자습서: 콘솔을 사용하여 패치를 위한 유지 관리 기간 생성 - AWS Systems Manager

자습서: 콘솔을 사용하여 패치를 위한 유지 관리 기간 생성

중요

이 레거시 주제를 계속 사용하여 패치 적용을 위한 유지 관리 기간을 생성할 수 있습니다. 하지만 버킷 정책을 사용하는 대신 것이 좋습니다. 자세한 내용은 Quick Setup의 패치 정책 구성Quick Setup을 사용한 조직 내 인스턴스에 대한 패치 적용 구성 단원을 참조하세요.

서버 가용성에 미치는 영향을 최소화하려면 비즈니스 운영을 방해하지 않는 시간대에 패치를 실행할 수 있도록 유지 관리 기간을 구성하는 것이 좋습니다.

이 절차를 시작하기 전에 AWS Systems Manager의 기능인 Maintenance Windows에 대한 역할과 권한을 구성해야 합니다. 자세한 내용은 Maintenance Windows 설정 단원을 참조하십시오.

패치 적용에 대한 유지 관리 기간을 생성하려면
  1. AWS Systems Manager 콘솔(https://console.aws.amazon.com/systems-manager/)을 엽니다.

  2. 탐색 창에서 Maintenance Windows를 선택합니다.

  3. 유지 관리 기간 생성을 선택합니다.

  4. 이름 필드에서 필수 및 중요 업데이트에 패치를 적용하는 데 대한 유지 관리 기간으로 지정하는 이름을 입력합니다.

  5. (선택 사항) 설명에 설명을 입력합니다.

  6. 관리형 노드가 대상으로 등록되어 있지 않은 경우에도 관리형 노드에 대해 유지 관리 기간 태스크를 실행하도록 허용하려면 등록되지 않은 대상 허용(Allow unregistered targets)을 선택합니다.

    이 옵션을 선택한 경우 작업을 유지 관리 기간에 등록할 때 등록되지 않은 노드를 노드 ID를 사용하여 선택할 수 있습니다.

    이 옵션을 선택하지 않은 경우 작업을 유지 관리 기간에 등록할 때 이전에 등록된 대상을 선택해야 합니다.

  7. 일정 섹션의 맨 위에서 세 가지 일정 옵션 중 하나를 사용하여 유지 관리 기간 일정을 지정합니다.

    cron/rate 표현식 작성에 대한 자세한 내용은 참조: Systems Manager용 Cron 및 Rate 표현식 섹션을 참조하세요.

  8. 기간에 유지 관리 기간을 실행할 시간을 입력합니다. 지정된 값은 유지 관리가 시작하는 시간을 기준으로 유지 관리 기간의 특정 종료 시간을 결정합니다. 다음 단계에서 해당 종료 시간에서 작업 개시 중지에 지정된 시간을 뺀 시간 이후부터는 유지 관리 기간 작업을 시작할 수 없습니다.

    예를 들어, 유지 관리 기간이 오후 3시에 시작되고, 기간이 3시간으로 설정되고, 작업 개시 중지 값이 1시간인 경우, 오후 5시 이후부터는 유지 관리 기간 작업을 시작할 수 없습니다.

  9. 작업 개시 중지에 유지 관리 기간 종료 이전에 시스템에서 실행할 새 작업 예약을 중지해야 하는 시간을 입력합니다.

  10. (선택 사항) 기간 시작일(Window start date)에 유지 관리 기간을 활성화하려는 날짜 및 시간을 ISO-8601 확장 형식으로 지정합니다. 이를 사용하면 향후 지정한 날짜까지 유지 관리 기간의 정품 인증을 지연시킬 수 있습니다.

  11. (선택 사항) 기간 종료일(Window end date)에 유지 관리 기간을 비활성화하려는 날짜 및 시간을 ISO-8601 확장 형식으로 지정합니다. 이를 사용하면 유지 관리 기간이 더 이상 실행되지 않는 미래의 날짜 및 시간을 설정할 수 있습니다.

  12. (선택 사항) 일정 시간대에서는 예약된 유지 관리 기간 실행의 기준이 되는 표준 시간대를 IANA(인터넷 할당 번호 관리 기관) 형식으로 지정합니다. 예를 들어 "America/Los_Angeles", "etc/UTC" 또는 "Asia/Seoul"입니다.

    올바른 형식에 대한 자세한 내용은 IANA 웹 사이트에서 표준 시간대 데이터베이스를 참조하십시오.

  13. (선택 사항) 태그 관리 영역에서 하나 이상의 태그 키 이름/값 페어를 유지 관리 기간에 적용합니다.

    태그는 리소스에 할당하는 선택적 메타데이터입니다. 태그를 사용하면 용도, 소유자 또는 환경을 기준으로 하는 등 리소스를 다양한 방식으로 분류할 수 있습니다. 예를 들어 이 유지 관리 기간에 태그를 지정하여 실행되는 태스크의 유형을 식별할 수 있습니다. 여기에서는 다음 키 이름/값 페어를 지정할 수 있습니다.

    • Key=TaskType,Value=Patching

  14. 유지 관리 기간 생성을 선택합니다.

  15. 유지 관리 기간 목록에서 방금 만든 유지 관리 기간을 선택한 다음 작업, 대상 등록을 차례로 선택합니다.

  16. (선택 사항) 유지 관리 기간 대상 세부 정보(Maintenance window target details) 섹션에서, 이 대상에 대한 이름, 설명 및 소유자 정보(이름이나 별칭)를 제공합니다.

  17. 대상 선택의 경우 인스턴스 태그 지정을 선택합니다.

  18. 인스턴스 태그 지정에 태그 키와 태그 값을 입력하여 유지 관리 기간에 등록할 노드를 식별한 다음 추가를 선택합니다.

  19. 대상 등록을 선택합니다. 시스템에서 유지 관리 기간 대상이 생성됩니다.

  20. 생성한 유지 관리 기간의 세부 정보 페이지에서 Actions(작업), Register Run command task(실행 명령 작업 등록)을 차례대로 선택합니다.

  21. (선택 사항) Maintenance window task details(유지 관리 기간 작업 세부 정보)에 이 작업의 이름 및 설명을 제공합니다.

  22. 명령 문서(Command document에서 AWS-RunPatchBaseline를 선택합니다.

  23. 작업 우선순위(Task priority)에서 우선순위를 선택합니다. 가장 높은 우선순위는 0입니다.

  24. 대상(Target)다음을 기준으로 대상 지정(Target by)에서, 이 절차의 앞부분에서 생성한 유지 관리 기간 대상을 선택합니다.

  25. Rate control(속도 제어)에서

    • Concurrency(동시성)에서 명령을 동시에 실행할 관리형 노드의 백분율 또는 개수를 지정합니다.

      참고

      관리형 노드에 적용할 태그를 지정하거나, AWS 리소스 그룹을 지정하여 대상을 선택하였지만 대상으로 지정할 관리형 노드 수를 잘 모를 경우에는 백분율을 지정하여 동시에 문서를 실행할 수 있는 대상 수를 제한합니다.

    • Error threshold(오류 임계값)에서, 명령이 노드의 개수 또는 백분율에서 실패한 후 다른 관리형 노드에서 해당 명령의 실행을 중지할 시간을 지정합니다. 예를 들어 세 오류를 지정하면 네 번째 오류를 받았을 때 Systems Manager가 명령 전송을 중지합니다. 여전히 명령을 처리 중인 관리형 노드도 오류를 전송할 수 있습니다.

  26. (선택 사항) IAM 서비스 역할의 경우 유지 관리 기간 작업을 실행할 때 Systems Manager에서 수임할 수 있는 권한을 제공할 역할을 선택합니다.

    서비스 역할 ARN을 지정하지 않으면 Systems Manager에서 계정의 서비스 연결 역할을 사용합니다. Systems Manager에 대한 적절한 서비스 연결 역할이 계정에 없는 경우 작업이 등록될 때 해당 역할이 생성됩니다.

    참고

    보안 태세를 개선하려면 유지 관리 기간 작업을 실행하기 위한 사용자 지정 정책 및 사용자 지정 서비스 역할을 생성하는 것이 좋습니다. 특정 유지 관리 기간 작업에 필요한 권한만 제공하도록 정책을 작성할 수 있습니다. 자세한 내용은 Maintenance Windows 설정 단원을 참조하십시오.

  27. (선택 사항) 출력 옵션에서 명령 출력을 파일에 저장하려면 S3 버킷에 쓰기 활성화 옆의 상자를 선택합니다. 상자에 버킷 및 접두사(폴더) 이름을 입력합니다.

    참고

    데이터를 S3 버킷에 쓰는 기능을 부여하는 S3 권한은 이 작업을 수행하는 IAM 사용자의 권한이 아닌 관리형 노드에 할당된 인스턴스 프로파일의 권한입니다. 자세한 내용은 Systems Manager에 필요한 인스턴스 권한 구성이나 하이브리드 환경을 위한 IAM 서비스 역할 생성을 참조하세요. 또한 지정된 S3 버킷이 다른 AWS 계정에 있는 경우 관리형 노드와 연결된 인스턴스 프로파일 또는 IAM 서비스 역할은 해당 버킷에 쓸 수 있는 권한이 있어야 합니다.

    출력을 Amazon CloudWatch Logs 로그 그룹으로 스트리밍하려면 [CloudWatch 출력(CloudWatch output)] 상자를 선택합니다. 상자에 로그 그룹 이름을 입력합니다.

  28. SNS notifications(SNS 알림) 섹션에서, 명령 실행 상태에 대한 알림이 전송되도록 하려면 Enable SNS notifications(SNS 알림 활성화) 확인란을 선택합니다.

    Run Command에 대한 Amazon SNS 알림 구성에 대한 자세한 내용은 Amazon SNS 알림을 사용하여 Systems Manager 상태 변경 모니터링 섹션을 참조하세요.

  29. 파라미터:

    • 작업에서 스캔을 선택하여 누락된 패치를 스캔하거나 설치를 선택하여 누락된 패치를 스캔 및 설치합니다.

    • Snapshot Id 필드에서 아무것도 입력할 필요가 없습니다. 이 시스템은 이 파라미터를 자동으로 생성하고 제공합니다.

    • Patch Manager가 패치 기준에 지정된 것과 다른 패치 집합을 사용하도록 하려는 경우가 아니라면 [설치 재정의 목록(Install Override List)] 필드에 아무 것도 입력할 필요가 없습니다. 자세한 내용은 파라미터 이름: InstallOverrideList을 참조하세요.

    • 재부팅 옵션에서 Install 작업 중에 패치가 설치된 경우 노드를 재부팅할 것인지, 아니면 Patch Manager가 마지막 노드 재부팅 이후에 설치된 다른 패치를 검색할 것인지 지정합니다. 자세한 내용은 파라미터 이름: RebootOption을 참조하세요.

    • (선택 사항) Comment에 이 명령에 대한 추적 정보 또는 알림 사항을 입력합니다.

    • Timeout (seconds)에 시스템이 작업이 완료될 때까지 기다려야 하는 시간(초)을 입력합니다. 이 시간이 지나면 작업이 실패한 것으로 간주됩니다.

  30. [Run command 태스크 등록(Register Run command task)]을 선택합니다.

유지 관리 기간 태스크가 완료되면 Systems Manager 콘솔의 Fleet Manager 기능에서 패치 준수 세부 정보를 볼 수 있습니다.

규정 준수 보고 탭의 Patch Manager 기능에서 규정 준수 정보를 볼 수도 있습니다.

DescribePatchGroupStateDescribeInstancePatchStatesForPatchGroup API를 사용하여 규정 준수 세부 정보를 확인할 수도 있습니다. 패치 규정 준수 데이터에 대한 자세한 내용은 패치 규정 준수 정보 섹션을 참조하세요.