验证 SSM 代理 的签名 - AWS Systems Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

验证 SSM 代理 的签名

Linux 实例的 AWS Systems Manager 代理 (SSM 代理) deb 和 rpm 安装程序包是加密签名的。您可以使用公有密钥验证代理软件包是否为原始的而未进行修改。如果文件有任何损坏或更改,验证将失败。您可以使用 RPM 或 GPG 验证安装程序包的签名。

要查找适用于实例架构和操作系统的正确的签名文件,请参阅下表。

region 表示 AWS Systems Manager 支持的 AWS 区域的标识符,如美国东部(俄亥俄)区域的 us-east-2。有关受支持的 region 值的列表,请参阅Amazon Web Services 一般参考 中的 Systems Manager 服务终端节点中的 Region (区域) 列。

架构 操作系统 签名文件 URL
Intel 64-bit (x86_64)

Amazon Linux, Amazon Linux 2, CentOS, RHEL, Oracle Linux, SLES

https://s3.region.amazonaws.com/amazon-ssm-region/latest/linux_amd64/amazon-ssm-agent.rpm.sig

https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_amd64/amazon-ssm-agent.rpm.sig
Intel 64-bit (x86_64)

Debian Server, Ubuntu Server

https://s3.region.amazonaws.com/amazon-ssm-region/latest/debian_amd64/amazon-ssm-agent.deb.sig

https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/debian_amd64/amazon-ssm-agent.deb.sig
Intel 32-bit (x86)

Amazon Linux, Amazon Linux 2, CentOS, RHEL

https://s3.region.amazonaws.com/amazon-ssm-region/latest/linux_386/amazon-ssm-agent.rpm.sig

https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_386/amazon-ssm-agent.rpm.sig
Intel 32-bit (x86)

Ubuntu Server

https://s3.region.amazonaws.com/amazon-ssm-region/latest/debian_386/amazon-ssm-agent.deb.sig

https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/debian_386/amazon-ssm-agent.deb.sig
ARM 64-bit (arm64)

Amazon Linux, Amazon Linux 2, CentOS, RHEL

https://s3.region.amazonaws.com/amazon-ssm-region/latest/linux_arm64/amazon-ssm-agent.rpm.sig

https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_arm64/amazon-ssm-agent.rpm.sig

验证 Linux 服务器上的 SSM 代理 软件包

  1. 复制以下公有密钥,并将其保存到名为 amazon-ssm-agent.gpg 的文件中。 

    -----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v2.0.22 (GNU/Linux)
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=c8Y2
-----END PGP PUBLIC KEY BLOCK-----

  2. 将公有密钥导入密钥环中,并记下返回的密钥值。

    GPG
    gpg --import amazon-ssm-agent.gpg
    RPM
    rpm --import amazon-ssm-agent.gpg

  3. 验证指纹。请务必替换 key-value 替换为上一步中的值。我们建议您使用 GPG 验证指纹,即使您使用 RPM 验证安装程序包也是如此。 

    gpg --fingerprint key-value

    此命令返回类似于以下内容的输出。

    pub   2048R/693ECA21 2020-10-06 [expires: 2022-03-29]
   Key fingerprint = 8108 A07A 9EBE 248E 3F1C  63F2 54F4 F56E 693E CA21
uid                  SSM Agent <ssm-agent-signer@amazon.com>

    指纹应与以下内容匹配:

    8108 A07A 9EBE 248E 3F1C 63F2 54F4 F56E 693E CA21

    如果指纹不匹配,请不要安装该代理。联系 AWS Support。

  4. 如果您使用 GPG 验证安装程序包,请根据实例的架构和操作系统下载签名文件 (如果您尚未执行此操作)。请注意,RPM 程序包已包含 RPM 验证所需的签名。

  5. 验证安装程序包签名。请务必替换 signature-filenameagent-download-filename 替换为您在下载签名文件和代理时指定的值。

    GPG
    gpg --verify signature-filename agent-download-filename
    RPM
    rpm --checksig agent-download-filename

    此命令返回类似于以下内容的输出。

    GPG
    gpg: Signature made Wed 07 Oct 2020 05:52:47 PM UTC using RSA key ID 693ECA21
gpg: Good signature from "SSM Agent <ssm-agent-signer@amazon.com>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 8108 A07A 9EBE 248E 3F1C 63F2 54F4 F56E 693E CA21
    RPM
    amazon-ssm-agent-2.3.1319.0-1.amzn2.x86_64.rpm: rsa sha1 (md5) pgp md5 OK

    使用 GPG 时,如果输出包含短语 BAD signature,请检查您是否正确执行了该过程。如果您继续获得此响应,请联系 AWS Support 并且不安装代理。有关信任的警告消息并不意味着签名无效,只是您尚未验证公有密钥而已。只有当您或您信任的某个人对密钥进行了签名,密钥才是可信的。

    使用 RPM 时,如果输出中缺少 pgp,并且您已导入公有密钥,则不会为代理签名。如果输出包含短语 NOT OK (MISSING KEYS: (MD5) key-id),则检查是否正确执行了此过程。如果您继续获得此响应,请联系 AWS Support 并且不安装代理。