SSM Patch Manager でパッチが適用されず終了済みになっているインスタンスがあります。理由を教えてください
2025.07.07困っていたこと
Systems Manager の Patch Manager を利用して複数インスタンスにパッチ適用した際に、いくつかは成功したものの、いくつかは終了済みになっています。エラー内容もコンソールに一切表示されず、パッチの適用自体が開始されていないように見えます。この事象について考えられる理由を教えてください。
考えられる理由
上記の状況は、Qucik Setup のパッチポリシー関連付けで「エラーのしきい値(MaxErrors)」を設定しており、そのしきい値に抵触した可能性が考えられます。
ドキュメント *1 に記載の通り、MaxErrors は失敗したインスタンス数がしきい値を超えると、その後の処理を停止する設定です。
*1 CreateAssociation - Request Parameters からの抜粋(機械翻訳)
MaxErrors
システムが追加のターゲットに対して関連付けを実行するリクエストの送信を停止するまでに許容されるエラーの数です。絶対的なエラー数(例:10)またはターゲットセットの割合(例:10%)のいずれかを指定できます。例えば「3」を指定すると、4つ目のエラーを受信した時点でシステムはリクエストの送信を停止します。「0」を指定すると、最初のエラーが返された後にシステムはリクエストの送信を停止します。50台のマネージドノードで関連付けを実行し、MaxErrorを10%に設定した場合、システムは6つ目のエラーを受信した時点でリクエストの送信を停止します。
下記の例では、インスタンス 5 台のうち 2 台目まではパッチ適用が成功したものの、3 台目で失敗したためエラー率がしきい値を超え、それ以降の 2 台にはパッチの適用自体がされず終了したと推測できます。
どう対応すればいいの?
もし上記に該当している場合は、ドキュメント *1 に記載の通り Quick Setup の関連付け設定で MaxConcurrency を 1 にする、もしくはこのエラーしきい値自体を設定しないことを検討しましょう。
*1 CreateAssociation - Request Parameters からの抜粋(機械翻訳)
MaxErrorsに達した時点で既に実行中の関連付けは完了することが許可されますが、これらの実行の一部も失敗する可能性があります。失敗する実行がmax-errorsを超えないことを確実にする必要がある場合は、MaxConcurrencyを1に設定して、実行が一度に1つずつ進行するようにしてください。
![[Amazon EC2] 2025年 最新世代 汎用インスタンスの選び方](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-bac3d29aa65f45576f73094798087ee5/039ad6f8a7d8f18da47986d21c447f48/amazon-ec2)
