変更したパッチベースラインの内容が、一部の EC2 インスタンス (ノード) へパッチのスキャン時に反映されなかった原因を教えてください
困っていること
SSM の Quick Setup を使用して、Patch Manager を利用したパッチポリシーを作成し、複数台の EC2 インスタンス (ノード) へパッチ適用を行っています。
パッチベースラインの内容を変更を行いパッチスキャンを行う関連付けが実行されたのですが、一部の EC2 インスタンス (ノード) に非準拠となり反映されませんでした。
設定などに問題ない認識ですが、反映されなかった原因を教えてください。
どう対応すればいいの?
SSM の Quick Setup は、設定されているパッチベースラインの情報をもとに baseline_overrides.json という名前のファイルを S3 バケットに保存します。
この baseline_overrides.json ファイルは「AWS-QuickSetup-PatchPolicy-BaselineRemediation」という名前の関連付けによって作成・更新され、デフォルト設定ではこの関連付けは 1 時間ごとに実行されます。
Quick Setup でパッチポリシー設定を使用している場合、カスタムパッチベースラインに加えた更新は 1 時間に 1 回 Quick Setup と同期されます。
パッチポリシーによるパッチ操作では baseline_overrides.json ファイルを参照しますので、パッチベースラインの更新後にこの関連付けが実行されるまでは、更新前のパッチベースラインの内容に基づきパッチ操作が行われることとなります。
そのため、変更~実施するタイミングによっては、関連付けの対象の一部 EC2 インスタンス (ノード) にて更新前の baseline_overrides.json ファイルを参照していたことで、非準拠となり反映されないケースもございます。
以上より、対処法としては以下が考えられます。
-
改めて手動で関連付け
AWS-QuickSetup-PatchPolicy-ScanForPatches-xxxxx を実行 -
次回のスキャン実行まで待つ
