本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
验证 SSM 代理 的签名
Linux 实例的 AWS Systems Manager 代理 (SSM 代理) deb 和 rpm 安装程序包是加密签名的。您可以使用公有密钥验证代理软件包是否为原始的而未进行修改。如果文件有任何损坏或更改,验证将失败。您可以使用 RPM 或 GPG 验证安装程序包的签名。
要查找适用于实例架构和操作系统的正确的签名文件,请参阅下表。
region
表示 AWS Systems Manager 支持的 AWS 区域的标识符,如美国东部(俄亥俄)区域的 us-east-2
。有关受支持的 region
值的列表,请参阅Amazon Web Services 一般参考 中的 Systems Manager 服务终端节点中的 Region (区域) 列。
架构 | 操作系统 | 签名文件 URL |
---|---|---|
Intel 64-bit (x86_64) |
Amazon Linux, Amazon Linux 2, CentOS, RHEL, Oracle Linux, SLES |
https://s3.region.amazonaws.com/amazon-ssm-region/latest/linux_amd64/amazon-ssm-agent.rpm.sig https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_amd64/amazon-ssm-agent.rpm.sig |
Intel 64-bit (x86_64) |
Debian Server, Ubuntu Server |
https://s3.region.amazonaws.com/amazon-ssm-region/latest/debian_amd64/amazon-ssm-agent.deb.sig https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/debian_amd64/amazon-ssm-agent.deb.sig |
Intel 32-bit (x86) |
Amazon Linux, Amazon Linux 2, CentOS, RHEL |
https://s3.region.amazonaws.com/amazon-ssm-region/latest/linux_386/amazon-ssm-agent.rpm.sig https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_386/amazon-ssm-agent.rpm.sig |
Intel 32-bit (x86) |
Ubuntu Server |
https://s3.region.amazonaws.com/amazon-ssm-region/latest/debian_386/amazon-ssm-agent.deb.sig https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/debian_386/amazon-ssm-agent.deb.sig |
ARM 64-bit (arm64) |
Amazon Linux, Amazon Linux 2, CentOS, RHEL |
https://s3.region.amazonaws.com/amazon-ssm-region/latest/linux_arm64/amazon-ssm-agent.rpm.sig https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_arm64/amazon-ssm-agent.rpm.sig |
验证 Linux 服务器上的 SSM 代理 软件包
-
复制以下公有密钥,并将其保存到名为
amazon-ssm-agent.gpg
的文件中。-----BEGIN PGP PUBLIC KEY BLOCK----- Version: GnuPG v2.0.22 (GNU/Linux) mQENBF98p2YBCADgfK6NJS/1UFMEBq+DbHrLGCPR7uabN7KByIWJ6X0gGqxad0y7 kP+M2YhWVlteeytpJgEEzKFIXkv7vZdRIjCrgIiNISdvDyYOTNQ2n5Ck5XPnJTQg n5HIRccvc+Lwdidl8auiCYteDCDCGM5EPb7vUrbrg+y4RkXeBNErzo7rbVnWW4QC z8x6EVLb24w/AONHLxywwunagorWiVBP6snrBoz2d2wQYAfpPmPsoLRAURiMnubG bDOM9hb5bGi2OY92L9fVChVRGJnxMNYPCQWFyUovRis9fKnmP1LopUmlNSmSqUj1 AD7WRDMGn2Ruf+HYEZuY+pDD/C2ejcJtjDJTABEBAAG0J1NTTSBBZ2VudCA8c3Nt LWFnZW50LXNpZ25lckBhbWF6b24uY29tPokBPwQTAQIAKQUCX3ynZgIbLwUJAsaY gAcLCQgHAwIBBhUIAgkKCwQWAgMBAh4BAheAAAoJEFT09W5pPsohHGQIALMvf8oq wEU5gph5SlrjYTIqZqsvyV8RKsUEFin5EDkeLC5ALpsby6rAWnobCy2Ce1p4buS+ sA/PFKkraVWtpmqOOkCZoBJTWZyR3KtY7y2pTUWl7aaj20NEO/nPI1VH/E47iH7m scYAOxbNOcEbRiip7AdXZXK7nKda51q/b6G92fM86pl8VPBAh6ijMNmEEZxIAWH2 AGY7Y9imwnp+UpUUwsJb3/L0asqMecPrYJLGWke6EYGPuDfxYb1+YOuZOY/mjDJJ z6f7G2nCuDMniabydk3269eLRPuRHUq4P5Sv+I/zdJI4B8lOJfJRpy/mwGwAU74l s7csneMjUO2zIzaJAhwEEAECAAYFAl98p2YACgkQfdCXo9rX9fzFHw//akOS57o3 lyQySKmbEpAhDrEcg4NGqidlp3NjqkxKmmK5GMwC+wJS+hmwuBiMH1knSaxc/0ie XmtxHsmDn8JmREypkfUS+vAONlmsuFJUjXipa5cAP4YjPMTW7HNxC/WrLV6NSuQZ 5nweVeXAQPxjOoNaAOOk1hlUuGdypPxCNV6NYLm5W7jz1buDYOhNwPvVP63wy1BK ME4HzE94ggCxnXdafJU2KR11Mj/9LRFeDJ8X8huSKOFNOy2IotuW5VmxlDvbkvDT ceelqWJjh5CsWKmWActoxqtyiedQqxgsxFuwqVIWxP758C3NP1zpxvr8SXxdJBy3 8U4iHC3I89zlX4x4tPiMn3vQOq+RhnZEzEphrmPkQAaq6H160hHxQz44DoM8jDIn f/EbWKPkw+p5679JUrXIZDOYP2OlbKoAY4axfCwvjIqAQ5KWFQyKmWyoRwTl4IrC bAXqljtqzyF20g2puNpxpvxT8CF+YaKYPKqXAbZkBQoOoPBbEGGG19BX5rCBehTx QwBAgmmk7FG162TY2uivbwjmguh4DM4PgEoHtsgg9UVM+A+M5tIuEeTC5jWgzEcf VkwTY6N+3XNvAnYNobND8mvN+QAJG7NpryX1fNBaxGsze3QBL42v/zFmG6VSfINp 4H01UHp8Pmidk8axmi+w6hoqB+uDo3lgd6U= =c8Y2 -----END PGP PUBLIC KEY BLOCK-----
-
将公有密钥导入密钥环中,并记下返回的密钥值。
-
验证指纹。请务必替换
key-value
替换为上一步中的值。我们建议您使用 GPG 验证指纹,即使您使用 RPM 验证安装程序包也是如此。gpg --fingerprint
key-value
此命令返回类似于以下内容的输出。
pub 2048R/693ECA21 2020-10-06 [expires: 2022-03-29] Key fingerprint = 8108 A07A 9EBE 248E 3F1C 63F2 54F4 F56E 693E CA21 uid SSM Agent <ssm-agent-signer@amazon.com>
指纹应与以下内容匹配:
8108 A07A 9EBE 248E 3F1C 63F2 54F4 F56E 693E CA21
如果指纹不匹配,请不要安装该代理。联系 AWS Support。
-
如果您使用 GPG 验证安装程序包,请根据实例的架构和操作系统下载签名文件 (如果您尚未执行此操作)。请注意,RPM 程序包已包含 RPM 验证所需的签名。
-
验证安装程序包签名。请务必替换
signature-filename
和agent-download-filename
替换为您在下载签名文件和代理时指定的值。此命令返回类似于以下内容的输出。
使用 GPG 时,如果输出包含短语
BAD signature
,请检查您是否正确执行了该过程。如果您继续获得此响应,请联系 AWS Support 并且不安装代理。有关信任的警告消息并不意味着签名无效,只是您尚未验证公有密钥而已。只有当您或您信任的某个人对密钥进行了签名,密钥才是可信的。使用 RPM 时,如果输出中缺少
pgp
,并且您已导入公有密钥,则不会为代理签名。如果输出包含短语NOT OK (MISSING KEYS: (MD5)
,则检查是否正确执行了此过程。如果您继续获得此响应,请联系 AWS Support 并且不安装代理。key-id
)