관리형 노드 패치를 위한 SSM 명령 문서
이 주제에서는 보안과 관련된 최신 업데이트를 통해 관리형 노드를 계속 패치하는 데 활용할 수 있는 9개의 Systems Manager 문서(SSM 문서)에 대해 설명합니다.
패치 작업에서는 이들 문서 중 5개만 사용할 것을 권장하고 있습니다. 5개의 SSM 문서를 함께 참조하면 AWS Systems Manager를 사용한 다양한 패치 옵션에 대해 배울 수 있습니다. 이 문서 중 4개는 대체된 4개의 레거시 SSM 문서보다 나중에 발표되었으며 기능의 확장 또는 통합을 나타냅니다.
패치 작업에 권장되는 SSM 문서
패치 작업에서는 다음과 같은 5개의 SSM 문서를 사용할 것을 권장합니다.
-
AWS-ConfigureWindowsUpdate -
AWS-InstallWindowsUpdates -
AWS-RunPatchBaseline -
AWS-RunPatchBaselineAssociation -
AWS-RunPatchBaselineWithHooks
패치 작업을 위한 기존 SSM 문서
다음 4개의 기존 SSM 문서는 일부 AWS 리전에서 계속 사용할 수 있지만 더 이상 업데이트되지 않고 모든 시나리오에서의 작동이 보장되지 않으며 향후 더 이상 지원되지 않을 수 있습니다. 패치 작업에 사용하지 않는 것이 좋습니다.
-
AWS-ApplyPatchBaseline -
AWS-FindWindowsUpdates -
AWS-InstallMissingWindowsUpdates -
AWS-InstallSpecificWindowsUpdates
패치 적용 작업 시 이러한 SSM 문서를 사용하는 방법에 대한 자세한 내용은 다음 섹션을 참조하세요.
주제
- 관리형 노드 패치를 위한 권장 SSM 문서 정보
- 관리형 노드 패치를 위한 SSM 레거시
- 패치를 위한 SSM 명령 문서: AWS-RunPatchBaseline
- 패치를 위한 SSM 명령 문서: AWS-RunPatchBaselineAssociation
- 패치를 위한 SSM 명령 문서: AWS-RunPatchBaselineWithHooks
- AWS-RunPatchBaseline 또는 AWS-RunPatchBaselineAssociation에 InstallOverrideList 파라미터를 사용하기 위한 샘플 시나리오
- BaselineOverride 파라미터 사용
관리형 노드 패치를 위한 권장 SSM 문서 정보
관리형 노드 패치 작업에서는 다음과 같은 5개의 SSM 문서를 사용할 것을 권장합니다.
권장되는 SSM 문서
AWS-ConfigureWindowsUpdate
기본적인 Windows Update 기능을 구성하고 이들을 사용하여 업데이트를 자동 설치하거나 자동 업데이트를 해제할 수 있도록 돕습니다. 모든 AWS 리전에서 사용 가능합니다.
이 SSM 문서에서는 Windows 업데이트에게 지정된 업데이트를 다운로드 및 설치하고 필요에 따라 관리형 노드를 재부팅할 것을 요구합니다. AWS Systems Manager의 기능인 State Manager에서 이 문서를 사용하여 Windows Update에서 구성을 유지할 수 있습니다. 또한 AWS Systems Manager의 기능인 Run Command를 사용하여 이를 수동으로 실행하여 Windows Update 구성을 변경할 수도 있습니다.
이 문서에서 사용 가능한 파라미터는 설치할 업데이트의 범주나 자동 업데이트의 해제 여부를 지정하는 것은 물론이고, 패치 작업이 실행되는 요일과 시간을 지정할 수 있도록 지원합니다. 이 SSM 문서는 Windows 업데이트를 엄격하게 제어할 필요가 없고 규정 준수 정보를 수집할 필요가 없는 경우에 매우 유용합니다.
기존 SSM 문서 대체:
-
None(없음)
AWS-InstallWindowsUpdates
Windows Server 관리형 노드에 업데이트를 설치합니다. 모든 AWS 리전에서 사용 가능합니다.
이 SSM 문서는 특정 업데이트를 설치하고 싶은 경우(Include Kbs 파라미터 사용), 또는 특정 분류 또는 범주에 따라 패치를 설치하되, 패치 규정 준수 정보가 필요하지 않은 경우에 기본적인 패치 기능을 제공합니다.
기존 SSM 문서 대체:
-
AWS-FindWindowsUpdates -
AWS-InstallMissingWindowsUpdates -
AWS-InstallSpecificWindowsUpdates
3개의 레거시 문서는 서로 다른 역할을 수행하지만, 최신 SSM 문서인 AWS-InstallWindowsUpdates에서는 서로 다른 파라미터 설정을 사용해도 동일한 결과를 얻을 수 있습니다. 이러한 파라미터 설정은 관리형 노드 패치를 위한 SSM 레거시에 설명되어 있습니다.
AWS-RunPatchBaseline
관리형 노드에 패치를 설치하거나 노드를 스캔하여 기준에 부합하는 패치의 누락 여부를 판단합니다. 모든 AWS 리전에서 사용 가능합니다.
AWS-RunPatchBaseline을 사용하면 운영 체제 유형에 대해 "기본값"으로 지정된 패치 기준을 사용하여 패치 승인을 제어할 수 있습니다. Systems Manager Compliance 도구를 사용하여 확인할 수 있는 패치 규정 준수 정보를 보고합니다. 이러한 도구들은 어떤 노드에서 패치가 누락되었는지, 어떤 패치가 누락되었는지와 같이 관리형 노드의 패치 규정 준수 상태에 대한 통찰력을 제공합니다. AWS-RunPatchBaseline을 사용하면 PutInventory API 명령을 사용하여 패치 규정 준수 정보가 기록됩니다. Linux 운영 체제의 경우 관리형 노드에 구성된 기본 소스 리포지토리와 사용자 지정 패치 기준에서 지정한 대체 소스 리포지토리의 패치에 대한 규정 준수 정보가 제공됩니다. 대체 소스 리포지토리에 대한 자세한 내용은 대체 패치 소스 리포지토리를 지정하는 방법(Linux) 섹션을 참조하세요. Systems Manager Compliance 도구에 대한 자세한 내용은 AWS Systems Manager Compliance 섹션을 참조하세요.
기존 문서 대체:
-
AWS-ApplyPatchBaseline
레거시 문서 AWS-ApplyPatchBaseline은 Windows Server 관리형 노드에만 적용되며 애플리케이션 패치를 지원하지 않습니다. 최신 버전의 AWS-RunPatchBaseline은 Windows 및 Linux 시스템 모두를 동일하게 지원합니다. AWS-RunPatchBaseline 문서를 사용하려면 SSM Agent 버전 2.0.834.0 이상이 필요합니다.
AWS-RunPatchBaseline SSM 문서에 대한 자세한 내용은 패치를 위한 SSM 명령 문서: AWS-RunPatchBaseline 섹션을 참조하세요.
AWS-RunPatchBaselineAssociation
인스턴스에 패치를 설치하거나 인스턴스를 스캔하여 기준에 부합하는 패치의 누락 여부를 판단합니다. 모든 상용 AWS 리전에서 사용 가능합니다.
AWS-RunPatchBaselineAssociation은 다음과 같은 몇 가지 중요한 면에서 AWS-RunPatchBaseline과 다릅니다.
-
AWS-RunPatchBaselineAssociation은 주로 AWS Systems Manager의 기능인 Quick Setup을 사용하여 생성된 State Manager 연결에 사용하도록 만들어졌습니다. 특히 Quick Setup 호스트 관리 구성 유형을 사용하는 경우, Scan instances for missing patches daily((매일 인스턴스에서 누락된 패치 스캔) 옵션을 선택하면 작업에AWS-RunPatchBaselineAssociation이 사용됩니다.그러나 대부분의 경우 패치 작업을 직접 설정할 때
AWS-RunPatchBaselineAssociation대신 AWS-RunPatchBaseline 또는 AWS-RunPatchBaselineWithHooks를 선택해야 합니다.자세한 내용은 다음 주제를 참조하세요.
-
AWS-RunPatchBaselineAssociation은 실행 시 대상 집합에 사용할 패치 기준 식별을 위해 태그 사용을 지원합니다. -
AWS-RunPatchBaselineAssociation을 사용하는 패치 작업의 경우 패치 규정 준수 데이터는 특정 State Manager 연결 측면에서 컴파일됩니다.AWS-RunPatchBaselineAssociation실행 시 수집된 패치 규정 준수 데이터는PutInventory명령 대신PutComplianceItemsAPI 명령을 사용하여 기록됩니다. 이렇게 하면 이 특정 연결과 연결되지 않은 규정 준수 데이터를 덮어쓰는 것을 방지할 수 있습니다.Linux 운영 체제의 경우 인스턴스에 구성된 기본 소스 리포지토리와 사용자 지정 패치 기준에서 지정한 대체 소스 리포지토리의 패치에 대한 규정 준수 정보가 제공됩니다. 대체 소스 리포지토리에 대한 자세한 내용은 대체 패치 소스 리포지토리를 지정하는 방법(Linux) 섹션을 참조하세요. Systems Manager Compliance 도구에 대한 자세한 내용은 AWS Systems Manager Compliance 섹션을 참조하세요.
기존 문서 대체:
-
None(없음)
AWS-RunPatchBaselineAssociation SSM 문서에 대한 자세한 내용은 패치를 위한 SSM 명령 문서: AWS-RunPatchBaselineAssociation 섹션을 참조하세요.
AWS-RunPatchBaselineWithHooks
관리형 노드에 패치를 설치하거나 노드를 스캔하여 패치 주기 동안 세 지점에서 SSM 문서를 실행하는 데 사용할 수 있는 옵션 후크로 정규화된 패치의 누락 여부를 판단합니다. 모든 상용 AWS 리전에서 사용 가능합니다. macOS에서는 지원되지 않습니다.
AWS-RunPatchBaselineWithHooks는 Install 작업에 있어 AWS-RunPatchBaseline과 다릅니다.
AWS-RunPatchBaselineWithHooks는 관리형 노드 패치 중 지정된 지점에서 실행되는 수명 주기 후크를 지원합니다. 패치 설치 시 관리형 노드를 재부팅해야 하는 경우가 있기 때문에 패치 작업은 사용자 정의 기능을 지원하는 총 3개의 후크에 대한 2개의 이벤트로 나뉩니다. 첫 번째 후크는 Install with NoReboot 작업 전입니다. 두 번째 후크는 Install with NoReboot 작업 후입니다. 세 번째 후크는 노드 재부팅 후 사용할 수 있습니다.
기존 문서 대체:
-
None(없음)
AWS-RunPatchBaselineWithHooks SSM 문서에 대한 자세한 내용은 패치를 위한 SSM 명령 문서: AWS-RunPatchBaselineWithHooks 섹션을 참조하세요.
관리형 노드 패치를 위한 SSM 레거시
다음과 같은 4개의 SSM 문서는 일부 AWS 리전에서 계속 사용할 수 있습니다. 그러나 더 이상 업데이트되지 않으며 향후 지원되지 않을 수 있기 때문에 사용하지 않는 것이 좋습니다. 대신에 관리형 노드 패치를 위한 권장 SSM 문서 정보에 설명되어 있는 문서를 사용하십시오.
기존 SSM 문서
AWS-ApplyPatchBaseline
Windows Server 관리형 노드만 지원하지만, 이를 대체하는 AWS-RunPatchBaseline에 있는 패치 애플리케이션에 대한 지원은 포함하지 않습니다. 2017년 8월 이후에 출시된 AWS 리전에서는 사용할 수 없습니다.
참고
이 SSM 문서 AWS-RunPatchBaseline을 대체하려면 버전 2.0.834.0 이상의 SSM Agent가 필요합니다. AWS-UpdateSSMAgent 문서를 사용하여 최신 버전의 에이전트로 관리형 노드를 업데이트할 수 있습니다.
AWS-FindWindowsUpdates
AWS-InstallWindowsUpdates에 의해 대체되지만, 동일한 모든 작업을 수행할 수 있습니다. 2017년 4월 이후에 출시된 AWS 리전에서는 사용할 수 없습니다.
이 레거시 SSM 문서에서와 동일한 결과를 얻으려면 권장되는 대체 문서인 AWS-InstallWindowsUpdates에서 다음과 같이 파라미터 구성을 사용합니다.
-
Action=Scan -
Allow Reboot=False
AWS-InstallMissingWindowsUpdates
AWS-InstallWindowsUpdates에 의해 대체되지만, 동일한 모든 작업을 수행할 수 있습니다. 2017년 4월 이후에 출시된 AWS 리전에서는 사용할 수 없습니다.
이 레거시 SSM 문서에서와 동일한 결과를 얻으려면 권장되는 대체 문서인 AWS-InstallWindowsUpdates에서 다음과 같이 파라미터 구성을 사용합니다.
-
Action=Install -
Allow Reboot=True
AWS-InstallSpecificWindowsUpdates
AWS-InstallWindowsUpdates에 의해 대체되지만, 동일한 모든 작업을 수행할 수 있습니다. 2017년 4월 이후에 출시된 AWS 리전에서는 사용할 수 없습니다.
이 레거시 SSM 문서에서와 동일한 결과를 얻으려면 권장되는 대체 문서인 AWS-InstallWindowsUpdates에서 다음과 같이 파라미터 구성을 사용합니다.
-
Action=Install -
Allow Reboot=True -
Include Kbs=KB 문서를 쉼표로 분리한 목록
