.

    패치 정책에 대해 생성된 S3 버킷에 액세스하는 권한을 IAM 인스턴스 프로파일 또는 IAM 서비스 역할에 추가합니다.

    IAM 인스턴스 프로파일 또는 IAM 서비스 역할에 특정 키-값 쌍으로 태그를 지정합니다.

    자세한 내용은 사례 1: Quick Setup에서 제공되는 것이 아니라 관리형 노드가 있는 자체 인스턴스 프로파일 또는 서비스 역할을 사용합니다.을 참조하세요.

  15. 생성(Create)을 선택합니다.

    패치 정책이 생성된 후 패치 적용 상태를 검토하려는 경우, Quick Setup 페이지에서 구성에 액세스할 수 있습니다.