Systems Manager Compliance ダッシュボードにインスタンスが非準拠として表示されるのはなぜですか?

最終更新日: 2021 年 6 月 8 日

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスは、AWS Systems Manager Compliance ダッシュボードに非準拠として表示されます。この問題の原因は何ですか?

簡単な説明

Systems Manager Compliance 機能は、マネージドインスタンスのフリートのコンプライアンスデータを提供します。マネージドインスタンスのコンプライアンスステータスは、次の要因に基づいて準拠または非準拠と判断されます。

  • Patch Manager のパッチ適用のステータス
  • State Manager の関連付けのステータス
  • カスタムコンプライアンス項目のステータス (該当する場合)

インスタンスのコンプライアンスステータスを判断するために、設定コンプライアンスレポートを表示できます。コンプライアンスレポートを確認するときは、非準拠の各インスタンスの Compliance Type を特定します。

  • Compliance Type Patch は、Patch Manager のパッチ適用を理由として、インスタンスが非準拠であることを示します。
  • Compliance Type Association は、State Manager の関連付けを理由として、インスタンスが非準拠であることを示します。

: Systems Manager Compliance がコンプライアンスデータのレポートを開始するには、Compliance を開始するための前提条件が満たされている必要があります。

解決方法

Patch Manager のパッチ適用のステータスに基づく非準拠

次の理由により、Patch Manager のパッチ適用に基づいて、インスタンスが非準拠として表示されることがあります。

AWS-RunPatchBaseline ドキュメントがインスタンスで実行されなかった

インスタンスパッチベースラインドキュメント設定に従ってパッチが承認された後、Install オペレーションを使用する AWS-RunPatchBaseline ドキュメントがインスタンスで実行されなかった。問題を解決するには、次の手順に従います。

  1. 設定コンプライアンスレポートを表示します。[Patch] (パッチ) タブを選択し、[Patch Summary] (パッチの概要) を確認します。[Updates Needed] (必要な更新) が 0 以外の場合、1 つ以上の承認されたパッチをインストールする必要があるため、インスタンスは非準拠です。
  2. インストールする必要があるパッチを確認するには、下方向にスクロールして検索バーを選択し、状態が [Missing] (不足) に設定されているパッチを探します。
    : マネージドインスタンスの各パッチには、コンプライアンス状態の値が割り当てられます。値によって、そのインスタンスのコンプライアンスステータスが決まります。
  3. 非準拠インスタンスでの Install オペレーションを使用して、AWS-RunPatchBaseline ドキュメントを実行します。Patch Manager コンソールの [Patch now] (今すぐパッチ) オプションを使用して、パッチ適用オペレーションを開始できます。または、Run Command を使用するか、メンテナンスウィンドウの一部として AWS-RunPatchBaseline ドキュメントを実行することもできます。

AWS-RunPatchBaseline ドキュメントが実行されたが、承認されたパッチの一部のインストールが失敗した

Install オペレーションを使用した AWS-RunPatchBaseline ドキュメントがインスタンスで実行されました。しかし、承認されたパッチの一部は、インスタンスに固有の理由により、インスタンスにインストールできませんでした。インスタンス固有の問題を特定するには、次の手順に従います。

  1. 設定コンプライアンスレポートを表示します。[Patch] (パッチ) タブを選択し、下方向にスクロールして検索バーを選択し、状態が [Failed] (失敗) に設定されているパッチを探します。
  2. 失敗したパッチを書き留め、SSH または Session Manager を使用してインスタンスにログインします。
  3. インスタンス内の SSM Agent ログと特定のオペレーションログを確認し、インスタンス固有の問題を特定します。
    Linux ベースのインスタンス:
    /var/log/amazon/ssm/amazon-ssm-agent.log
    /var/lib/amazon/ssm/InstanceID/document/orchestration/CommandID
    Windows ベースのインスタンス:
    %PROGRAMDATA%\Amazon\SSM\Logs\amazon-ssm-agent.log
    %PROGRAMDATA%\Amazon\PatchBaselineOperations
    : Install-PatchBaselineOperation-date という名前のログファイルを探してください

: Patch Manager はパッチを提供しません。代わりに、Patch Manager は、各オペレーティングシステム (OS) に適切な組み込みメカニズムを使用してパッチ適用を調整し、インスタンスに更新プログラムをインストールします。例えば、Patch Manager は、Windows Update を使用して Microsoft Windows を実行しているインスタンスにパッチをインストールします。同様に、Patch Manager は、Amazon Linux 2 を実行しているインスタンスに yum を使用します。

AWS-RunPatchBaseline ドキュメントが実行されたが、RebootOption パラメータが NoReboot に設定されている

Install オペレーションを使用した AWS-RunPatchBaseline ドキュメントがインスタンスで実行され、承認されたすべてのパッチが正常にインストールされました。しかし、AWS RunPatchBaseline ドキュメントの RebootOption パラメータは NoReboot に設定されます。問題を解決するには、次の手順に従います。

  1. 設定コンプライアンスレポートを表示します。[Patch] (パッチ) タブを選択し、下方向にスクロールして検索バーを選択し、状態が [InstalledPendingReboot] に設定されているパッチを探します。
    : InstalledPendingReboot 状態では、インスタンスが再起動およびスキャンされるまで、インスタンスは非準拠の状態になります。
  2. インスタンスを再起動します
  3. インスタンスをスキャンし、Systems Manager Compliance ダッシュボードにインスタンスが準拠として表示されることを確認します。

AWS-RunPatchBaseline ドキュメントが実行されたが、拒否されたパッチがインスタンスに存在している

Install オペレーションを使用した AWS-RunPatchBaseline ドキュメントがインスタンスで実行され、承認されたすべてのパッチが正常にインストールされました。しかし、拒否されたパッチの一部がインスタンスに存在しています。問題を解決するには、次の手順に従います。

  1. 設定コンプライアンスレポートを表示します。後で使用するために、非準拠の関連付けの種類に対応する [Association ID] (関連付け ID) を書き留めます。
  2. [Patch] (パッチ) タブを選択し、下方向にスクロールして検索バーを選択し、状態が [InstalledRejected] に設定されているパッチを探します。
    : InstalledRejected 状態は、拒否されたパッチの一覧にパッチが追加される前にそのパッチがインストールされたことを示します。
  3. 拒否されたパッチを書き留め、SSH または Session Manager を使用してインスタンスにログインします。
  4. 拒否されたパッチをすべて削除します。

State Manager の関連付けの状態に基づく非準拠

Systems Manager の State Manager の関連付けが作成されると、インスタンスの設定状態が定義されます。その状態が維持されていない場合、Systems Manager Compliance ダッシュボードでは、インスタンスが非準拠としてレポートされます。問題を解決するには、次の手順に従います。

  1. 設定コンプライアンスレポートを表示します。 後で使用するために、非準拠の関連付けの種類に対応する [Association ID] (関連付け ID) を書き留めます。
  2. Systems Manager コンソールから、関連付け履歴を表示します。
  3. 出力を確認して、関連付けが失敗した理由を理解します。詳細については、State Manager の関連付けが失敗するか保留状態で固まっている場合の解決方法を教えてくださいを参照してください。

AWS-GatherSoftwareInventory ドキュメントの問題

AWS-GatherSoftwareInventory ドキュメントを実行している問題を理由としてインスタンスが非準拠となっている場合は、Systems Manager Inventory を使用して一般的な問題をトラブルシューティングします。


この記事はお役に立ちましたか?


請求に関するサポートまたは技術サポートが必要ですか?