Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

存储库元数据登录 AL2023

从发布开始2023.11.20260406， AL2023 存储库包括存储库元数据的加密签名。每个存储库repomd.xml的文件都附有一个分离的 GPG 签名文件 (repomd.xml.asc)，您可以在下载软件包之前使用该文件来验证存储库元数据的真实性和完整性。

此签名是对现有 RPM 包签名 (gpgcheck) 的补充，后者可以验证各个软件包。存储库元数据签名验证描述存储库内容的元数据，例如可用软件包列表及其校验和。

仓库元数据签名的工作原理

发布 AL2023 存储库时，将使用 Amazon KMS 密钥对存储库元数据 (repomd.xml) 进行签名。生成的分离签名 (repomd.xml.asc) 放在存储库中的元数据旁边。

当您在存储库配置repo_gpgcheck中启用时，在使用存储库元数据之前，DNF会自动下载并根据 GPG 公钥验证repomd.xml.asc签名。如果签名验证失败，则DNF拒绝存储库元数据，并且不会继续从该存储库执行包操作。有关的更多信息repo_gpgcheck，请参阅《DNF配置参考》。

以下 AL2023 存储库包含已签名的元数据：

和之间的gpgcheck区别 repo_gpgcheck

我们强烈建议您同时启用gpgcheck和repo_gpgcheck。这样可以确保存储库元数据和各个软件包在使用前都经过验证。

启用仓库元数据验证

您可以通过更新各个存储库的配置文件来为其启用存储库元数据验证。

为特定存储库启用

默认情况下， AL2023 存储库配置文件处于/etc/yum.repos.d/设置repo_gpgcheck=0状态。要启用存储库元数据验证，请在存储库配置1中将此值更改为。例如，要为核心存储库启用它，请执行以下操作：

[amazonlinux]
name=Amazon Linux 2023 repository
...
gpgcheck=1
repo_gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-amazon-linux-2023

验证存储库元数据签名是否正常工作

启用后repo_gpgcheck=1，您可以通过清除DNF缓存并刷新元数据来验证元数据验证是否正常工作：

[ec2-user ~]$ sudo dnf clean metadata
[ec2-user ~]$ sudo dnf makecache

如果元数据验证成功，则DNF导入 GPG 密钥（如果尚未导入）并创建元数据缓存而不会出现错误。可以看到类似以下内容的输出：

Amazon Linux 2023 repository                    1.7 MB/s | 1.8 kB     00:00
Importing GPG key 0xD832C631:
 Userid     : "Amazon Linux <amazon-linux@amazon.com>"
 Fingerprint: B21C 50FA 44A9 9720 EAA7 2F7F E951 904A D832 C631
 From       : /etc/pki/rpm-gpg/RPM-GPG-KEY-amazon-linux-2023
Amazon Linux 2023 repository                      18 MB/s |  55 MB     00:03
Metadata cache created.

如果签名验证失败，则DNF会显示一条错误消息，指示 GPG 签名验证失败，元数据缓存创建失败。

存储库的 GPG 公 AL2023 钥

用于存储库元数据验证的 GPG 公钥由相应的存储库配置安装 RPMs 到。/etc/pki/rpm-gpg/下表列出了每个存储库使用的公钥。

当您安装相应的存储库配置 RPM 时，会自动安装这些密钥。