패치 규정 준수 상태 값 - AWS Systems Manager
Debian Server, Raspberry Pi OS 및 Ubuntu Server의 패치 규정 준수 값다른 운영 체제의 패치 규정 준수 값

패치 규정 준수 상태 값

관리형 노드의 패치에 대한 정보에는 각 개별 패치의 상태에 대한 보고서가 포함됩니다.

참고

관리형 노드에 특정 패치 규정 준수 상태를 할당하려면 put-compliance-items AWS Command Line Interface(AWS CLI) 명령 또는 PutComplianceItems API 작업을 사용합니다. 콘솔에서는 규정 준수 상태를 할당할 수 없습니다.

다음 표의 정보를 사용하여 관리형 노드가 패치 규정을 위반하는 이유를 식별할 수 있습니다.

Debian Server, Raspberry Pi OS 및 Ubuntu Server의 패치 규정 준수 값

Debian Server, Raspberry Pi OS 및 Ubuntu Server의 경우 다양한 규정 준수 상태로 패키지를 분류하는 규칙은 다음 표에 설명되어 있습니다.

참고

INSTALLED, INSTALLED_OTHER, MISSING 상태 값을 평가할 때 다음 사항에 유의하세요. 패치 기준을 생성하거나 업데이트할 때 비보안 업데이트 포함 확인란을 선택하지 않으면 패치 후보 버전은 trusty-security(Ubuntu Server 14.04 LTS), xenial-security(Ubuntu Server 16.04 LTS), bionic-security(Ubuntu Server 18.04 LTS), focal-security(Ubuntu Server 20.04 LTS), groovy-security(Ubuntu Server 20.10 STR), jammy-security(Ubuntu Server 22.04 LTS) 또는 debian-security(Debian Server 및 Raspberry Pi OS)에 포함된 패치로 제한됩니다. [비보안 업데이트 포함(Include nonsecurity updates)] 확인란을 선택하면 다른 리포지토리의 패치도 고려됩니다.

패치 상태 설명 규정 준수 상태

INSTALLED

패치가 패치 기준에 나열되고 관리형 노드에 설치됩니다. 개인이 수동으로 설치하거나 AWS-RunPatchBaseline 문서가 관리형 노드에서 실행되었을 때 개인이나 Patch Manager가 자동으로 설치했을 수 있습니다.

 규정 준수

INSTALLED_OTHER

패치가 기준에 포함되지 않았거나 기준에서 승인되지 않았지만 관리형 노드에 설치되었습니다. 패치가 수동으로 설치되었거나 패키지가 승인된 다른 패치의 필수 종속성이거나 패치가 InstallOverrideList 작업에 포함되었을 수 있습니다. [거부된 패치(Rejected patches)] 작업으로 Block을 지정하지 않으면 INSTALLED_OTHER 패치에는 설치되었지만 거부된 패치도 포함됩니다.

 규정 준수

INSTALLED_PENDING_REBOOT

INSTALLED_PENDING_REBOOT는 다음 중 하나를 의미할 수 있습니다.

  • Patch Manager Install 작업에서 관리형 노드에 패치를 적용했지만 패치가 적용된 이후로 노드가 재부팅되지 않았습니다. 이는 일반적으로 AWS-RunPatchBaseline 문서가 관리형 노드에서 마지막으로 실행되었을 때 RebootOption 파라미터에 대해 NoReboot 옵션이 선택되었음을 의미합니다. 자세한 내용은 파라미터 이름: RebootOption 단원을 참조하십시오.

  • 관리형 노드를 마지막으로 재부팅한 이후 Patch Manager 외부에 패치가 설치되었습니다.

 규정 미준수

INSTALLED_REJECTED

패치가 관리형 노드에 설치되었지만 거부된 패치(Rejected patches) 목록에 지정되었습니다. 이는 일반적으로 패치가 거부된 패치 목록에 추가되기 이전에 설치된 경우에 해당합니다.

 규정 미준수

MISSING

기준을 통해 필터링되고 아직 설치되지 않은 패키지입니다.

 규정 미준수

FAILED

패치 작업 중에 설치에 실패한 패키지입니다.

 규정 미준수

다른 운영 체제의 패치 규정 준수 값

Debian Server, Raspberry Pi OS 및 Ubuntu Server 외에 모든 운영 체제의 경우 다양한 규정 준수 상태로 패키지를 분류하는 규칙은 다음 표에 설명되어 있습니다.

패치 상태 설명 Compliance 값

INSTALLED

패치가 패치 기준에 나열되고 관리형 노드에 설치됩니다. 개인이 수동으로 설치하거나 AWS-RunPatchBaseline 문서가 노드에서 실행되었을 때 개인이나 Patch Manager가 자동으로 설치했을 수 있습니다.

 규정 준수

INSTALLED_OTHER¹

패치가 기준에 없지만 관리형 노드에 설치되었습니다. 이에 대한 원인은 다음 두 가지가 있을 수 있습니다.

  1. 패치를 수동으로 설치했을 수 있습니다.

  2. Linux 전용: 패키지가 승인된 다른 패치의 필수 종속성으로 설치되었을 수 있습니다. 거부된 패치 작업으로 Allow as dependency를 지정하는 경우 종속성으로 설치된 패치에는 INSTALLED_OTHER 보고 상태가 지정됩니다.

    참고

    Windows Server에서는 패치 종속성의 개념을 지원하지 않습니다. Patch Manager가 Windows Server에서 거부된 패치 목록의 패치를 처리하는 방법에 대한 자세한 내용은 사용자 지정 패치 기준의 거부된 패치 목록 옵션을 참조하세요.

 규정 준수

INSTALLED_REJECTED

패치가 관리형 노드에 설치되었지만 거부된 패치(Rejected patches) 목록에 지정되었습니다. 이는 일반적으로 패치가 거부된 패치 목록에 추가되기 이전에 설치된 경우에 해당합니다.

 규정 미준수

INSTALLED_PENDING_REBOOT

INSTALLED_PENDING_REBOOT는 다음 중 하나를 의미할 수 있습니다.

  • Patch Manager Install 작업에서 관리형 노드에 패치를 적용했지만 패치가 적용된 이후로 노드가 재부팅되지 않았습니다. 이는 일반적으로 AWS-RunPatchBaseline 문서가 관리형 노드에서 마지막으로 실행되었을 때 RebootOption 파라미터에 대해 NoReboot 옵션이 선택되었음을 의미합니다. 자세한 내용은 파라미터 이름: RebootOption 단원을 참조하십시오.

  • 관리형 노드를 마지막으로 재부팅한 이후 Patch Manager 외부에 패치가 설치되었습니다.

 규정 미준수

MISSING

패치가 기준에 승인되었지만 관리형 노드에 설치되지 않았습니다. AWS-RunPatchBaseline 문서 태스크를 (설치 대신) 검사하도록 구성하는 경우 시스템은 검사 도중에 있었지만 설치되지는 않은 패치에 대해 이 상태를 보고합니다.

 규정 미준수

NOT_APPLICABLE¹

패치가 기준에 승인되었지만 패치를 사용하는 서비스 또는 기능이 관리형 노드에 설치되지 않았습니다. 예를 들어 인터넷 정보 서비스(IIS)와 같은 웹 서버 서비스에 대한 패치는 해당 패치가 기준에 승인되었지만 웹 서비스가 관리형 노드에 설치되지 않은 경우 NOT_APPLICABLE로 표시됩니다. 패치가 후속 업데이트로 대체된 경우에도 패치를 NOT_APPLICABLE로 표시할 수 있습니다. 즉, 이후 업데이트가 설치되고 NOT_APPLICABLE 업데이트가 더 이상 필요하지 않습니다.

참고

이 규정 준수 상태는 Windows Server 운영 체제에서만 보고됩니다.

 해당 사항 없음

FAILED

패치가 기준에 승인되었지만 인스턴스에 설치될 수 없었습니다. 이 상황을 해결하려면 문제를 이해하는 데 도움이 될 수 있는 정보에 대한 명령 출력을 검토합니다.

 규정 미준수

¹ 상태가 INSTALLED_OTHERNOT_APPLICABLE인 패치의 경우 Patch Manager는 describe-instance-patches 명령에 기반을 둔 쿼리 결과에서 ClassificationSeverity의 값과 같은 일부 데이터를 생략합니다. 이 작업은 AWS Systems Manager의 기능인 인벤토리의 개별 노드에 대한 데이터 제한을 초과하는 것을 방지하기 위해 수행됩니다. 모든 패치 세부 정보를 보려면 describe-available-patches 명령을 사용합니다.