验证 SSM Agent 的签名 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

验证 SSM Agent 的签名

适用于 Linux 实例的Amazon Systems Manager Agent (SSM Agent) deb 和 rpm 安装程序包是以加密方式签名的。您可以使用公钥验证代理软件包是否为未修改的原始包。如果文件有任何损坏或更改,则验证将失败。您可以使用 RPM 或 GPG 验证安装程序包的签名。以下信息适用于 SSM Agent 版本 3.1.1141.0 或更高版本。

重要

本主题中下文显示的公有密钥将于 2023-09-05(2023 年 9 月 5 日)失效。在旧公有密钥失效之前,Systems Manager 将在本主题中发布新的公有密钥。我们建议您订阅此主题的 RSS 源,以便在新密钥发布时收到通知。

要查找您的实例架构和操作系统的正确签名文件,请参阅下表。

region 表示 Amazon Systems Manager 支持的 Amazon Web Services 区域 的标识符,例如 us-east-2 对应美国东部(俄亥俄)区域。有关受支持的 region 值的列表,请参阅亚马逊云科技一般参考中的 Systems Manager 服务终端节点中的 Region(区域)列。

架构 操作系统 签名文件 URL 代理下载文件名
x86_64

Amazon Linux、Amazon Linux 2、CentOS、RHEL、Oracle Linux、SLES

https://s3.region.amazonaws.com/amazon-ssm-region/latest/linux_amd64/amazon-ssm-agent.rpm.sig

https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_amd64/amazon-ssm-agent.rpm.sig

amazon-ssm-agent.rpm
x86_64

Debian Server, Ubuntu Server

https://s3.region.amazonaws.com/amazon-ssm-region/latest/debian_amd64/amazon-ssm-agent.deb.sig

https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/debian_amd64/amazon-ssm-agent.deb.sig

 amazon-ssm-agent.deb
x86

Amazon Linux、Amazon Linux 2、RHEL 和 RHEL

https://s3.region.amazonaws.com/amazon-ssm-region/latest/linux_386/amazon-ssm-agent.rpm.sig

https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_386/amazon-ssm-agent.rpm.sig

amazon-ssm-agent.rpm
x86

Ubuntu Server

https://s3.region.amazonaws.com/amazon-ssm-region/latest/debian_386/amazon-ssm-agent.deb.sig

https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/debian_386/amazon-ssm-agent.deb.sig

amazon-ssm-agent.deb
ARM64

Amazon Linux、Amazon Linux 2、RHEL 和 RHEL

https://s3.region.amazonaws.com/amazon-ssm-region/latest/linux_arm64/amazon-ssm-agent.rpm.sig

https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_arm64/amazon-ssm-agent.rpm.sig

 amazon-ssm-agent.rpm
GPG

验证 Linux 服务器上的 SSM Agent 软件包

  1. 复制以下公钥,然后将其保存到名为 amazon-ssm-agent.gpg 的文件。

    -----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v2.0.22 (GNU/Linux)
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=rGEs
-----END PGP PUBLIC KEY BLOCK-----

  2. 将公钥导入到您的密钥环中,并记下返回的键值。

    gpg --import amazon-ssm-agent.gpg

  3. 验证指纹。请务必将 key-value 替换为上一步中的值。我们建议您使用 GPG 来验证指纹,即使您使用 RPM 验证安装程序包也是如此。

    gpg --fingerprint key-value

    该命令会返回类似以下内容的输出。

    pub   2048R/56BAA549 2022-03-15 [expires: 2023-09-05]
    Key fingerprint = 2BC7 C7C2 67BB D505 EAA4  91E6 DD81 A617 56BA A549
uid                  SSM Agent <ssm-agent-signer@amazon.com>

    指纹应与以下内容匹配。

    2BC7 C7C2 67BB D505 EAA4 91E6 DD81 A617 56BA A549

    否则,请勿安装该代理。联系 Amazon Web Services Support。

  4. 根据您的实例架构和操作系统下载签名文件(如果您尚未执行此操作)。

  5. 验证安装程序包签名。请务必将替换为 signature-filenameagent-download-filename 替换为您在下载签名文件和代理时指定的值。

    gpg --verify signature-filename agent-download-filename

    该命令会返回类似以下内容的输出。

    gpg: Signature made Mon 21 Mar 2022 05:52:47 PM UTC using RSA key ID 693ECA21
gpg: Good signature from "SSM Agent <ssm-agent-signer@amazon.com>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 2BC7 C7C2 67BB D505 EAA4 91E6 DD81 A617 56BA A549

    如果输出包含短语 BAD signature,则检查是否正确执行了此过程。如果您继续获得该响应,请联系 Amazon Web Services Support 且不要安装该代理。有关信任的警告消息并不意味着签名无效,只是您尚未验证公有密钥而已。只有当您或您信任的某个人对密钥进行了签名,密钥才是可信的。如果输出包含短语 Can't check signature: No public key,则验证您下载的是 SSM Agent 版本 3.1.1141.0 还是更高版本。

RPM

验证 Linux 服务器上的 SSM Agent 软件包

  1. 复制以下公钥,然后将其保存到名为 amazon-ssm-agent.gpg 的文件。

    -----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v2.0.22 (GNU/Linux)

mQENBGIxF/8BCADv014neDCfkpdj79/XVeQVy0Wz9LSiB/iksc1jTPaCgD/9ojdQ
10LfEFEyLoeTEhX5WBu0Ry7oKW9AK51kscMjTHwdFnzXsT4tAoSXxh7lbgdfhpVm
bJ0bVArrzKIQ8JOE2lrn6LgVcGTtbPGURNNNRD1nZEgZm6wni+ZoplsXmsj0wD7f
I5zhk/e+OyrsolpNWBJB0vf6JXVV2MauZKGlwRR4pZoSw5yPOa0rZDtOTtPbUX5C
lWGLtdQ3848YvgjMzK9GeEqK9n6yQx5potlvxJ6TCZsZTwXXF5LyPuv2y6U22075
JjMMX7noNnVnipKMj+l7x5fis+X+gafF/PbTABEBAAG0J1NTTSBBZ2VudCA8c3Nt
LWFnZW50LXNpZ25lckBhbWF6b24uY29tPokBPwQTAQIAKQUCYjEX/wIbLwUJAsaY
gAcLCQgHAwIBBhUIAgkKCwQWAgMBAh4BAheAAAoJEN2BphdWuqVJUKoIANHALkLq
xsUco2JwymOorf+1icVtL8MSdi87lIhxfIGWaGN5CkzrkBAJlIyf/C+hVcLzR9rQ
DWIJakLWE3XPb4g8fWyr5VlOoYbcGLCky0fL5O0pWEnF2ecQMMSpwkdv9zx7qUoo
PssEpuwz5kIOYp2ENy21IPkMGpny8MCbzQ+sHysLWiJ/b0aWX9giPuMe5vTO3djM
CPtyA5CeG3BMawPOaDQvjxB+DnWCg1HslgdzpZiSsusuZ8u3xKaehEMiB/Li2BO9
yZMAeG6iok4Dn01ZVVpU9mftZKIm/T5WBX5x+TBhQ1b30MQcN61kFEe0Gll3ReTu
CPEuDwAb4WruFkaJAhwEEAECAAYFAmIxGAAACgkQfdCXo9rX9fy5yQ/+PIBXWQc4
D/a6/nEaGM/FrLDLgPSieBCbU4TpvB7qPg6gJUX8CA+h8cZ06wDgcdi9sJ3MwTnQ
Ze1OzZ8AJroRP6XhwVeNEbeedBbmr7irSg8lIdyXZed0G0T+7SX/MDEyup16vRxW
k2UyBCXYqnxBHXeTKf9GxH0nODpcGPGByqjfmSB3nj2wZN0g8SWWz6oEWcXv218B
FJyJj7W2bQsbMXoHlILP28Ec5QN1r8cC1b1nQsmx4120XSKFWvi8trG2+dDb58LR
1afsEW8OhJwsJcba1YIMznxMbWpfyZww2S6g7rFahm1wKCxMkHIZ+Fca6axKoK9Y
KJaEPn9rbhh11XsgKBNIIP1h0eGmQTAvM01dWI9895fiaK3pQkCxV7in6dTxi8Jy
7iJBbORStxsospBJzLf+0Ca3yvILxySg1Q2EuOKuN2VW7N/l3IffJ85DVjjQgh6A
T4L6ViK/0L6ww5n8tboKB/Jz9OUDGf2idxhQe8WenIogAU3y4ZGUyzcZHMg9lRke
hdLYGtqRATdWuwFQbwjPeBNovulqKOPXU9BLEezz8gMtd6/aW/UQA33xuZlh959o
DHhGwWDXEJzhrIlFAljkb7rsIhhjrg/R2usSIi78i1jFkGsVqRET2/avn7/kBcgL
yIk43DugjkN04nzHfULMJmEm02uVumgSJzQ=
=rGEs
-----END PGP PUBLIC KEY BLOCK-----

  2. 将公钥导入到您的密钥环中,并记下返回的键值。

    rpm --import amazon-ssm-agent.gpg

  3. 验证指纹。请务必将 key-value 替换为上一步中的值。我们建议您使用 GPG 来验证指纹,即使您使用 RPM 验证安装程序包也是如此。

    gpg --fingerprint key-value

    该命令会返回类似以下内容的输出。

    pub   2048R/56BAA549 2022-03-15 [expires: 2023-09-05]
    Key fingerprint = 2BC7 C7C2 67BB D505 EAA4  91E6 DD81 A617 56BA A549
uid                  SSM Agent <ssm-agent-signer@amazon.com>

    指纹应与以下内容匹配。

    2BC7 C7C2 67BB D505 EAA4 91E6 DD81 A617 56BA A549

    否则,请勿安装该代理。联系 Amazon Web Services Support。

  4. 验证安装程序包签名。请务必将替换为 signature-filenameagent-download-filename 替换为您在下载签名文件和代理时指定的值。

    rpm --checksig agent-download-filename

    该命令会返回类似以下内容的输出。

    amazon-ssm-agent-3.1.1141.0-1.amzn2.x86_64.rpm: rsa sha1 (md5) pgp md5 OK

    如果输出中缺少 pgp,并且您已导入公钥,则不会对代理进行签名。如果输出包含短语 NOT OK (MISSING KEYS: (MD5) key-id),则检查是否正确执行了此过程,并验证您下载的是 SSM Agent 版本 3.1.1141.0 还是更高版本。如果您继续获得该响应,请联系 Amazon Web Services Support 且不要安装该代理。