Amazon CloudWatch
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

验证 CloudWatch 代理软件包的签名

以 ZIP 存档格式压缩的 CloudWatch 代理资产附带了 GPG 签名文件。公有密钥在这里: https://s3.amazonaws.com/amazoncloudwatch-agent/assets/amazon-cloudwatch-agent.gpg。您可以使用公有密钥验证该代理的 ZIP 存档是否为原始的而未进行修改。首先,使用 https://gnupg.org/index.html 导入公有密钥。

验证 Linux 服务器上的 CloudWatch 代理软件包

  1. 下载公有密钥。

    shell$ wget https://s3.amazonaws.com/amazoncloudwatch-agent/assets/amazon-cloudwatch-agent.gpg
  2. 将公有密钥导入到您的密钥环中。

    shell$ gpg --import amazon-cloudwatch-agent.gpg gpg: key 3B789C72: public key "Amazon CloudWatch Agent" imported gpg: Total number processed: 1 gpg: imported: 1 (RSA: 1)

    请记下密钥值,因为需要在下一步中使用该值。在上一示例中,密钥值为 3B789C72

  3. 通过运行以下命令,将 key-value 替换为上一步中的值来验证指纹:

    shell$ gpg --fingerprint key-value pub 2048R/3B789C72 2017-11-14 Key fingerprint = 9376 16F3 450B 7D80 6CBD 9725 D581 6730 3B78 9C72 uid Amazon CloudWatch Agent

    指纹字符串应等于以下内容:

    9376 16F3 450B 7D80 6CBD 9725 D581 6730 3B78 9C72

    如果指纹字符串不匹配,请不要安装该代理并与 Amazon Web Services 联系。

    在验证指纹后,您可以使用该指纹验证 CloudWatch 代理软件包的签名。

  4. 使用 wget 下载软件包签名文件。要确定正确的签名文件,请参阅 CloudWatch 代理下载链接

    wget https://s3.amazonaws.com/amazoncloudwatch-agent/linux/amd64/latest/AmazonCloudWatchAgent.sig
  5. 要验证签名,请运行 gpg --verify

    shell$ gpg --verify sig-filename agent-download-filename gpg: Signature made Wed 29 Nov 2017 03:00:59 PM PST using RSA key ID 3B789C72 gpg: Good signature from "Amazon CloudWatch Agent" gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: 9376 16F3 450B 7D80 6CBD 9725 D581 6730 3B78 9C72

    如果输出包含短语 BAD signature,则检查是否正确执行了此过程。如果您继续获得该响应,请与 Amazon Web Services 联系,并避免解压缩下载的代理存档。

    请注意有关信任的警告。只有当您或您信任的某个人对密钥进行了签名,密钥才是可信的。这并不意味着签名无效,只是您尚未验证公有密钥而已。

验证运行 Windows Server 的服务器上的 CloudWatch 代理软件包

  1. https://gnupg.org/download/ 中下载并安装适用于 Windows 的 GnuPG。在安装时,请包含 Shell 扩展 (GpgEx) 选项。

    可以在 Windows PowerShell 中执行其余步骤。

  2. 下载公有密钥。

    PS> wget https://s3.amazonaws.com/amazoncloudwatch-agent/assets/amazon-cloudwatch-agent.gpg -OutFile amazon-cloudwatch-agent.gpg
  3. 将公有密钥导入到您的密钥环中。

    PS> gpg --import amazon-cloudwatch-agent.gpg gpg: key 3B789C72: public key "Amazon CloudWatch Agent" imported gpg: Total number processed: 1 gpg: imported: 1 (RSA: 1)

    请记下密钥值,因为需要在下一步中使用该值。在上一示例中,密钥值为 3B789C72

  4. 通过运行以下命令,将 key-value 替换为上一步中的值来验证指纹:

    PS> gpg --fingerprint key-value pub rsa2048 2017-11-14 [SC] 9376 16F3 450B 7D80 6CBD 9725 D581 6730 3B78 9C72 uid [ unknown] Amazon CloudWatch Agent

    指纹字符串应等于以下内容:

    9376 16F3 450B 7D80 6CBD 9725 D581 6730 3B78 9C72

    如果指纹字符串不匹配,请不要安装该代理并与 Amazon Web Services 联系。

    在验证指纹后,您可以使用该指纹验证 CloudWatch 代理软件包的签名。

  5. 使用 wget 下载软件包签名文件。要确定正确的签名文件,请参阅 CloudWatch 代理下载链接

  6. 要验证签名,请运行 gpg --verify

    PS> gpg --verify sig-filename agent-download-filename gpg: Signature made 11/29/17 23:00:45 Coordinated Universal Time gpg: using RSA key D58167303B789C72 gpg: Good signature from "Amazon CloudWatch Agent" [unknown] gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: 9376 16F3 450B 7D80 6CBD 9725 D581 6730 3B78 9C72

    如果输出包含短语 BAD signature,则检查是否正确执行了此过程。如果您继续获得该响应,请与 Amazon Web Services 联系,并避免解压缩下载的代理存档。

    请注意有关信任的警告。只有当您或您信任的某个人对密钥进行了签名,密钥才是可信的。这并不意味着签名无效,只是您尚未验证公有密钥而已。