はじめに
おそらく仕様な気がしていますので、あまり目新しい知識を共有するものではないです。
自分自身が時間を浪費してしまったので、同じ問題に当たった他の誰かの方のために共有しておきます。
調査の流れ
ハニーポット的に利用していたAWSアカウントのSecurityHubを眺めていて、Informationレベルのアラートが断続的に上がっていたので調査にあたりました。
なにやらSystemsManagerのPatchManagerで問題が発生している模様。
※今回のはまりポイント!!!
上側Complianceの方のキャプチャを残していなくて、すごく見にくくて恐縮ですが、これらの内容からコンプライアンス種別のAssociationでエラーが出ていると判断。
以下のガイダンスを参照しながら、Associationの確認に入りました。
https://aws.amazon.com/jp/premiumsupport/knowledge-center/ssm-instance-non-compliant/
が、当該Associationの実行履歴を見ても、とくにエラーは出ていなさそう。
設定内容にも誤りは見られない。。。
解決の流れ
途方に暮れかけながら、何気なくComplianceダッシュボードのフィルタリング設定を切り替えながら、Compliance Typeを再び選ぶと、Patchでもエラーが出ていると表示が追加されました。
自動アップデートにはしていなかったので、このエラーは想定内。
Patchを当て直したところ、Associationもろとも解決!
考察
おそらく、PatchManagerでScanしかしたことがなかったため、Baselineが引かれていなかったとかなのかなぁと推測。それが関連付けされていないと判断されたのかも。
今回、Associationの方のみに絞って調査をしてしまったため、気づくのに遅れましたが、ハマったときは視野を広げて見直すことの大事さを改めて認識できました!