验证 CloudWatch 代理软件包的签名
包含 GPG 签名文件以用于 Linux 服务器上的 CloudWatch 代理软件包。您可以使用公有密钥验证该代理下载文件是否为原始的而未进行修改。
对于 Windows Server,您可以使用 MSI 验证签名。
对于 macOS 电脑,代理下载软件包中包含签名。
要查找正确的签名文件,请参阅下表。对于每个架构和操作系统,有一个常规链接以及对应于每个区域的链接。例如,对于 Amazon Linux 和 Amazon Linux 2 以及 x86-64 架构,三个有效的链接如下:
-
https://amazoncloudwatch-agent.s3.amazonaws.com/amazon_linux/amd64/latest/amazon-cloudwatch-agent.rpm.sig -
https://s3.us-east-1.amazonaws.com/amazoncloudwatch-agent-us-east-1/amazon_linux/amd64/latest/amazon-cloudwatch-agent.rpm.sig -
https://s3.eu-central-1.amazonaws.com/amazoncloudwatch-agent-eu-central-1/amazon_linux/amd64/latest/amazon-cloudwatch-agent.rpm.sig
注意
要下载 CloudWatch 代理,您的连接必须使用 TLS 1.2 或更高版本。
验证 Linux 服务器上的 CloudWatch 代理软件包
-
下载公有密钥。
-
将公有密钥导入到您的密钥环中。
shell$gpg --import amazon-cloudwatch-agent.gpggpg: key 3B789C72: public key "Amazon CloudWatch Agent" imported gpg: Total number processed: 1 gpg: imported: 1 (RSA: 1)请记下密钥值,因为需要在下一步中使用该值。在上一示例中,密钥值为
3B789C72。 -
通过运行以下命令,将
key-value替换为上一步中的值来验证指纹:shell$gpg --fingerprintkey-valuepub 2048R/3B789C72 2017-11-14 Key fingerprint = 9376 16F3 450B 7D80 6CBD 9725 D581 6730 3B78 9C72 uid Amazon CloudWatch Agent指纹字符串应等于以下内容:
9376 16F3 450B 7D80 6CBD 9725 D581 6730 3B78 9C72如果指纹字符串不匹配,请不要安装该代理。请联系 Amazon Web Services。
在验证指纹后,您可以使用该指纹验证 CloudWatch 代理软件包的签名。
-
使用 wget 下载软件包签名文件。要确定正确的签名文件,请参阅前一个表。
wgetSignature File Link -
要验证签名,请运行 gpg --verify。
shell$gpg --verifysignature-filenameagent-download-filenamegpg: Signature made Wed 29 Nov 2017 03:00:59 PM PST using RSA key ID 3B789C72 gpg: Good signature from "Amazon CloudWatch Agent" gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: 9376 16F3 450B 7D80 6CBD 9725 D581 6730 3B78 9C72如果输出包含短语
BAD signature,则检查是否正确执行了此过程。如果您继续获得该响应,请与 Amazon Web Services 联系,并避免使用已下载的文件。请注意有关信任的警告。只有当您或您信任的某个人对密钥进行了签名,密钥才是可信的。这并不意味着签名无效,只是您尚未验证公有密钥而已。