• AWS Systems Manager CloudWatch 대시보드는 2026년 4월 30일 이후에는 더 이상 사용할 수 없습니다. 고객은 Amazon CloudWatch 콘솔을 계속 사용하여 현재와 마찬가지로 Amazon CloudWatch 대시보드를 보고, 생성하고, 관리할 수 있습니다. 자세한 내용은 [Amazon CloudWatch 대시보드 설명서](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)를 참조하세요.
# 자습서: 콘솔을 사용하여 패치를 위한 유지 관리 기간 생성
**중요**
이 레거시 주제를 계속 사용하여 패치 적용을 위한 유지 관리 기간을 생성할 수 있습니다. 하지만 버킷 정책을 사용하는 대신 것이 좋습니다. 자세한 내용은 [Quick Setup의 패치 정책 구성](patch-manager-policies.md) 및 [Quick Setup 패치 정책을 사용한 조직 내 인스턴스에 대한 패치 적용 구성](quick-setup-patch-manager.md)(을)를 참조하세요.
서버 가용성에 미치는 영향을 최소화하려면 비즈니스 운영을 방해하지 않는 시간대에 패치를 실행할 수 있도록 유지 관리 기간을 구성하는 것이 좋습니다.
이 절차를 시작하기 전에 AWS Systems Manager의 도구인 Maintenance Windows에 대한 역할과 권한을 구성해야 합니다. 자세한 내용은 [Maintenance Windows 설정](setting-up-maintenance-windows.md) 섹션을 참조하세요.
**패치 적용에 대한 유지 관리 기간을 생성하려면**
1. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)에서 AWS Systems Manager 콘솔을 엽니다.
1. 탐색 창에서 **Maintenance Windows**를 선택합니다.
1. **유지 관리 기간 생성**을 선택합니다.
1. **이름** 필드에서 필수 및 중요 업데이트에 패치를 적용하는 데 대한 유지 관리 기간으로 지정하는 이름을 입력합니다.
1. (선택 사항) **설명**에 설명을 입력합니다.
1. 관리형 노드가 대상으로 등록되어 있지 않은 경우에도 관리형 노드에 대해 유지 관리 기간 태스크를 실행하도록 허용하려면 **등록되지 않은 대상 허용(Allow unregistered targets)**을 선택합니다.
이 옵션을 선택한 경우 작업을 유지 관리 기간에 등록할 때 등록되지 않은 노드를 노드 ID를 사용하여 선택할 수 있습니다.
이 옵션을 선택하지 않은 경우 작업을 유지 관리 기간에 등록할 때 이전에 등록된 대상을 선택해야 합니다.
1. **일정** 섹션의 맨 위에서 세 가지 일정 옵션 중 하나를 사용하여 유지 관리 기간 일정을 지정합니다.
cron/rate 표현식 작성에 대한 자세한 내용은 [참조: Systems Manager용 Cron 및 Rate 표현식](reference-cron-and-rate-expressions.md) 섹션을 참조하세요.
1. **기간**에 유지 관리 기간을 실행할 시간을 입력합니다. 지정된 값은 유지 관리가 시작하는 시간을 기준으로 유지 관리 기간의 특정 종료 시간을 결정합니다. 다음 단계에서 해당 종료 시간에서 **작업 개시 중지**에 지정된 시간을 뺀 시간 이후부터는 유지 관리 기간 작업을 시작할 수 없습니다.
예를 들어, 유지 관리 기간이 오후 3시에 시작되고, 기간이 3시간으로 설정되고, **작업 개시 중지** 값이 1시간인 경우, 오후 5시 이후부터는 유지 관리 기간 작업을 시작할 수 없습니다.
1. **작업 개시 중지**에 유지 관리 기간 종료 이전에 시스템에서 실행할 새 작업 예약을 중지해야 하는 시간을 입력합니다.
1. (선택 사항) **기간 시작일(Window start date)**에 유지 관리 기간을 활성화하려는 날짜 및 시간을 ISO-8601 확장 형식으로 지정합니다. 이를 사용하면 향후 지정한 날짜까지 유지 관리 기간의 정품 인증을 지연시킬 수 있습니다.
1. (선택 사항) **기간 종료일(Window end date)**에 유지 관리 기간을 비활성화하려는 날짜 및 시간을 ISO-8601 확장 형식으로 지정합니다. 이를 사용하면 유지 관리 기간이 더 이상 실행되지 않는 미래의 날짜 및 시간을 설정할 수 있습니다.
1. (선택 사항) **일정 시간대**에서는 예약된 유지 관리 기간 실행의 기준이 되는 표준 시간대를 IANA(인터넷 할당 번호 관리 기관) 형식으로 지정합니다. 예를 들어 "America/Los\$1Angeles", "etc/UTC" 또는 "Asia/Seoul"입니다.
올바른 형식에 대한 자세한 내용은 IANA 웹 사이트에서 [표준 시간대 데이터베이스](https://www.iana.org/time-zones)를 참조하십시오.
1. (선택 사항) **태그 관리** 영역에서 하나 이상의 태그 키 이름/값 페어를 유지 관리 기간에 적용합니다.
태그는 리소스에 할당하는 선택적 메타데이터입니다. 태그를 사용하면 용도, 소유자 또는 환경을 기준으로 하는 등 리소스를 다양한 방식으로 분류할 수 있습니다. 예를 들어 이 유지 관리 기간에 태그를 지정하여 실행되는 태스크의 유형을 식별할 수 있습니다. 여기에서는 다음 키 이름/값 페어를 지정할 수 있습니다.
+ `Key=TaskType,Value=Patching`
1. **유지 관리 기간 생성**을 선택합니다.
1. 유지 관리 기간 목록에서 방금 만든 유지 관리 기간을 선택한 다음 **작업**, **대상 등록**을 차례로 선택합니다.
1. (선택 사항) **유지 관리 기간 대상 세부 정보(Maintenance window target details)** 섹션에서, 이 대상에 대한 이름, 설명 및 소유자 정보(이름이나 별칭)를 제공합니다.
1. **대상 선택**의 경우 **인스턴스 태그 지정**을 선택합니다.
1. **인스턴스 태그 지정**에 태그 키와 태그 값을 입력하여 유지 관리 기간에 등록할 노드를 식별한 다음 **추가**를 선택합니다.
1. **대상 등록**을 선택합니다. 시스템에서 유지 관리 기간 대상이 생성됩니다.
1. 생성한 유지 관리 기간의 세부 정보 페이지에서 **Actions(작업)**, **Register Run command task(실행 명령 작업 등록)**을 차례대로 선택합니다.
1. (선택 사항) **Maintenance window task details(유지 관리 기간 작업 세부 정보)**에 이 작업의 이름 및 설명을 제공합니다.
1. **명령 문서(Command document**에서 `AWS-RunPatchBaseline`를 선택합니다.
1. **작업 우선순위(Task priority)**에서 우선순위를 선택합니다. 가장 높은 우선순위는 `0`입니다.
1. **대상(Target)**의 **다음을 기준으로 대상 지정(Target by)**에서, 이 절차의 앞부분에서 생성한 유지 관리 기간 대상을 선택합니다.
1. **Rate control**(속도 제어)에서
+ **Concurrency**(동시성)에서 명령을 동시에 실행할 관리형 노드의 백분율 또는 개수를 지정합니다.
**참고**
관리형 노드에 적용할 태그를 지정하거나, AWS 리소스 그룹을 지정하여 대상을 선택하였지만 대상으로 지정할 관리형 노드 수를 잘 모를 경우에는 백분율을 지정하여 동시에 문서를 실행할 수 있는 대상 수를 제한합니다.
+ **Error threshold**(오류 임계값)에서, 명령이 노드의 개수 또는 백분율에서 실패한 후 다른 관리형 노드에서 해당 명령의 실행을 중지할 시간을 지정합니다. 예를 들어 세 오류를 지정하면 네 번째 오류를 받았을 때 Systems Manager가 명령 전송을 중지합니다. 여전히 명령을 처리 중인 관리형 노드도 오류를 전송할 수 있습니다.
1. (선택 사항) **IAM 서비스 역할**의 경우 유지 관리 기간 작업을 실행할 때 Systems Manager에서 수임할 수 있는 권한을 제공할 역할을 선택합니다.
서비스 역할 ARN을 지정하지 않으면 Systems Manager에서 계정의 서비스 연결 역할을 사용합니다. Systems Manager에 대한 적절한 서비스 연결 역할이 계정에 없는 경우 작업이 등록될 때 해당 역할이 생성됩니다.
**참고**
보안 태세를 개선하려면 유지 관리 기간 작업을 실행하기 위한 사용자 지정 정책 및 사용자 지정 서비스 역할을 생성하는 것이 좋습니다. 특정 유지 관리 기간 작업에 필요한 권한만 제공하도록 정책을 작성할 수 있습니다. 자세한 내용은 [Maintenance Windows 설정](setting-up-maintenance-windows.md) 섹션을 참조하세요.
1. (선택 사항) **출력 옵션**에서 명령 출력을 파일에 저장하려면 **S3 버킷에 쓰기 활성화** 옆의 상자를 선택합니다. 상자에 버킷 및 접두사(폴더) 이름을 입력합니다.
**참고**
데이터를 S3 버킷에 쓰는 기능을 부여하는 S3 권한은 이 작업을 수행하는 IAM 사용자의 권한이 아닌 관리형 노드에 할당된 인스턴스 프로파일의 권한입니다. 자세한 내용은 [Systems Manager에 필요한 인스턴스 권한 구성](setup-instance-permissions.md)이나 [하이브리드 환경을 위한 IAM 서비스 역할 생성](hybrid-multicloud-service-role.md)을 참조하세요. 또한 지정된 S3 버킷이 다른 AWS 계정에 있는 경우 관리형 노드와 연결된 인스턴스 프로파일 또는 IAM 서비스 역할은 해당 버킷에 쓸 수 있는 권한이 있어야 합니다.
출력을 Amazon CloudWatch Logs 로그 그룹으로 스트리밍하려면 [**CloudWatch 출력(CloudWatch output)**] 상자를 선택합니다. 상자에 로그 그룹 이름을 입력합니다.
1. **SNS notifications**(SNS 알림) 섹션에서, 명령 실행 상태에 대한 알림이 전송되도록 하려면 **Enable SNS notifications**(SNS 알림 활성화) 확인란을 선택합니다.
Run Command에 대한 Amazon SNS 알림 구성에 대한 자세한 내용은 [Amazon SNS 알림을 사용하여 Systems Manager 상태 변경 모니터링](monitoring-sns-notifications.md) 섹션을 참조하세요.
1. **파라미터**:
+ **작업**에서 **스캔**을 선택하여 누락된 패치를 스캔하거나 **설치**를 선택하여 누락된 패치를 스캔 및 설치합니다.
+ **Snapshot Id** 필드에서 아무것도 입력할 필요가 없습니다. 이 시스템은 이 파라미터를 자동으로 생성하고 제공합니다.
+ Patch Manager가 패치 기준에 지정된 것과 다른 패치 집합을 사용하도록 하려는 경우가 아니라면 [**설치 재정의 목록(Install Override List)**] 필드에 아무 것도 입력할 필요가 없습니다. 자세한 내용은 [파라미터 이름: `InstallOverrideList`](patch-manager-aws-runpatchbaseline.md#patch-manager-aws-runpatchbaseline-parameters-installoverridelist) 섹션을 참조하세요.
+ **재부팅 옵션**에서 `Install` 작업 중에 패치가 설치된 경우 노드를 재부팅할 것인지, 아니면 Patch Manager가 마지막 노드 재부팅 이후에 설치된 다른 패치를 검색할 것인지 지정합니다. 자세한 내용은 [파라미터 이름: `RebootOption`](patch-manager-aws-runpatchbaseline.md#patch-manager-aws-runpatchbaseline-parameters-norebootoption) 섹션을 참조하세요.
+ (선택 사항) **Comment**에 이 명령에 대한 추적 정보 또는 알림 사항을 입력합니다.
+ **Timeout (seconds)**에 시스템이 작업이 완료될 때까지 기다려야 하는 시간(초)을 입력합니다. 이 시간이 지나면 작업이 실패한 것으로 간주됩니다.
1. [**Run command 태스크 등록(Register Run command task)**]을 선택합니다.
유지 관리 기간 태스크가 완료되면 Systems Manager 콘솔의 [Fleet Manager](fleet-manager.md) 도구에서 패치 준수 세부 정보를 볼 수 있습니다.
**규정 준수 보고** 탭의 [Patch Manager](patch-manager.md) 도구에서 규정 준수 정보를 볼 수도 있습니다.
[DescribePatchGroupState](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribePatchGroupState.html) 및 [DescribeInstancePatchStatesForPatchGroup](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeInstancePatchStatesForPatchGroup.html) API를 사용하여 규정 준수 세부 정보를 확인할 수도 있습니다. 패치 규정 준수 데이터에 대한 자세한 내용은 [패치 규정 준수 정보](compliance-about.md#compliance-monitor-patch) 섹션을 참조하세요.
# 유지 관리 기간을 사용하는 패치 일정
패치 기준선(및 선택적으로 패치 그룹)을 구성한 후 유지 관리 기간을 사용하여 패치를 노드에 적용할 수 있습니다. 유지 관리 기간은 비즈니스 운영을 방해하지 않는 범위 내에서 패치 프로세스 시간을 지정함으로써 서버 가용성에 미치는 영향을 최소화할 수 있습니다. 유지 관리 기간은 다음과 같이 실행됩니다.
1. 패치 적용 작업에 대한 일정에 따라 유지 관리 기간을 생성합니다.
1. 태그 이름에 `Patch Group` 또는 `PatchGroup` 태그를 지정하고 Amazon Elastic Compute Cloud(Amazon EC2) 태그를 정의한 값(예: '웹 서버' 또는 'US-EAST-PROD')을 지정하여 유지 관리 기간에 대한 대상을 선택합니다. [EC2 인스턴스 메타데이터에 태그를 허용](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#allow-access-to-tags-in-IMDS)한 경우 `PatchGroup`(공백 없음)을 사용해야 합니다.
1. 새로운 유지 관리 기간 태스크를 생성하고 `AWS-RunPatchBaseline` 문서를 지정합니다.
작업을 구성할 때 노드를 스캔할 것인지 또는 노드에서 패치를 스캔하여 설치할 것인지 선택할 수 있습니다. 노드 스캔을 선택하는 경우 AWS Systems Manager의 도구인 Patch Manager는 이제 각 노드를 스캔하고 검토해야 할 누락된 패치 목록을 생성합니다.
패치를 스캔 및 설치하기로 선택하면 Patch Manager가 각 노드를 스캔하고 설치된 패치의 목록을 기준의 승인된 패치 목록과 비교합니다. Patch Manager는 누락된 패치를 식별한 다음 누락된 패치와 승인된 패치를 모두 다운로드하고 설치합니다.
한 번 검사하거나 설치하여 문제를 해결하려면 Run Command를 사용하여 `AWS-RunPatchBaseline` 문서를 직접 호출할 수 있습니다.
**중요**
패치 설치를 마치면 Systems Manager가 각 노드를 재부팅합니다. 재부팅은 패치가 올바르게 설치되고 시스템이 노드를 잠재적으로 잘못된 상태로 두진 않았는지 확인하기 위해 필요합니다. (예외: `AWS-RunPatchBaseline` 문서에서 `RebootOption` 파라미터가 `NoReboot`로 설정되어 있으면 Patch Manager를 실행한 후 관리형 노드가 재부팅되지 않습니다. 자세한 내용은 [파라미터 이름: `RebootOption`](patch-manager-aws-runpatchbaseline.md#patch-manager-aws-runpatchbaseline-parameters-norebootoption) 섹션을 참조하세요.)