.csv 패치 규정 준수 보고서 생성 - AWS Systems Manager

.csv 패치 규정 준수 보고서 생성

AWS Systems Manager 콘솔을 사용하여 선택한 Amazon Simple Storage Service(Amazon S3) 버킷에 .csv 파일로 저장되는 패치 규정 준수 보고서를 생성할 수 있습니다. 단일 온디맨드 보고서를 생성하거나 보고서를 자동으로 생성하는 일정을 지정할 수 있습니다.

단일 관리형 노드 또는 선택한 모든 AWS 계정 및 AWS 리전에 대해 보고서를 생성할 수 있습니다. 단일 노드의 경우 보고서의 경우 규정을 준수하지 않는 노드와 관련된 패치의 ID를 비롯한 포괄적인 세부 정보가 포함됩니다. 모든 관리형 노드에 대한 보고서의 경우 비준수 노드의 패치 수와 요약 정보만 제공됩니다.

보고서가 생성된 후 Amazon QuickSight와 같은 도구를 사용하여 데이터를 가져오고 분석할 수 있습니다. Amazon QuickSight는 대화형 시각적 환경에서 정보를 탐색하고 해석하는 데 사용할 수 있는 비즈니스 인텔리전스(BI) 서비스입니다. 자세한 내용은 Amazon QuickSight User Guide를 참조하세요.

참고

사용자 지정 패치 기준선을 생성할 때 해당 패치 기준선에서 승인된 패치의 규정 준수 심각도 수준을 지정할 수 있습니다(예: Critical 또는 High). 승인된 패치의 패치 상태가 Missing으로 보고되는 경우 패치 기준선의 전반적인 보고된 규정 준수 심각도는 사용자가 지정한 심각도 수준입니다.

보고서가 생성될 때 알림을 보내는 데 사용할 Amazon Simple Notification Service(Amazon SNS) 주제를 지정할 수도 있습니다.

패치 규정 준수 보고서 생성을 위한 서비스 역할

보고서를 처음 생성할 때 Systems Manager에서는 S3로 내보내기 프로세스에 사용할 AWS-SystemsManager-PatchSummaryExportRole이라는 Automation 수임 역할을 생성합니다.

참고

규정 준수 데이터를 암호화된 S3 버킷으로 내보내는 경우 연결된 AWS KMS 키 정책을 업데이트하여 필요한 AWS-SystemsManager-PatchSummaryExportRole 권한을 제공해야 합니다. 인스턴스의 경우 이와 비슷한 권한을 S3 버킷의 AWS KMS 정책에 추가합니다.

{ "Effect": "Allow", "Action": [ "kms:GenerateDataKey" ], "Resource": "role-arn" }

role-arn을 계정에서 생성된 Amazon 리소스 이름(ARN)으로 바꿉니다(형식: arn:aws:iam::111222333444:role/service-role/AWS-SystemsManager-PatchSummaryExportRole).

자세한 내용은 AWS Key Management Service 개발자 안내서AWS KMS의 키 정책을 참조하세요.

일정에 따라 보고서를 처음 생성할 때 Systems Manager는 내보내기 프로세스에 사용할 서비스 역할 AWS-SystemsManager-PatchSummaryExportRole(아직 생성되지 않은 경우)과 함께 AWS-EventBridge-Start-SSMAutomationRole이라는 다른 서비스 역할을 생성합니다. AWS-EventBridge-Start-SSMAutomationRole은 Amazon EventBridge가 실행서 AWS-ExportPatchReportToS3을 사용하여 자동화를 시작할 수 있도록 합니다.

이러한 정책 및 역할을 수정하지 않는 것이 좋습니다. 이렇게 하면 패치 규정 준수 보고서 생성이 실패할 수 있습니다. 자세한 내용은 패치 규정 준수 보고서 생성 문제 해결 단원을 참조하십시오.

생성된 패치 규정 준수 보고서에는 무엇이 포함되어 있나요?

이 주제에서는 지정된 S3 버킷에 생성되어 다운로드되는 패치 규정 준수 보고서에 포함된 콘텐츠 유형에 대한 정보를 제공합니다.

단일 관리형 노드에 대해 생성된 보고서는 요약 정보와 세부 정보를 모두 제공합니다.

샘플 보고서 다운로드(단일 노드)

단일 관리형 노드에 대한 요약 정보에는 다음이 포함됩니다.

  • 인덱스

  • 인스턴스 ID

  • 인스턴스 이름

  • 인스턴스 IP

  • 플랫폼 이름

  • 플랫폼 버전

  • SSM Agent 버전

  • 패치 기준

  • 패치 그룹

  • 규정 준수 상태

  • 규정 준수 심각도

  • 규정 미준수 중요 심각도 패치 수

  • 규정 미준수 높음 심각도 패치 수

  • 규정 미준수 중간 심각도 패치 수

  • 규정 미준수 낮음 심각도 패치 수

  • 규정 미준수 정보 심각도 패치 수

  • 규정 미준수 지정되지 않음 심각도 패치 수

단일 관리형 노드에 대한 세부 정보에는 다음이 포함됩니다.

  • 인덱스

  • 인스턴스 ID

  • 인스턴스 이름

  • 패치 이름

  • KB ID/패치 ID

  • 패치 상태

  • 최근 보고 시간

  • Compliance 수준

  • 패치 심각도

  • 패치 분류

  • CVE ID

  • 패치 기준

  • 로그 URL

  • 인스턴스 IP

  • 플랫폼 이름

  • 플랫폼 버전

  • SSM Agent 버전

참고

사용자 지정 패치 기준선을 생성할 때 해당 패치 기준선에서 승인된 패치의 규정 준수 심각도 수준을 지정할 수 있습니다(예: Critical 또는 High). 승인된 패치의 패치 상태가 Missing으로 보고되는 경우 패치 기준선의 전반적인 보고된 규정 준수 심각도는 사용자가 지정한 심각도 수준입니다.

모든 관리형 노드에 대해 생성된 보고서는 요약 정보만 제공합니다.

샘플 보고서 다운로드(모든 관리형 노드)

모든 관리형 노드에 대한 요약 정보에는 다음이 포함됩니다.

  • 인덱스

  • 인스턴스 ID

  • 인스턴스 이름

  • 인스턴스 IP

  • 플랫폼 이름

  • 플랫폼 버전

  • SSM Agent 버전

  • 패치 기준

  • 패치 그룹

  • 규정 준수 상태

  • 규정 준수 심각도

  • 규정 미준수 중요 심각도 패치 수

  • 규정 미준수 높음 심각도 패치 수

  • 규정 미준수 중간 심각도 패치 수

  • 규정 미준수 낮음 심각도 패치 수

  • 규정 미준수 정보 심각도 패치 수

  • 규정 미준수 지정되지 않음 심각도 패치 수

단일 관리형 노드에 대한 패치 규정 준수 보고서 생성

다음 절차에 따라 AWS 계정의 단일 관리형 노드에 대한 패치 요약 보고서를 생성합니다. 단일 관리형 노드에 대한 보고서는 패치 이름 및 ID를 포함하여 규정을 위반하는 각 패치에 대한 세부 정보를 제공합니다.

단일 관리형 노드에 대한 패치 규정 준수 보고서 생성
  1. AWS Systems Manager 콘솔(https://console.aws.amazon.com/systems-manager/)을 엽니다.

  2. 탐색 창에서 Patch Manager를 선택합니다.

  3. 규정 준수 보고(Compliance reporting) 탭을 선택합니다.

  4. 보고서를 생성할 관리형 노드의 행에 대한 버튼을 선택한 다음 세부 정보 보기(View detail)를 선택합니다.

  5. 패치 요약(Patch summary) 섹션에서 S3로 내보내기(Export to S3)를 선택합니다.

  6. [보고서 이름(Report name)]에 나중에 보고서를 식별하는 데 도움이 되는 이름을 입력합니다.

  7. [보고 빈도(Reporting frequency)]에서 다음 중 하나를 선택합니다.

    • [온디맨드(On demand)] - 일회성 보고서를 생성합니다. 9단계로 건너뜁니다.

    • [일정에 따라(On a schedule)] - 보고서를 자동으로 생성하기 위한 반복 일정을 지정합니다. 계속해서 8단계를 진행합니다.

  8. [일정 유형(Schedule type)]에서 3일마다와 같은 비율 표현식을 지정하거나 cron 표현식을 제공하여 보고서 빈도를 설정합니다.

    Cron 표현식에 대한 자세한 내용은 참조: Systems Manager용 Cron 및 Rate 표현식 섹션을 참조하세요.

  9. [버킷 이름(Bucket name)]에서 .csv 보고서 파일을 저장할 S3 버킷의 이름을 선택합니다.

    중요

    2019년 3월 20일 이후에 시작된 AWS 리전에서 작업하는 경우 동일한 리전의 S3 버킷을 선택해야 합니다. 이 날짜 이후에 시작된 리전은 기본적으로 해제되어 있습니다. 자세한 내용과 이러한 리전의 목록은 Amazon Web Services 일반 참조의 리전 활성화를 참조하세요.

  10. (옵션) 보고서가 생성될 때 알림을 보내려면 다음 위치에서 SNS 주제(SNS topic) 섹션을 확장하고, Amazon Resource Name(ARN)에서 기존 Amazon SNS 주제를 선택합니다.

  11. 제출을 선택합니다.

생성된 보고서의 기록 보기에 대한 자세한 내용은 패치 규정 준수 보고 기록 보기 섹션을 참조하세요.

생성한 보고 일정의 세부 정보 보기에 대한 자세한 내용은 패치 규정 준수 보고 일정 보기 섹션을 참조하세요.

단일 관리형 노드에 대한 패치 규정 준수 보고서 생성

다음 절차에 따라 AWS 계정의 모든 관리형 노드에 대한 패치 요약 보고서를 생성합니다. 모든 관리형 노드에 대한 보고서에는 규정을 위반하는 노드와 규정 미준수 패치 수가 나와 있습니다. 패치의 이름이나 다른 식별자는 제공하지 않습니다. 이러한 추가 세부 정보를 보려면 단일 관리형 노드에 대한 패치 규정 준수 보고서를 생성합니다. 자세한 내용은 이번 주제 전반부의 단일 관리형 노드에 대한 패치 규정 준수 보고서 생성 섹션을 참조하세요.

모든 관리형 노드에 대한 패치 규정 준수 보고서 생성
  1. AWS Systems Manager 콘솔(https://console.aws.amazon.com/systems-manager/)을 엽니다.

  2. 탐색 창에서 Patch Manager를 선택합니다.

  3. 규정 준수 보고(Compliance reporting) 탭을 선택합니다.

  4. [S3로 내보내기(Export to S3)]를 선택합니다. (노드 ID를 먼저 선택하지 마세요.)

  5. [보고서 이름(Report name)]에 나중에 보고서를 식별하는 데 도움이 되는 이름을 입력합니다.

  6. [보고 빈도(Reporting frequency)]에서 다음 중 하나를 선택합니다.

    • [온디맨드(On demand)] - 일회성 보고서를 생성합니다. 8단계로 건너뜁니다.

    • [일정에 따라(On a schedule)] - 보고서를 자동으로 생성하기 위한 반복 일정을 지정합니다. 계속해서 7단계를 진행합니다.

  7. [일정 유형(Schedule type)]에서 3일마다와 같은 비율 표현식을 지정하거나 cron 표현식을 제공하여 보고서 빈도를 설정합니다.

    Cron 표현식에 대한 자세한 내용은 참조: Systems Manager용 Cron 및 Rate 표현식 섹션을 참조하세요.

  8. [버킷 이름(Bucket name)]에서 .csv 보고서 파일을 저장할 S3 버킷의 이름을 선택합니다.

    중요

    2019년 3월 20일 이후에 시작된 AWS 리전에서 작업하는 경우 동일한 리전의 S3 버킷을 선택해야 합니다. 이 날짜 이후에 시작된 리전은 기본적으로 해제되어 있습니다. 자세한 내용과 이러한 리전의 목록은 Amazon Web Services 일반 참조의 리전 활성화를 참조하세요.

  9. (옵션) 보고서가 생성될 때 알림을 보내려면 다음 위치에서 SNS 주제(SNS topic) 섹션을 확장하고, Amazon Resource Name(ARN)에서 기존 Amazon SNS 주제를 선택합니다.

  10. 제출을 선택합니다.

생성된 보고서의 기록 보기에 대한 자세한 내용은 패치 규정 준수 보고 기록 보기 섹션을 참조하세요.

생성한 보고 일정의 세부 정보 보기에 대한 자세한 내용은 패치 규정 준수 보고 일정 보기 섹션을 참조하세요.

패치 규정 준수 보고 기록 보기

이 주제의 정보를 사용하여 AWS 계정에서 생성된 패치 규정 준수 보고서에 대한 세부 정보를 볼 수 있습니다.

패치 규정 준수 보고 기록을 보려면
  1. AWS Systems Manager 콘솔(https://console.aws.amazon.com/systems-manager/)을 엽니다.

  2. 탐색 창에서 Patch Manager를 선택합니다.

  3. 규정 준수 보고(Compliance reporting) 탭을 선택합니다.

  4. [모든 S3 내보내기 보기(View all S3 exports)]를 선택하고 [내보내기 기록(Export history)] 탭을 선택합니다.

패치 규정 준수 보고 일정 보기

이 주제의 정보를 사용하여 AWS 계정에서 생성된 패치 규정 준수 보고 일정에 대한 세부 정보를 볼 수 있습니다.

패치 규정 준수 보고 기록을 보려면
  1. AWS Systems Manager 콘솔(https://console.aws.amazon.com/systems-manager/)을 엽니다.

  2. 탐색 창에서 Patch Manager를 선택합니다.

  3. 규정 준수 보고(Compliance reporting) 탭을 선택합니다.

  4. 모든 S3 내보내기 보기(View all S3 exports)를 선택하고 보고서 예약 역할(Report schedule rules) 탭을 선택합니다.

패치 규정 준수 보고서 생성 문제 해결

다음 정보를 사용하여 AWS Systems Manager의 기능인 Patch Manager에서 패치 규정 준수 보고서 생성 문제를 해결할 수 있습니다.

AWS-SystemsManager-PatchManagerExportRolePolicy 정책이 손상되었다는 메시지가 나타납니다.

문제: AWS-SystemsManager-PatchManagerExportRolePolicy가 손상되었음을 나타내는 다음과 비슷한 오류 메시지가 나타납니다.

An error occurred while updating the AWS-SystemsManager-PatchManagerExportRolePolicy
policy. If you have edited the policy, you might need to delete the policy, and any 
role that uses it, then try again. Systems Manager recreates the roles and policies 
you have deleted.
  • 솔루션: 새 패치 규정 준수 보고서를 생성하기 전에 Patch Manager 콘솔 또는 AWS CLI를 사용하여 영향을 받는 역할과 정책을 삭제합니다.

    콘솔을 사용하여 손상된 정책을 삭제하는 방법
    1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

    2. 다음 중 하나를 수행합니다.

      온디맨드 보고서 - 일회성 온디맨드 보고서를 생성하는 동안 문제가 발생한 경우 왼쪽 탐색에서 [정책(Policies)]을 선택하고 AWS-SystemsManager-PatchManagerExportRolePolicy를 검색한 다음 정책을 삭제합니다. 그런 다음 [역할(Roles)]을 선택하고 AWS-SystemsManager-PatchSummaryExportRole을 검색한 다음 역할을 삭제합니다.

      예약된 보고서 - 일정에 따라 보고서를 생성하는 동안 문제가 발생한 경우 왼쪽 탐색에서 정책을 선택하고, 한 번에 하나씩 AWS-EventBridge-Start-SSMAutomationRolePolicyAWS-SystemsManager-PatchManagerExportRolePolicy를 검색하고, 각 정책을 삭제합니다. 그런 다음 [역할(Roles)]을 선택하고 한 번에 하나씩 AWS-EventBridge-Start-SSMAutomationRoleAWS-SystemsManager-PatchSummaryExportRole을 검색한 다음 각 역할을 삭제합니다.

    AWS CLI를 사용하여 손상된 정책을 삭제하는 방법

    자리 표시자 값을 계정 ID로 바꿉니다.

    • 일회성 온디맨드 보고서를 생성하는 동안 문제가 발생한 경우 다음과 같은 명령을 실행합니다.

      aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-SystemsManager-PatchManagerExportRolePolicy
      aws iam delete-role --role-name AWS-SystemsManager-PatchSummaryExportRole

      일정에 따라 보고서를 생성하는 동안 문제가 발생한 경우 다음과 같은 명령을 실행합니다.

      aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-EventBridge-Start-SSMAutomationRolePolicy
      aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-SystemsManager-PatchManagerExportRolePolicy
      aws iam delete-role --role-name AWS-EventBridge-Start-SSMAutomationRole
      aws iam delete-role --role-name AWS-SystemsManager-PatchSummaryExportRole

    두 절차 중 하나를 완료한 후 단계에 따라 새 패치 규정 준수 보고서를 생성하거나 예약합니다.

패치 규정 준수 정책 또는 역할을 삭제한 후 예약된 보고서가 성공적으로 생성되지 않습니다.

문제: 보고서를 처음 생성할 때 Systems Manager는 내보내기 프로세스에 사용할 서비스 역할과 정책을 생성합니다(AWS-SystemsManager-PatchSummaryExportRoleAWS-SystemsManager-PatchManagerExportRolePolicy). 일정에 따라 보고서를 처음 생성할 때 Systems Manager는 다른 서비스 역할과 정책을 생성합니다(AWS-EventBridge-Start-SSMAutomationRoleAWS-EventBridge-Start-SSMAutomationRolePolicy). 이를 통해 Amazon EventBridge는 실행서 AWS-ExportPatchReportToS3을 사용하여 자동화를 시작할 수 있습니다.

이러한 정책 또는 역할을 삭제하면 일정과 지정된 S3 버킷 및 Amazon SNS 주제 간의 연결이 끊어질 수 있습니다.

  • 해결 방법: 이 문제를 해결하려면 이전 일정을 삭제하고 문제가 발생한 일정을 대체할 새 일정을 만드는 것이 좋습니다.