기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# AMS Accelerate의 패치 관리 이해
<a name="acc-patching"></a>

**중요**  
패치 가속화 보고는 AWS Glue 리소스 기반 정책을 주기적으로 배포합니다. 패치 적용 시스템에 대한 AMS 업데이트는 기존 AWS Glue 리소스 기반 정책을 덮어씁니다.

**중요**  
관리형 노드에 대한 대체 패치 리포지토리를 지정할 수 있습니다. AMS가 요청된 패치 구성을 구현하는 동안 선택한 리포지토리의 보안을 선택하고 검증할 책임은 사용자에게 있습니다. 또한 공급망 위험과 같이 이러한 리포지토리 사용으로 인한 모든 위험을 수락해야 합니다.  
다음은 패치 관리 프로세스의 보안을 위한 모범 사례입니다.  
신뢰할 수 있고 검증된 리포지토리 소스만 사용
가능한 경우 표준 OS 공급업체 리포지토리 기본값
사용자 지정 리포지토리 구성을 정기적으로 감사

AMS Accelerate 패치 적용 시스템인 패치 추가 기능을 사용하여 보안 관련 업데이트 및 기타 유형의 업데이트로 인스턴스를 패치할 수 있습니다. Accelerate Patch 추가 기능은 AMS 인스턴스에 태그 기반 패치를 제공하는 기능입니다. ( AWS Systems Manager SSM) 기능을 활용하므로 인스턴스에 태그를 지정하고 구성한 기준 및 창을 사용하여 해당 인스턴스에 패치를 적용할 수 있습니다. AMS Accelerate 패치 추가 기능은 온보딩 옵션입니다. Accelerate 계정을 온보딩하는 동안 획득하지 못한 경우 클라우드 서비스 제공 관리자(CSDM)에게 문의하여 획득하세요.

AMS Accelerate 패치 관리는 Systems Manager 패치 기준 기능을 사용하여 인스턴스에 적용되는 패치의 정의를 제어합니다. 패치 기준에는 모든 보안 패치와 같이 사전 승인된 패치 목록이 포함되어 있습니다. 인스턴스의 규정 준수는 인스턴스와 연결된 패치 기준과 비교하여 측정됩니다. AMS Accelerate는 기본적으로 인스턴스를 최신 상태로 유지하는 데 사용할 수 있는 모든 패치를 설치합니다.

**참고**  
AMS Accelerate는 운영 체제(OS) 패치만 적용합니다. 예를 들어 Windows의 경우 Microsoft 업데이트가 아닌 Windows 업데이트만 적용됩니다.

보고서에 대한 자세한 내용은 섹션을 참조하세요[AMS 호스트 관리 보고서](ams-host-man.md).

AMS Accelerate는 운영 우수성을 달성하는 데 도움이 되는 다양한 운영 서비스를 제공합니다 AWS. 연중무휴 24시간 헬프데스크, 사전 모니터링, 보안, 패치 적용, 로깅 및 백업을 포함한 몇 가지 주요 운영 기능을 AWS 클라우드 통해 AMS가에서 전반적인 운영 우수성을 달성하는 데 어떻게 도움이 되는지 빠르게 이해하려면 [ AMS 참조 아키텍처 다이어그램을 참조하세요](https://d1.awsstatic.com/architecture-diagrams/ArchitectureDiagrams/AWS-managed-services-for-operational-excellence-ra.pdf).

**Topics**
+ [패치 적용 권장 사항](#acc-patching-recos)
+ [AMS에서 패치 유지 관리 기간 생성](acc-p-maint-window.md)
+ [후크가 있는 패치](acc-p-hooks.md)
+ [AMS Accelerate 패치 기준](acc-patch-baseline.md)
+ [AMS Accelerate의 온디맨드 패치를 위한 IAM 역할 생성](acc-p-user-access.md)
+ [AMS Accelerate의 패치 알림 및 패치 실패 이해](acc-patch-mon-remediate.md)

## 패치 적용 권장 사항
<a name="acc-patching-recos"></a>

애플리케이션 또는 인프라 운영에 종사하고 있다면 애플리케이션 팀의 다양한 요구 사항을 충족할 수 있을 만큼 유연하고 확장 가능한 운영 체제 (OS) 패치 솔루션의 중요성을 이해하고 있을 것입니다. 일반적인 조직에서는 변경할 수 없는 인스턴스가 포함된 아키텍처를 사용하는 애플리케이션 팀도 있고 변경 가능한 인스턴스에 애플리케이션을 배포하는 애플리케이션 팀도 있습니다.

패치 적용에 대한 AWS 권장 가이드에 대한 자세한 내용은 [를 사용하는 하이브리드 클라우드의 변경 가능한 인스턴스에 대한 자동 패치 적용을 AWS Systems Manager](https://docs.aws.amazon.com/prescriptive-guidance/latest/patch-management-hybrid-cloud/welcome.html) 참조하세요.

**참고**  
Accelerate Patch 추가 기능은 AMS 인스턴스에 태그 기반 패치를 제공하는 기능입니다. ( AWS Systems Manager SSM) 기능을 활용하므로 인스턴스에 태그를 지정하고 구성한 기준 및 창을 사용하여 해당 인스턴스에 패치를 적용할 수 있습니다. AMS Accelerate 패치 추가 기능은 온보딩 옵션입니다. Accelerate 계정을 온보딩하는 동안 획득하지 못한 경우 클라우드 서비스 제공 관리자(CSDM)에게 문의하여 획득하세요.

### 패치 책임 권장 사항
<a name="patch-recos-responsibilities"></a>

영구 인스턴스의 패치 적용 프로세스에는 다음과 같은 팀과 작업이 포함되어야 합니다.
+ **애플리케이션(DevOps) 팀은** 애플리케이션 환경, OS 유형 또는 기타 기준에 따라 서버의 패치 그룹을 정의합니다. 또한 각 패치 그룹별 유지보수 윈도우도 정의합니다. 이 정보는 인스턴스에 연결된 태그에 저장되어야 합니다. 권장되는 태그 이름은 '패치 그룹' 및 '유지 관리 기간'입니다. 각 패치 주기 동안 애플리케이션 팀은 패치를 준비하고, 패치 적용 후 애플리케이션을 테스트하고, 패치 적용 중에 발생하는 애플리케이션 및 OS 관련 문제를 해결합니다.
+ **보안 운영 팀은** 애플리케이션 팀이 사용하는 다양한 OS 유형에 대한 패치 기준을 정의하고 Systems Manager Patch Manager를 통해 패치를 사용할 수 있도록 합니다.
+ **자동 패치 솔루션은** 정기적으로 실행되며 사용자 정의 패치 그룹 및 유지 관리 기간에 따라 패치 기준에 정의된 패치를 배포합니다.
+ **거버넌스 및 규정 준수 팀은** 패치 적용 지침과 예외 프로세스 및 메커니즘을 정의합니다.

자세한 내용은 [ 변경 가능한 EC2 인스턴스에 대한 패치 솔루션 설계를 참조하세요](https://docs.aws.amazon.com/prescriptive-guidance/latest/patch-management-hybrid-cloud/design-standard.html).

### 애플리케이션 팀을 위한 지침
<a name="patch-recos-app-teams"></a>
+ 를 검토하고 유지 관리 기간 생성 및 관리에 익숙해집니다. 자세한 내용은 [AWS Systems Manager 유지 관리 기간](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-maintenance.html) 및 [패치 적용에 대한 SSM 유지 관리 기간 생성을 참조하세요](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-patching.html#acc-p-maint-window). 유지 관리 기간의 일반적인 구조와 사용을 이해하면 유지 관리 기간을 생성하는 사람이 아닌 경우 제공할 정보를 이해하는 데 도움이 됩니다.
+ 고가용성(HA) 설정의 경우 가용 영역 및 환경(Dev/Test/Prod)당 하나의 유지 관리 기간을 갖도록 계획합니다. 이렇게 하면 패치 적용 중에도 가용성이 유지됩니다.
+ 권장 유지 관리 기간은 4시간이며 1시간의 마감과 인스턴스 50개당 추가 1시간입니다.
+ 프로덕션 패치 적용 전에 잠재적 문제를 식별할 수 있도록 각 버전 사이에 충분한 시간이 있는 패치 개발 및 테스트 버전.
+ SSM 자동화를 통해 일반적인 사전 및 사후 패치 작업을 자동화하고 유지 관리 기간 작업으로 실행합니다. 패치 후 작업의 경우 컷오프에 도달하면 작업이 시작되지 않으므로 할당된 시간이 충분한지 확인해야 합니다.
+ 특히 개발/테스트에 적용된 패치만 나중에 프로덕션에 적용되도록 하는 데 사용할 수 있는 패치 심각도 유형의 자동 승인 지연과 같은 패치 기준 및 기능에 익숙해지세요. 자세한 내용은 [패치 기준 정보를 참조하세요](https://docs.aws.amazon.com/systems-manager/latest/userguide/about-patch-baselines.html).

### 보안 운영 팀을 위한 지침
<a name="patch-recos-sec-ops-teams"></a>
+ 패치 기준을 검토하고 숙지합니다. 패치 승인은 자동화된 방식으로 처리되며 다양한 규칙 옵션이 있습니다. 자세한 내용은 [패치 기준 정보를 참조하세요](https://docs.aws.amazon.com/systems-manager/latest/userguide/about-patch-baselines.html).
+ 애플리케이션 팀과 Dev/Test/Prod 패치 적용에 대한 요구 사항을 논의하고 이러한 요구 사항을 수용할 수 있도록 여러 기준을 개발합니다.

### 거버넌스 및 규정 준수 팀을 위한 지침
<a name="patch-recos-gov-comp-teams"></a>
+ 패치 적용은 "Opt Out" 함수여야 합니다. 패치가 해제되지 않도록 기본 유지 관리 기간과 자동 태그 지정이 있어야 합니다. AMS Resource Tagger는 이를 지원할 수 있습니다. 구현에 대한 지침은 클라우드 아키텍트(CA) 또는 클라우드 서비스 제공 관리자(CSDM)와이 옵션에 대해 논의하세요.
+ 패치 적용 예외를 요청하려면 예외를 정당화하는 문서가 필요합니다. 최고 정보 보안 책임자(CISO) 또는 기타 승인 책임자가 요청을 승인하거나 거부해야 합니다.
+ 패치 규정 준수는 패치 관리자 콘솔, Security Hub 또는 취약성 스캐너를 통해 정기적으로 검토해야 합니다.

### 고가용성 Windows 애플리케이션을 위한 예제 설계
<a name="patch-ex-design-ha-win-app"></a>

 ![\[Patch Tuesday schedule showing development, test, and production environments with baseline approval timelines.\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/accelerate-guide/images/acc-maint-window.png) 

**개요:**
+ AZ당 유지 관리 기간 1개.
+ 환경당 유지 관리 기간 세트 1개.
+ 환경당 패치 기준 1개:
  + 개발: 0일 후 모든 심각도 및 분류를 승인합니다.
  + 테스트: 0일 후 중요 보안 업데이트 패치를 승인하고 7일 후 기타 모든 심각도 및 분류를 승인합니다.
  + 제품: 0일 후에 중요한 보안 업데이트 패치를 승인하고 14일 후에 다른 모든 심각도 및 분류를 승인합니다.

**CloudFormation 스크립트:**

이러한 스크립트는 위에서 설명한 기준 승인 설정을 사용하여 두 가용 영역 Windows HA EC2 애플리케이션에 대한 유지 관리 기간, 기준 및 패치 작업을 빌드하도록 설정됩니다.
+ Windows Dev CFN 스택 예제: [HA-Patching-Dev-Stack.json](samples/HA-Patching-Dev-Stack.zip)
+ Windows Test CFN 스택 예제: [HA-Patching-Test-Stack.json](samples/HA-Patching-Test-Stack.zip)
+ Windows Prod CFN 스택 예제: [HA-Patching-Prod-Stack.json](samples/HA-Patching-Prod-Stack.zip)

### 패치 권장 사항 FAQs
<a name="patch-recos-faq"></a>

Q: "0"일 익스플로잇에 대한 예정되지 않은 패치 적용은 어떻게 처리하나요?

A: SSM은 인스턴스의 OS에 현재 기본 기준을 사용하는 **지금 패치** 기능을 지원합니다. AMS는 0일 후에 모든 패치를 승인하는 패치 기준의 기본 세트를 배포합니다. 그러나 **지금 패치** 기능을 사용하면이 명령이 AWS-RunPatchBaseline SSM 문서를 실행하므로 사전 패치 스냅샷이 생성되지 않습니다. 패치 적용 전에 수동 백업을 수행하는 것이 좋습니다.

Q: AMS는 Auto-Scaling Groups(ASGs)의 인스턴스에 대한 패치 적용을 지원하나요?

A: 아니요. 현재 Accelerate 고객에게는 ASG 패치가 지원되지 않습니다.

Q: 유지 관리 기간에 유의해야 할 제한 사항이 있나요?

A: 예, 몇 가지 제한 사항을 알고 있어야 합니다.
+ 계정당 유지 관리 기간: 50
+ 유지 관리 기간당 작업: 20
+ 유지 관리 기간당 최대 동시 자동화 수: 20
+ 동시 유지 관리 기간의 최대 수: 5

기본 SSM 제한의 전체 목록은 [AWS Systems Manager 엔드포인트 및 할당량을 참조하세요](https://docs.aws.amazon.com/general/latest/gr/ssm.html).

# AMS에서 패치 유지 관리 기간 생성
<a name="acc-p-maint-window"></a>

패치 유지 관리 기간은 대상 Amazon EC2 인스턴스에 대해 설정된 일정에 따라 AMS 패치 자동화를 실행합니다. 대상은 인스턴스 그룹의 태그로 정의됩니다. 패치 화요일 전후의 일 및 시간을 기준으로 일정을 설정하거나 *cron 표현*식을 사용하여 일정을 정의할 수 있습니다. 자세한 내용은 *AWS Systems Manager 사용 설명서*의 [참조: Systems Manager용 Cron 및 Rate 표현식](https://docs.aws.amazon.com/systems-manager/latest/userguide/reference-cron-and-rate-expressions.html)을 참조하세요. 패치 적용 전에 AMS는 각 인스턴스의 루트 볼륨에 대한 스냅샷을 생성합니다. AMS가 패치가 인스턴스 상태에 영향을 미치는 것을 감지하거나 패치 적용으로 인한 애플리케이션 영향을 AMS에 알리는 경우 AMS는이 스냅샷을 사용하여 루트 볼륨을 사전 패치 상태로 복원합니다.

## AMS Accelerate 패치 유지 관리 기간 제한
<a name="acc-p-maint-limit"></a>

AMS 패치 적용은 AWS Systems Manager (Systems Manager)를 사용합니다. Systems Manager 서비스 제한 외에도 AMS 패치 적용에는 패치 유지 관리 기간당 300개의 대상 인스턴스 제한이 있습니다. 인스턴스당 30분의 일반적인 패치 완료 시간을 고려하여 다음 표에는 유지 관리 기간 및 기간 수에 대한 예제가 나와 있습니다.


| 패치할 인스턴스 | 유지 관리 기간(시간) | 동시 유지 관리 기간 필요 | 
| --- | --- | --- | 
| 100  | 1  | 1  | 
| 200  | 1  | 1  | 
| 300  | 2  | 1  | 
| 600  | 3  | 2  | 
| 800  | 4  | 3  | 
| 1200  | 6  | 4  | 
| 1500  | 8  | 5  | 

**중요**  
이 예제에서는 활성 상태인 다른 Systems Manager 유지 관리 기간이 없고 실행 중인 다른 자동화가 없다고 가정합니다.

제한에 대한 자세한 내용은 [AWS Systems Manager 엔드포인트 및 할당량을 참조하세요](https://docs.aws.amazon.com/general/latest/gr/ssm.html).

**Topics**
+ [AMS Accelerate 패치 유지 관리 기간 제한](#acc-p-maint-limit)
+ [AMS 콘솔에서 반복되는 “화요일 패치” 유지 관리 기간 생성(권장)](acc-p-maint-window-ams-console.md)
+ [AMS Accelerate CloudFormation 용를 사용하여 패치 유지 관리 기간 생성](acc-p-maint-window-cfn.md)
+ [AMS Accelerate용 Systems Manager 콘솔에서 유지 관리 기간 생성](acc-p-maint-window-console.md)
+ [AMS Accelerate용 Systems Manager 명령줄 인터페이스(CLI)를 사용하여 유지 관리 기간 생성](acc-p-maint-window-cli.md)

# AMS 콘솔에서 반복되는 “화요일 패치” 유지 관리 기간 생성(권장)
<a name="acc-p-maint-window-ams-console"></a>

Microsoft는 매월 두 번째 화요일에 운영 체제에 대한 패치를 릴리스합니다. 이를 패치 화요일이라고도 합니다. 패치 화요일을 기준으로 Windows 및 Linux 인스턴스 모두에 대한 패치 적용을 예약하는 것이 일반적입니다. 패치 화요일 이후 첫 번째 또는 두 번째 주말에 반복 패치 유지 관리 기간을 예약하려면 AMS 콘솔을 방문하여 다음 단계를 따르세요.

1. 패치 유지 관리 기간의 이름을 입력합니다.

1. [선택 사항] 패치 유지 관리 기간에 대한 설명을 입력합니다.

1. 패치 화요일을 기준으로 날짜를 선택합니다.

1. 패치 유지 관리 기간이 시작될 시간을 hh:mm로 입력합니다. 예를 들어 자정은 **00:00**이고 오후 11시는 **23:00**입니다. 그런 다음 시간대를 선택합니다.

1. [선택 사항] 필요에 맞게 기간을 변경합니다. AMS는 최소 4시간의 기간을 권장합니다.

1. 대상에 대한 패치 태그 키와 값을 입력합니다. 자세한 내용은 [태그란 무엇입니까?](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-tag-intro.html#acc-tag-what-is)를 참조하세요.

1. [선택 사항] 선택적 파라미터를 확장하여 동시성, 오류율 및 유지 관리 기간 컷오프를 조정합니다.

   1. 동시성은 동시에 패치되는 대상 인스턴스 수를 제어합니다. 예를 들어 10개의 대상 인스턴스에 대한 50% 동시성은 한 번에 5개 이하의 인스턴스를 패치하는 반면, 100% 동시성은 10개 인스턴스를 모두 한 번에 패치합니다.

   1. 오류율은 패치 적용이 일시 중지되기 전에 오류에 대한 허용 오차를 제어합니다. 예를 들어 10개의 대상 인스턴스에 대해 오류율이 100%이면 실패 횟수에 관계없이 모든 인스턴스가 패치되고, 5개의 인스턴스가 패치에 실패하면 50% 오류율이 패치 적용을 일시 중지합니다. AMS는 100% 오류율을 권장합니다.

   1. 패치 유지 관리 기간 컷오프는 패치 유지 관리 기간이 끝나기 몇 시간 전에 새 패치 적용 활동의 시작을 일시 중지하여 패치 유지 관리 기간의 위반을 방지합니다. 예를 들어 컷오프 1시간(권장)은 패치 유지 관리 기간이 끝나기 1시간 전에 새 패치 활동을 중단합니다.

**중요**  
다음 실행 시간을 확인합니다.  
[SSM 유지 관리 기간 콘솔](https://console.aws.amazon.com/systems-manager/maintenance-windows)을 방문하여 새로 생성된 패치 유지 관리 기간을 검색하고 다음 실행 시간을 확인합니다. 질문이 있거나 패치 유지 관리 기간을 편집해야 하는 경우 AMS 패치 전문가와 상담하기 위한 서비스 요청을 생성합니다.

CloudFormation을 사용하여 CRON 기반 패치 유지 관리 기간을 예약하려면 섹션을 참조하세요[AMS Accelerate CloudFormation 용를 사용하여 패치 유지 관리 기간 생성](acc-p-maint-window-cfn.md).

# AMS Accelerate CloudFormation 용를 사용하여 패치 유지 관리 기간 생성
<a name="acc-p-maint-window-cfn"></a>

를 사용하여 AMS Accelerate 패치 유지 관리 기간을 생성하려면 AWS CloudFormation먼저 Accelerate 계정에 로그인하고 대상 인스턴스가 있는를 AWS 리전 선택합니다. 그런 다음 [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) 다음 단계를 따릅니다.

1. 두 개의 사용자 지정 Accelerate 패치 적용 CloudFormation 템플릿 중 하나를 선택합니다.
   + 패치 화요일 예약: Microsoft는 패치 화요일이라고도 하는 운영 체제에 대한 패치를 매월 두 번째 화요일에 릴리스하여 패치 화요일 이후 첫 번째 또는 두 번째 주말에 패치 유지 관리 기간을 예약합니다. Accelerate 콘솔에 로그인하면이 링크 [ PatchTuesdayScheduling CloudFormation 템플릿](https://console.aws.amazon.com/cloudformation/home?#/stacks/create/parameters?templateURL=https://ams-patch-templates-us-east-1.s3.amazonaws.com/AmsPatchMaintenanceWindowTemplatePatchTuesdayScheduling.yml)을 사용합니다.
   + CRON Scheduling: CRON을 사용하여 시작 날짜를 정의하는 패치 유지 관리 기간을 생성하려면이 링크 [ CRONScheduling CloudFormation 템플릿을](https://console.aws.amazon.com/cloudformation/home?#/stacks/create/parameters?templateURL=https://ams-patch-templates-us-east-1.s3.amazonaws.com/AmsPatchMaintenanceWindowTemplateCronScheduling.yml) 사용합니다. Systems Manager CRON 숫자는 1\$17일입니다(System Manager CRON에 대한 자세한 내용은 [참조: Systems Manager의 Cron 및 rate 표현식](https://docs.aws.amazon.com/systems-manager/latest/userguide/reference-cron-and-rate-expressions.html) 참조).

   이러한 링크 중 하나를 선택하면 템플릿이 CloudFormation 콘솔에 자동으로 로드됩니다. 그런 다음 **다음**을 클릭합니다.

1. **스택 세부 정보 지정** 페이지(스택 생성 페이지의 2단계)에 스택 이름과 템플릿 파라미터(표시된 기본 파라미터는 AMS 권장 기본값, 사용 사례의 날짜 및 시간 선택)를 입력합니다. 완료하면 **다음**을 클릭합니다.

1. 스택 옵션을 구성합니다(선택 사항). 옵션에 대한 자세한 내용은 [ AWS CloudFormation 스택 옵션 설정을](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-add-tags.html) 참조하세요. 완료하면 **다음**을 클릭합니다.

1. 스택 값을 검토합니다(선택 사항). 스택 세부 정보를 검토하여 비용을 추정하는 방법에 대한 자세한 내용은 [스택 검토 및 스택 비용 추정을 참조하세요](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-using-console-create-stack-review.html). 준비가 되면 **스택 생성을** 클릭합니다.

   스택을 생성하는 데 최대 1분이 걸릴 수 있습니다. 스택이 성공적으로 생성되면 패치 유지 관리 기간이 지정된 시간에 실행됩니다. CloudFormation 변경 세트(권장)를 생성 및 실행하거나(이 작업에 대한 자세한 내용은 [변경 세트를 사용하여 스택 생성](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stacks-changesets.html) 참조) Systems Manager 유지 관리 기간 콘솔()에서 패치 유지 관리 기간을 업데이트하여 패치 유지 **관리 기간을** 변경할 수 있습니다[https://console.aws.amazon.com/systems-manager/maintenance-windows](https://console.aws.amazon.com/systems-manager/maintenance-windows).

[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/6fSfFeFn6Vc/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/6fSfFeFn6Vc)


# AMS Accelerate용 Systems Manager 콘솔에서 유지 관리 기간 생성
<a name="acc-p-maint-window-console"></a>

Systems Manager 콘솔에서 AMS Accelerate 유지 관리 기간을 생성하려면 다음 단계를 따릅니다.

1. **변경 관리** 영역의 왼쪽 탐색 모음에서 **유지 관리 기간을** 클릭한 다음 화면 오른쪽 상단의 **유지 관리 기간 생성을** 클릭합니다. 양식을 작성합니다. 옵션에 대한 자세한 내용은 [유지 관리 기간 생성(콘솔)을](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-maintenance-create-mw.html) 참조하세요. 완료되면 **유지 관리 기간 생성을** 클릭합니다.

   유지 관리 기간 목록 페이지가 열립니다.

1. 새로 생성된 유지 관리 기간을 선택합니다.

   유지 관리 기간 세부 정보 페이지가 열립니다.

1. **대상** 탭으로 이동하여 **대상 등록**을 선택합니다.

   **대상 등록** 페이지가 열립니다.

1. Accelerate 대상을 추가합니다. 대상에 대한 자세한 내용은 유지 [관리 기간에 대상 할당(콘솔)을 참조하세요](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-maintenance-assign-targets.html). 완료되면 **대상 등록**을 클릭합니다. 나중에 필요할 때 대상을 기록해 둡니다.

   유지 관리 기간 세부 정보 페이지가 새 **대상이** 포함된 목록과 함께 대상 탭에서 다시 열립니다.

1. 유지 관리 기간 세부 정보 페이지의 **작업** 탭에서 **작업 등록**을 선택한 다음 드롭다운 목록에서 **자동화 작업 등록**을 선택합니다. 양식을 작성합니다. 가속화 참고 사항:
   + 의미 있는 작업 이름을 제공합니다. 예: AcceleratePatch.
   + **자동화 문서** 영역에서 검색 상자를 클릭하고 **소유자**를 선택한 다음 **공유 문서를** 선택합니다.
   + 검색 상자를 클릭하고 **문서 이름 접두사** --> ** 같음을** 선택한 다음 **AWSManagedServices-PatchInstance**를 입력하여 자동화 문서를 선택합니다. 그런 다음 라디오 버튼을 선택하여 **AWSManagedServices-PatchInstance** 문서를 선택합니다.
   + 문서 버전에서 **런타임 시 기본 버전을** 선택합니다.
   + **대상** 섹션에서: 
     + **대상 설정 기준:**를 **등록된 대상 그룹 선택으로** 설정합니다.
     + 대상 목록에서 대상 탭에서 등록한 **대상을** 선택합니다.
   + **입력 파라미터** 섹션에서 양식을 입력합니다.
     + **InstanceId**: `{{TARGET_ID}}`
     + **StartInactiveInstances**: 패치 유지 관리 기간 동안 인스턴스가 중지된 경우 인스턴스를 `True` 시작합니다.
**참고**  
**InstanceId** 파라미터 값은 대소문자를 구분하며 **StartInactiveInstances** 파라미터 값은 True 또는 False일 수 있습니다.  
태그의 대상이 되면 중지된 인스턴스를 시작할 수 없습니다. 자세한 내용은 [실행할 호출 없음을 참조하세요](https://aws.amazon.com/premiumsupport/knowledge-center/ssm-no-invocations-automation).
   + **속도 제어** 섹션에서 백분율을 선택합니다. AMS Accelerate는 자동화 오류에 관계없이 모든 인스턴스를 동시에 패치하려는 경우 **동시성**에 대해 100**%,** **오류 임계값**에 대해 100%를 권장합니다. **** 예를 들어 대상 인스턴스의 절반을 로드 밸런싱 실행 상태로 유지하기 위해 한 번에 대상의 절반을 패치하려면 **동시성을** 50%로 설정합니다.
   + **IAM 서비스 역할** 섹션에서 **사용자 지정 서비스 역할 사용을** 선택한 다음 **ams\$1ssm\$1automation\$1role**을 선택합니다.

   **자동화 작업 등록**을 클릭합니다.

   패치 유지 관리 기간이 생성됩니다. **설명** 탭에서 **다음 실행 시간을** 볼 수 있습니다.

# AMS Accelerate용 Systems Manager 명령줄 인터페이스(CLI)를 사용하여 유지 관리 기간 생성
<a name="acc-p-maint-window-cli"></a>

명령줄 인터페이스를 사용하여 AMS Accelerate 유지 관리 기간을 생성하려면

1. SSM [자습서: 유지 관리 기간 생성 및 구성(AWS CLI)을 ](https://docs.aws.amazon.com/systems-manager/latest/userguide/maintenance-windows-cli-tutorials-create.html)따릅니다. 다음은 자습서의 각 단계에 대한 패치 적용을 위한 샘플 CLI 명령입니다.
**참고**  
 이 예제는 Linux 또는 macOS에만 해당됩니다. 로컬 시스템에서 `awscli`를 구성하는 것보다 더 간단한 명령도 실행할 수 AWS CloudShell 있습니다. 자세한 내용은 [작업을 참조하세요 AWS CloudShell](https://docs.aws.amazon.com/cloudshell/latest/userguide/working-with-cloudshell.html).

   1. 자습서의 1단계에서 유지 관리 기간을 생성하려면:

      ```
      aws ssm create-maintenance-window \
                      --name Sample-Maintenance-Window \
                      --schedule "cron(0 30 23 ? * TUE#2 *)" \
                      --duration 4 \
                      --cutoff 1 \
                      --allow-unassociated-targets \
                      --tags "Key=Environment,Value=Production"
      ```

      성공적으로 완료되면 `window-id`가 반환됩니다.

   1. 자습서의 2단계에서 대상 노드를 등록하려면:

      ```
      aws ssm register-target-with-maintenance-window \
                      --window-id "mw-xxxxxxxxx" \
                      --resource-type "INSTANCE" \
                      --target "Key=tag:Environment,Values=Prod"
      ```

      성공적으로 완료되면이 반환`WindowTargetID`됩니다.

   1. 자습서의 3단계에서 작업을 등록하려면:

      ```
      aws ssm register-task-with-maintenance-window \
          --window-id "mw-xxxxxx" \
          --targets "Key=WindowTargetIds,Values=63d4f63c-xxxxxx-9b1d-xxxxxfff" \
          --task-arn "AWSManagedServices-PatchInstance" \
          --service-role-arn "arn:aws:iam::AWS-Account-ID:role/ams_ssm_automation_role" \
          --task-invocation-parameters "{\"Automation\":{\"DocumentVersion\":\"\$DEFAULT\",\"Parameters\":{\"InstanceId\":[\"{{TARGET_ID}}\"],\"StartInactiveInstances\":[\"True\"]}}}" \
          --max-concurrency 50 \
          --max-errors 50 \
          --name "AutomationExample" \
          --description "Sample Description" \
          --task-type=AUTOMATION
      ```

# 후크가 있는 패치
<a name="acc-p-hooks"></a>

AMS 패치 후크를 사용하여 패치 적용 전후에 운영 체제(OS) 수준 명령을 실행하도록 AMS 패치 적용을 구성할 수 있습니다. AMS 패치 후크를 사용하여 SSM 명령 문서를 실행하여 패치 적용 전에 서비스를 중지한 다음 패치 적용 후 서비스를 시작하거나 명령을 실행하여 패치 적용 후 애플리케이션이 정상인지 확인합니다.

AMS 패치 후크를 사용하려면 다음을 수행해야 합니다.

1. 패치 후크로 사용할 SSM 명령 문서를 생성합니다.

1. AMS 패치 유지 관리 기간을 생성하거나 기존 AMS 패치 유지 관리 기간을 사용합니다. 자세한 내용은 [AMS 패치 유지 관리 기간을](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-p-maint-window.html) 참조하세요.

1. AMS 패치 후크에 SSM 명령 문서를 사용하도록 AMS 패치 유지 관리 기간을 구성합니다.

## AMS 패치 후크 RACI
<a name="acc-p-hooks-raci"></a>

책임, 책임, 상담 및 정보에 입각한 RACI 매트릭스는 다양한 활동에 대해 고객 또는 AMS에 기본 책임을 할당합니다. 다음 표에는 AMS 패치 후크를 사용하는 애플리케이션의 활동에 대한 고객 및 AMS의 책임에 대한 개요가 나와 있습니다.
+ R은 작업을 수행하기 위해 작업을 수행하는 책임 당사자를 나타냅니다.
+ 는 책임 당사자를 의미합니다.
+ C는 컨설팅, 일반적으로 주제 전문가로서 의견을 구하는 당사자, 양자 간 커뮤니케이션이 있는 당사자를 의미합니다.
+ 나는 정보를 의미합니다. 진행 상황에 대한 정보를 받는 당사자로, 종종 작업 또는 결과물이 완료될 때만 정보를 받습니다.


| 활동 | Customer | AMS | 
| --- | --- | --- | 
|  패치 전/후 SSM 명령 문서 및 문서 콘텐츠 생성 | R | C | 
|  AMS 패치 적용을 위한 패치 후크 파라미터 구성 | R | C | 
|  패치 사전/사후 SSM 명령 문서 실행 | 정보 | R | 
|  패치 후크 실패 분류 및 대응 | 정보 | R | 
|  고객에게 패치 후크 실패 알림 | 정보 | R | 
|  고객이 요청한 경우 사전 패치 상태로 롤백 | C | R | 

## 패치 후크용 SSM 문서 생성
<a name="acc-p-hooks-ssm-doc"></a>

AMS 패치 후크는 패치 적용 중에 Amazon EC2 Systems Manager(SSM) 문서를 사용합니다. SSM 명령 문서를 생성하거나 패치가 발생하는 계정과 기존 SSM 명령 문서를 공유합니다. 제한을 포함하여 SSM 문서에 대한 자세한 내용은 [SSM 문서 공유](https://docs.aws.amazon.com/systems-manager/latest/userguide/documents-ssm-sharing.html)를 참조하세요.

SSM 명령 문서를 생성하려면 다음 단계를 따릅니다.

1. [문서 **유형이** "명령"인 SSM 문서를](https://docs.aws.amazon.com/systems-manager/latest/userguide/create-ssm-console.html) 생성합니다.

1. **콘텐츠** 섹션에 명령(들)을 입력합니다. 자세한 내용은 [SSM 문서 콘텐츠 생성을](https://docs.aws.amazon.com/systems-manager/latest/userguide/documents-creating-content.html) 참조하세요.

**참고**  
AMS 패치 후크에 대한 SSM 문서는 AWS CLI 또는를 사용하여 생성할 수도 있습니다 CloudFormation. AMS 패치 후크에 대한 SSM 문서를 생성하는 데 도움이 필요한 경우 Cloud Architect에 문의하세요.

## SSM Command 문서를 AMS 패치 후크로 사용하도록 AMS 패치 유지 관리 기간 구성
<a name="acc-p-hooks-config-pw-for-ssm-doc"></a>

AMS 패치 유지 관리 기간은 구성된 AMS 패치 자동화를 실행하는 Systems Manager 유지 관리 기간입니다.

패치 후크를 사용하도록 AMS 패치 유지 관리 기간을 편집하려면 다음 단계를 따르세요.

1. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 왼쪽 탐색 창의 **변경 관리 도구**에서 **유지 관리 기간을** 선택합니다.

   기존 유지 관리 기간을 나열하는 페이지가 열립니다.

1. **mw-**로 시작하는 창 ID를 선택합니다.

   해당 유지 관리 기간의 세부 정보 페이지가 열립니다.

1. **AMS****-PatchInstance**의 작업 ARN이 있는 작업 탭과 창 작업 ID를 선택하고 **편집**을 클릭합니다.

    ![\[AWS Systems Manager maintenance window tasks interface showing three AWSManagedServices-PatchInstance tasks.\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/accelerate-guide/images/mwindow-detail-edit-border.png) 

1. 아래로 스크롤하여 **파라미터** 섹션으로 이동하고 다음 파라미터를 업데이트합니다.

AMS 패치 후크 파라미터:
+ **PrePatchHook**: 패치 적용 전에 실행하려는 "명령" 유형의 SSM 문서 이름입니다. 패치를 적용하기 전에 명령을 실행하지 않는 경우이 값을 비워 두거나 "AWS-Noop"(대소문자 구분)을 입력합니다.
+ **PostPatchHook**: 패치 적용 후 실행할 유형이 "Command"인 SSM 문서의 이름입니다. 패치 후 명령을 실행하지 않는 경우이 값을 비워 두거나 "AWS-Noop"(대소문자 구분)을 입력합니다.
+ **ExecutePatchBasedOnPreHookStatus**: PrePatchHook 실행의 성공 또는 실패를 기반으로 패치 적용을 실행하고 다음 중 하나를 선택합니다.
  + **OnPreHookSuccess**: PrePatchHook가 성공한 경우에만 AMS 패치 자동화를 실행합니다.
  + **항상**: PrePatchHook가 성공하고 실패할 때 AMS 패치 자동화를 실행합니다.
  + **OnPreHookFailure** - PrePatchHook에 장애가 발생한 경우에만 AMS 패치 자동화를 실행합니다.
  + **안 함**: AMS 패치 자동화를 실행하지 마십시오. 이는 PrePatchHook를 테스트할 때 유용할 수 있습니다.
+ **ExecutePostHookBasedOnPatchStatus**: AMS 패치 자동화의 성공 또는 실패를 기반으로 패치 후 후크를 실행하고 하나를 선택합니다.
  + **OnPatchSuccess**: AMS 패치 자동화가 성공적으로 실행되는 경우에만 PostPatchHook를 실행합니다.
  + **항상**: AMS 패치 자동화가 성공하고 실패하면 PostPatchHook를 실행합니다.
  + **OnPatchFailure** - AMS 패치 자동화에 실패한 경우에만 PostPatchHook를 실행합니다.

**참고**  
이러한 변수 중 하나라도 텍스트 상자가 누락된 경우 동일한 페이지의 **자동화 문서** 섹션까지 스크롤하여 다른 문서를 선택한 다음 원본 문서를 다시 선택하여이 문제를 해결합니다. 그러면 입력 파라미터가 새로 고쳐져 편집할 수 있습니다.

# AMS Accelerate 패치 기준
<a name="acc-patch-baseline"></a>

패치 기준선은 인스턴스에 대한 설치가 승인되는 패치를 정의합니다. 패치 승인 또는 거부는 하나씩 지정할 수 있습니다. 또한 자동 승인 규칙을 생성하여 특정 유형의 업데이트(예: 필수 업데이트)가 자동 승인되도록 지정할 수도 있습니다. 거부된 목록은 규칙 및 승인 목록을 모두 재정의합니다.

## 기본 패치 기준
<a name="acc-patch-baseline-default"></a>

AMS Accelerate 패치 적용에 온보딩하면 다음 운영 체제의 AMS Accelerate 기본 패치 기준이 기본 패치 기준을 재정의합니다.
+ **Windows**
+ **Amazon Linux 1**
+ **Amazon Linux 2**
+ **CentOS**
+ **Suse**
+ **Rhel**
+ **Ubuntu**

**중요**  
 기본 패치 기준은 AMS에서 관리합니다. 변경 사항이 손실될 수 있으므로 기본 패치 기준을 편집하지 마십시오. 대신 사용자 지정 패치 기준을 생성합니다. [AMS Accelerate를 사용한 사용자 지정 패치 기준](acc-patch-baseline-custom.md) 섹션을 참조하세요 

**참고**  
**제품 = \$1**로 정의된 AMS Accelerate 패치 기준은 모든 패치가 모든 보안 및 분류의 인스턴스에 적용됨을 의미합니다.

# AMS Accelerate를 사용한 사용자 지정 패치 기준
<a name="acc-patch-baseline-custom"></a>

AMS Accelerate에서 사용자 지정 패치 기준을 사용하려면 먼저 패치 그룹이 있는지 확인한 다음 사용자 지정 기준을 생성합니다.

자세한 정보는 다음 자료를 참조하세요.
+  [ 패치 그룹 작업](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-patch-group-tagging.html) 
+  [ 사용자 지정 패치 기준 생성(Windows)](https://docs.aws.amazon.com/systems-manager/latest/userguide/create-baseline-console-windows.html) 
+  [ 사용자 지정 패치 기준 생성(Linux)](https://docs.aws.amazon.com/systems-manager/latest/userguide/create-baseline-console-linux.html) 
+  [ 사용자 지정 패치 기준 업데이트 또는 삭제(콘솔)](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-baseline-update-or-delete.html) 

# AMS Accelerate의 온디맨드 패치를 위한 IAM 역할 생성
<a name="acc-p-user-access"></a>

계정이 AMS Accelerate 패치에 온보딩되면 AMS Accelerate는 관리형 정책인 **amspatchmanagedpolicy**를 배포합니다. 이 정책에는 AMS 자동화 문서를 사용한 온디맨드 패치 적용에 필요한 권한이 포함되어 있습니다`AWSManagedServices-PatchInstance`. 이 자동화 문서를 사용하기 위해 계정 관리자는 사용자를 위한 IAM 역할을 생성합니다. 다음 단계를 따릅니다.

다음을 **사용하여 역할을 생성합니다. AWS Management Console**

1. 에 로그인 AWS Management Console 하고 [IAM 콘솔](https://console.aws.amazon.com/iam/)을 엽니다.

1. 콘솔의 탐색 창에서 **역할을** 선택한 다음 **역할 생성을** 선택합니다.

1. **Anotherrole AWS 계정** 유형을 선택합니다.

1. **계정 ID**에 리소스에 대한 액세스 권한을 부여하려는 AWS 계정 ID를 입력합니다.

   지정된 계정의 관리자는 해당 계정의 IAM 사용자에게 이 역할을 수임할 수 있는 권한을 부여할 수 있습니다. 이를 위해 관리자는 사용자 또는 그룹에 정책을 연결하여 **thests:AssumeRole**action에 대한 권한을 부여합니다. 이 정책은 역할의 Amazon 리소스 이름(ARN)을 리소스로 지정해야 합니다. 다음을 참조하십시오.
   + 제어하지 않는 계정의 사용자에게 권한을 부여하고 사용자가이 역할을 프로그래밍 방식으로 수임하는 경우 **외부 ID 필요를** 선택합니다. 외부 ID는 나와 서드 파티 계정의 관리자 간에 합의한 숫자 또는 단어가 될 수 있습니다. 이 옵션은 요청에 **correctsts:ExternalID**가 포함된 경우에만 사용자가 역할을 수임할 수 있도록 하는 조건을 신뢰 정책에 자동으로 추가합니다. 자세한 내용은 [AWS 리소스에 대한 액세스 권한을 타사에 부여할 때 외부 ID를 사용하는 방법을 참조하세요](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html).
   + 다중 인증(MFA)으로 로그인하는 사용자로 역할을 제한하려면 **MFA 필요를** 선택합니다. 이렇게 하면 MFA 로그인을 확인하는 역할의 신뢰 정책에 조건이 추가됩니다. 역할을 맡으려는 사용자는 구성된 MFA 디바이스에서 임시 일회용 암호로 로그인해야 합니다. MFA 인증이 없는 사용자는 역할을 수임할 수 없습니다. MFA에 대한 자세한 내용은 [에서 다중 인증(MFA) 사용을 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) 참조하세요.

1. **다음: 권한**을 선택합니다.

   IAM에는 계정의 정책 목록이 포함됩니다. **권한 추가**에서 필터 상자에 **amspatchmanagedpolicy**를 입력하고이 권한 정책의 확인란을 선택합니다. **다음**을 클릭합니다.

1. **역할 세부 정보**에서 PatchRole과 같은 역할 이름을 입력하고, 역할에 대한 설명을 추가하고(권장),이 역할을 식별하는 데 도움이 되는 태그를 추가합니다. 역할 이름은 대소문자를 구분하지 않지만 내에서 고유해야 합니다 AWS 계정. 완료되면 **역할 생성을** 클릭합니다.
**참고**  
역할 이름은 생성한 후에는 편집할 수 없습니다.

# AMS Accelerate의 패치 알림 및 패치 실패 이해
<a name="acc-patch-mon-remediate"></a>

**중요**  
2025년 2월 1일부터 AMS 고객은 더 이상 관리형 계정의 빈 패치 유지 관리 기간에 대한 알림을 받지 않습니다.

## 패치 서비스 요청 및 이메일 알림
<a name="acc-patch-notification"></a>

AMS는 다음 패치 유지 관리 기간 4일 전에 새 서비스 요청을 생성합니다. 예를 들어 **App1 PROD**라는 패치 유지 관리 기간이 실행되기 4일 전에 AMS는 **계정 [계정 ID]용 App1 Prod에 대한 패치 유지 관리 기간 4월**이라는 서비스 요청을 생성합니다. 예약된 패치를 조정해야 하는 경우 패치 서비스 요청을 사용하여 AMS와 통신하거나 예정된 패치를 건너뜁니다. 서비스 요청이 생성되면 서비스 요청에 대한 링크가 포함된 이메일이 패치 알림 주소로 전송됩니다. AMS가 서비스 요청을 업데이트할 때마다 추가 이메일을 받게 됩니다.

**참고**  
AMS는 패치 유지 관리 기간이 실행 예정 날짜로부터 4일 이내에 생성되더라도 새 서비스 요청을 생성합니다.  
서비스 요청 알림을 받으려면 [패치 유지 관리 기간이 “활성화됨” 상태여야 합니다](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-maintenance-disable.html).

패치 적용이 시작되기 1시간 전에 AMS는 패치 서비스 요청을 통해 사용자에게 알립니다. 패치 적용이 완료되면 AMS는 패치 관리자 콘솔에 대한 링크로 패치 서비스 요청을 업데이트합니다. 링크를 사용하여 패치 유지 관리 기간의 대상이 되는 인스턴스에 대한 패치 규정 준수를 확인합니다.

**참고**  
패치 관리자 콘솔의 링크는 인스턴스의 현재 규정 준수를 보여줍니다. AMS가 패치 적용을 완료하고 사용자가 링크에 액세스하는 시간 사이에 새 패치가 릴리스되면 패치 관리자는 인스턴스를 비준수로 표시합니다.

## CloudWatch Events를 통한 패치 알림
<a name="acc-patch-event-notification"></a>

AMS는 패치 프로세스 중에 다음을 포함하여 CloudWatch Events를 세 번 전송합니다.
+ 패치 유지 관리 기간이 실행되기 4일 전.
+ 패치 유지 관리 기간이 실행되기 1시간 전.
+ 패치 유지 관리 기간이 완료되면

다음은 패치 유지 관리 기간 고급 알림 이벤트 스키마입니다.

```
{
    "version": "0",
    "id": "37004d81-458d-2cef-fe1c-8afa8af30406",
    "detail-type": "AMS Patch Window Execution State Change",
    "source": "aws.managedservices",
    "account": "145917996532",
    "time": "2021-05-20T02:00:00Z",
    "region": "us-east-1",
    "resources": [
        "arn:aws:ssm:us-east-1:123456789012:maintenancewindow/mw-00000001235",
        "arn:aws:ec2:us-east-1:123456789012:instance/i-0000000aaaaaaaaaa",
        "arn:aws:ec2:us-east-1:123456789012:instance/i-0000000aaaaaaaaab"
    ],
    "detail": {
        "State": "PREEMPTIVE",
        "StartTime": "2021-05-24T02:00:00.000000",
        "WindowArn": "arn:aws:ssm:us-east-1:123456789012:maintenancewindow/mw-00000001235",
        "Results": "[{\"instanceId\": \"i-0000000aaaaaaaaaa\"}, {\"instanceId\": \"i-0000000aaaaaaaaab\"}]"
    }
}
```

다음 표에서는 패치 유지 관리 기간 사전 알림 이벤트 스키마를 설명합니다.


**패치 알림 세부 정보**  

| 속성 이름 | 설명 | 샘플 값 | 
| --- | --- | --- | 
|  State | 패치 유지 관리 기간의 상태 | PREEMPTIVE - 패치 적용 기간이 곧 시작됩니다. | 
|  상태 | 패치 유지 관리 기간의 상태 | 성공 - 모든 인스턴스가 실패 없이 패치되었습니다. FAILED - 하나 이상의 인스턴스가 패치에 실패했습니다. | 
|  StartTime | 패치 유지 관리 기간의 ISO 형식 시작 시간 | 2021-02-03T22:14:05.814308 | 
|  WindowArn | 패치 적용 유지 관리 기간의 고유 식별자 | arn:aws:ssm:us-east-1: 123456789012:maintenancewindow/mw-00000001235 | 
|  Results | 패치 창의 대상이 되는 인스턴스 목록 | InstanceId - 대상 인스턴스의 인스턴스 ID | 

다음은 패치 유지 관리 기간 종료 이벤트 스키마입니다.

```
{"version": "0",
    "id": "0f25add5-44a9-0702-d2bc-bd2102affefe",
    "detail-type": "AMS Patch Window Execution State Change",
    "source": "aws.managedservices",
    "account": "123456789012",
    "time": "2021-02-03T22:14:06Z",
    "region": "us-east-1",
    "resources": [
        "arn:aws:ssm:us-east-1:123456789012:maintenancewindow/mw-00000001235",
        "arn:aws:ec2:us-east-1:123456789012:instance/i-0000000aaaaaaaaaa",
        "arn:aws:ec2:us-east-1:123456789012:instance/i-0000000aaaaaaaaab"
    ],
    "detail": {"State": "[COMPLETED]",
        "Status": "SUCCESS",
        "StartTime": "2021-02-03T22:12:00.814308",
        "EndTime": "2021-02-03T22:14:05.814309",
        "WindowArn": "arn:aws:ssm:us-east-1:123456789012:maintenancewindow/mw-00000001235",
        "WindowExecutionId": "e32088eb-c05f-4c63-b766-6866e163c818",
        "Results": "[{\"instanceId\": \"i-0000000aaaaaaaaaa\", \"status\": \"Success\", \"missing_critical_patch_count\": 0, \"missing_total_patch_count\": 0} }, {\"instanceId\": \"i-0000000aaaaaaaaab\", \"status\": Success}, \"missing_critical_patch_count\": 0, \"missing_total_patch_count\": 0}]"
    }
}
```

다음 표에서는 패치 유지 관리 기간 종료 이벤트 스키마를 설명합니다.


**패치 기간 종료 세부 정보**  

| 속성 이름 | 설명 | 샘플 값 | 
| --- | --- | --- | 
|  State | 패치 유지 관리 기간의 상태 | COMPLETED - 패치 적용 기간이 완료되었습니다. | 
|  상태 | 패치 유지 관리 기간의 상태 | 성공 - 모든 인스턴스가 실패 없이 패치되었습니다. FAILED - 하나 이상의 인스턴스가 패치에 실패했습니다. | 
|  StartTime | 패치 유지 관리 기간의 ISO 형식 시작 시간 | 2021-02-03T22:14:05.814308 | 
|  EndTime | 패치 유지 관리 기간의 ISO 형식 종료 시간 | 2021-02-03T23:14:05.814308 | 
|  WindowArn | 패치 유지 관리 기간의 고유 식별자입니다. | arn:aws:ssm:us-east-1: 123456789012:maintenancewindow/mw-00000001235 | 
|  WindowExecutionId | SSM 유지 관리 기간 콘솔에서 볼 수 있는 창 실행 ID | e32088eb-c05f-4c63-b766-6866e163c818 | 
|  Results | 패치 창의 대상이 될 인스턴스 목록입니다. | InstanceId - 대상 인스턴스 ID 상태 - 인스턴스 패치 상태 missing\$1critical\$1patch\$1count - 인스턴스에서 누락된 중요 패치 수 missing\$1total\$1patch\$1count - 인스턴스에서 누락된 총 패치 수 | 

CloudWatch Events 이벤트를 사용하여 패치 적용 유지 관리 기간 사전 알림이 전송될 때 알리는 CloudWatch 규칙을 트리거할 수 있습니다. 이렇게 하려면 다음 구성으로 CloudWatch 규칙을 구성합니다.

```
{
    "source": [
        "aws.managedservices"
    ],
    "detail-type": [
        "AMS Patch Window Execution State Change"
    ],
    "detail": {
        "State": ["PREEMPTIVE"]
    }
}
```

**참고**  
지원되지 않는 운영 체제가 있거나 유지 관리 기간 동안 중지된 인스턴스에 대해서는 패치 실패 알림이 생성되지 않습니다.

## AMS의 패치 실패 조사
<a name="acc-patch-remediation"></a>

AWS Managed Services(AMS)는 패치 적용을 관리하고 패치 장애 수정을 포함합니다. 패치 적용이 실패하면 AMS 작업에 알림이 표시되고 문제를 해결하기 위한 AWS 및 AMS 모범 사례에 따라 문제 해결을 시도합니다.

패치가 실패하면 AMS는 **AWS Managed Services - 인스턴스 <instance-id>에 대한 패치 인스턴스 실패**라는 제목의 SSM OpsItem을 계정에 생성합니다.

그런 다음 AMS는 OpsItem을 조사합니다. AMS가 개입 없이 실패를 수정할 수 있는 경우 AMS는 OpsItem을 해결합니다. 개입이 필요한 경우 AMS는 조사 결과와 권장 수정 단계가 포함된 서비스 요청을 통해 사용자에게 알립니다. 문제를 해결하기 위한 조치를 취하지 않으면 AMS는 예약된 다음 패치 유지 관리 기간 동안 인스턴스 패치를 시도합니다.

**참고**  
패치 장애 OpsItems는 지원되지 않는 운영 체제가 있거나 패치 유지 관리 기간 동안 중지됨 상태인 인스턴스에 대해 생성되지 않습니다.