验证sCloudWatch 的无知a绅士package - Amazon CloudWatch
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

验证sCloudWatch 的无知a绅士package

GPG 签名文件包含用于 Linux 服务器上的 CloudWatch 代理软件包。您可以使用公有密钥验证该代理下载文件是否为原始的而未进行修改。

对于 Windows Server,您可以使用 MSI 验证签名。

对于 macOS 计算机,代理下载包中包含签名。

要查找正确的签名文件,请参阅下表。对于每个架构和操作系统,有一个常规链接以及对应于每个区域的链接。例如,对于亚马逊 Linux 和 Amazon Linux 2 以及 x86-64 架构,有下面三个有效的链接:

  • https://s3.amazonaws.com/amazoncloudwatch-agent/amazon_linux/amd64/latest/amazon-cloudwatch-agent.rpm.sig

  • https://s3.us-east-1.amazonaws.com/amazoncloudwatch-agent-us-east-1/amazon_linux/amd64/latest/amazon-cloudwatch-agent.rpm.sig

  • https://s3.eu-central-1.amazonaws.com/amazoncloudwatch-agent-eu-central-1/amazon_linux/amd64/latest/amazon-cloudwatch-agent.rpm.sig

验证 Linux 服务器上的 CloudWatch 代理软件包

  1. 下载公有密钥。

  2. 将公有密钥导入到您的密钥环中。

    shell$ gpg --import amazon-cloudwatch-agent.gpg gpg: key 3B789C72: public key "Amazon CloudWatch Agent" imported gpg: Total number processed: 1 gpg: imported: 1 (RSA: 1)

    请记下密钥值,因为需要在下一步中使用该值。在上一示例中,密钥值为 3B789C72

  3. 通过运行以下命令,将 key-value 替换为上一步中的值来验证指纹:

    shell$ gpg --fingerprint key-value pub 2048R/3B789C72 2017-11-14 Key fingerprint = 9376 16F3 450B 7D80 6CBD 9725 D581 6730 3B78 9C72 uid Amazon CloudWatch Agent

    指纹字符串应等于以下内容:

    9376 16F3 450B 7D80 6CBD 9725 D581 6730 3B78 9C72

    如果指纹字符串不匹配,请不要安装该代理。联系 Amazon Web Services。

    在验证指纹后,您可以使用该指纹验证 CloudWatch 代理软件包的签名。

  4. 使用 wget 下载软件包签名文件。要确定正确的签名文件,请参阅前一个表:

    wget Signature File Link
  5. 要验证签名,请运行 gpg --verify

    shell$ gpg --verify signature-filename agent-download-filename gpg: Signature made Wed 29 Nov 2017 03:00:59 PM PST using RSA key ID 3B789C72 gpg: Good signature from "Amazon CloudWatch Agent" gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: 9376 16F3 450B 7D80 6CBD 9725 D581 6730 3B78 9C72

    如果输出包含短语 BAD signature,则检查是否正确执行了此过程。如果您持续获得该响应,请与 Amazon Web Services 联系,并避免使用已下载的文件。

    请注意有关信任的警告。只有当您或您信任的某个人对密钥进行了签名,密钥才是可信的。这并不意味着签名无效,只是您尚未验证公有密钥而已。