Verificación de la firma del paquete del agente de CloudWatch
Se incluyen archivos de firma GPG para los paquetes de agente de CloudWatch en servidores Linux. Puede utilizar la clave pública para verificar que el archivo de descarga del agente sea original y no se haya modificado.
Para Windows Server, puede utilizar MSI para verificar la firma. En el caso de los equipos macOS, la firma se incluye en el paquete de descarga del agente.
Para buscar el archivo de firma correcto, consulte la siguiente tabla. Para cada arquitectura y sistema operativo, puede consultar el enlace general y los enlaces para cada región. Por ejemplo, para Amazon Linux 2023, Amazon Linux 2 y la arquitectura x86-64, tres de los enlaces válidos son:
-
https://amazoncloudwatch-agent.s3.amazonaws.com/amazon_linux/amd64/latest/amazon-cloudwatch-agent.rpm.sig -
https://amazoncloudwatch-agent-us-east-1.s3.us-east-1.amazonaws.com/amazon_linux/amd64/latest/amazon-cloudwatch-agent.rpm -
https://amazoncloudwatch-agent-eu-central-1.s3.eu-central-1.amazonaws.com/amazon_linux/amd64/latest/amazon-cloudwatch-agent.rpm
nota
Para descargar el agente de CloudWatch, la conexión deben usar la TLS 1.2 o una versión posterior.
| Arquitectura | Plataforma | Enlace de descarga | Enlace de archivo de firma |
|---|---|---|---|
|
x86-64 |
Amazon Linux 2023 y Amazon Linux 2 |
https://amazoncloudwatch-agent.s3.amazonaws.com/amazon_linux/amd64/latest/amazon-cloudwatch-agent.rpm https://amazoncloudwatch-agent- |
https://amazoncloudwatch-agent.s3.amazonaws.com/amazon_linux/amd64/latest/amazon-cloudwatch-agent.rpm.sig https://amazoncloudwatch-agent- |
|
x86-64 |
Centos |
https://amazoncloudwatch-agent.s3.amazonaws.com/centos/amd64/latest/amazon-cloudwatch-agent.rpm https://amazoncloudwatch-agent- |
https://amazoncloudwatch-agent.s3.amazonaws.com/centos/amd64/latest/amazon-cloudwatch-agent.rpm.sig https://amazoncloudwatch-agent- |
|
x86-64 |
Redhat |
https://amazoncloudwatch-agent.s3.amazonaws.com/redhat/amd64/latest/amazon-cloudwatch-agent.rpm https://amazoncloudwatch-agent- |
https://amazoncloudwatch-agent.s3.amazonaws.com/redhat/amd64/latest/amazon-cloudwatch-agent.rpm.sig https://amazoncloudwatch-agent- |
|
x86-64 |
SUSE |
https://amazoncloudwatch-agent.s3.amazonaws.com/suse/amd64/latest/amazon-cloudwatch-agent.rpm https://amazoncloudwatch-agent- |
https://amazoncloudwatch-agent.s3.amazonaws.com/suse/amd64/latest/amazon-cloudwatch-agent.rpm.sig https://amazoncloudwatch-agent- |
|
x86-64 |
Debian |
https://amazoncloudwatch-agent.s3.amazonaws.com/debian/amd64/latest/amazon-cloudwatch-agent.deb https://amazoncloudwatch-agent- |
https://amazoncloudwatch-agent.s3.amazonaws.com/debian/amd64/latest/amazon-cloudwatch-agent.deb.sig https://amazoncloudwatch-agent- |
|
x86-64 |
Ubuntu |
https://amazoncloudwatch-agent.s3.amazonaws.com/ubuntu/amd64/latest/amazon-cloudwatch-agent.deb https://amazoncloudwatch-agent- |
https://amazoncloudwatch-agent.s3.amazonaws.com/ubuntu/amd64/latest/amazon-cloudwatch-agent.deb.sig https://s3. |
|
x86-64 |
Oracle |
https://amazoncloudwatch-agent.s3.amazonaws.com/oracle_linux/amd64/latest/amazon-cloudwatch-agent.rpm https://amazoncloudwatch-agent- |
https://amazoncloudwatch-agent.s3.amazonaws.com/oracle_linux/amd64/latest/amazon-cloudwatch-agent.rpm.sig https://amazoncloudwatch-agent- |
|
x86-64 |
macOS |
https://amazoncloudwatch-agent.s3.amazonaws.com/darwin/amd64/latest/amazon-cloudwatch-agent.pkg https://amazoncloudwatch-agent- |
https://amazoncloudwatch-agent.s3.amazonaws.com/darwin/amd64/latest/amazon-cloudwatch-agent.pkg.sig https://amazoncloudwatch-agent- |
|
x86-64 |
Windows |
https://amazoncloudwatch-agent.s3.amazonaws.com/windows/amd64/latest/amazon-cloudwatch-agent.msi https://amazoncloudwatch-agent- |
https://amazoncloudwatch-agent.s3.amazonaws.com/windows/amd64/latest/amazon-cloudwatch-agent.msi.sig https://amazoncloudwatch-agent- |
|
ARM64 |
Amazon Linux 2023 y Amazon Linux 2 |
https://amazoncloudwatch-agent.s3.amazonaws.com/amazon_linux/arm64/latest/amazon-cloudwatch-agent.rpm https://amazoncloudwatch-agent- |
https://amazoncloudwatch-agent.s3.amazonaws.com/amazon_linux/arm64/latest/amazon-cloudwatch-agent.rpm.sig https://amazoncloudwatch-agent- |
|
ARM64 |
Redhat |
https://amazoncloudwatch-agent.s3.amazonaws.com/redhat/arm64/latest/amazon-cloudwatch-agent.rpm https://amazoncloudwatch-agent- |
https://amazoncloudwatch-agent.s3.amazonaws.com/redhat/arm64/latest/amazon-cloudwatch-agent.rpm.sig https://amazoncloudwatch-agent- |
|
ARM64 |
Ubuntu |
https://amazoncloudwatch-agent.s3.amazonaws.com/ubuntu/arm64/latest/amazon-cloudwatch-agent.deb https://amazoncloudwatch-agent- |
https://amazoncloudwatch-agent.s3.amazonaws.com/ubuntu/arm64/latest/amazon-cloudwatch-agent.deb.sig https://amazoncloudwatch-agent- |
|
ARM64 |
Debian |
https://amazoncloudwatch-agent.s3.amazonaws.com/debian/arm64/latest/amazon-cloudwatch-agent.deb https://amazoncloudwatch-agent- |
https://amazoncloudwatch-agent.s3.amazonaws.com/debian/arm64/latest/amazon-cloudwatch-agent.deb.sig https://amazoncloudwatch-agent- |
|
ARM64 |
SUSE |
https://amazoncloudwatch-agent.s3.amazonaws.com/suse/arm64/latest/amazon-cloudwatch-agent.rpm https://amazoncloudwatch-agent- |
https://amazoncloudwatch-agent.s3.amazonaws.com/suse/arm64/latest/amazon-cloudwatch-agent.rpm.sig https://amazoncloudwatch-agent- |
Para verificar el paquete de agente de CloudWatch en un servidor Linux
-
Descargue la clave pública.
shell$ wget https://amazoncloudwatch-agent.s3.amazonaws.com/assets/amazon-cloudwatch-agent.gpg -
Importe la clave pública en su llavero.
shell$gpg --import amazon-cloudwatch-agent.gpggpg: key 3B789C72: public key "Amazon CloudWatch Agent" imported gpg: Total number processed: 1 gpg: imported: 1 (RSA: 1)Anote el valor de clave, ya que lo necesitará en el siguiente paso. En el ejemplo anterior, el valor de la clave es
3B789C72. -
Verifique la huella digital ejecutando el siguiente comando, sustituyendo el
valor de la clavepor el valor del paso anterior:shell$gpg --fingerprintkey-valuepub 2048R/3B789C72 2017-11-14 Key fingerprint = 9376 16F3 450B 7D80 6CBD 9725 D581 6730 3B78 9C72 uid Amazon CloudWatch AgentLa cadena de huella debería ser igual a la siguiente:
9376 16F3 450B 7D80 6CBD 9725 D581 6730 3B78 9C72Si la cadena de huellas digitales no coincide, no instale el agente. Contáctese con Amazon Web Services.
Después de haber verificado la huella, puede utilizarla para verificar la firma del paquete de agente de CloudWatch.
-
Descargue el archivo de firma del paquete mediante wget. Para determinar el archivo de firma correcto, consulte la tabla anterior:
wgetSignature File Link -
Para verificar la firma, ejecute gpg --verify.
shell$gpg --verifysignature-filenameagent-download-filenamegpg: Signature made Wed 29 Nov 2017 03:00:59 PM PST using RSA key ID 3B789C72 gpg: Good signature from "Amazon CloudWatch Agent" gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: 9376 16F3 450B 7D80 6CBD 9725 D581 6730 3B78 9C72Si el resultado incluye la expresión
BAD signature, compruebe si ha realizado el procedimiento correctamente. Si sigue recibiendo esta respuesta, contáctese con Amazon Web Services y evite usar el archivo descargado.Tenga en cuenta la advertencia sobre confianza. Una clave solo es de confianza si la ha firmado usted o alguien en quien confíe. Esto no significa que la firma no sea válida, solo que no ha verificado la clave pública.
Para verificar el paquete de agente de CloudWatch en un servidor con Windows Server
-
Descargue e instale GnuPG para Windows desde https://gnupg.org/download/
. Al realizar la instalación, incluya la opción Shell Extension (GpgEx). Puede realizar los pasos restantes en Windows PowerShell.
-
Descargue la clave pública.
PS> wget https://amazoncloudwatch-agent.s3.amazonaws.com/assets/amazon-cloudwatch-agent.gpg -OutFile amazon-cloudwatch-agent.gpg -
Importe la clave pública en su llavero.
PS>gpg --import amazon-cloudwatch-agent.gpggpg: key 3B789C72: public key "Amazon CloudWatch Agent" imported gpg: Total number processed: 1 gpg: imported: 1 (RSA: 1)Anote el valor de clave, ya que lo necesitará en el siguiente paso. En el ejemplo anterior, el valor de la clave es
3B789C72. -
Verifique la huella digital ejecutando el siguiente comando, sustituyendo el
valor de la clavepor el valor del paso anterior:PS>gpg --fingerprintkey-valuepub rsa2048 2017-11-14 [SC] 9376 16F3 450B 7D80 6CBD 9725 D581 6730 3B78 9C72 uid [ unknown] Amazon CloudWatch AgentLa cadena de huella debería ser igual a la siguiente:
9376 16F3 450B 7D80 6CBD 9725 D581 6730 3B78 9C72Si la cadena de huellas digitales no coincide, no instale el agente. Contáctese con Amazon Web Services.
Después de haber verificado la huella, puede utilizarla para verificar la firma del paquete de agente de CloudWatch.
-
Descargue el archivo de firma del paquete mediante wget. Para determinar cuál es el archivo de firma correcto, consulte Enlaces de descarga del agente de CloudWatch.
-
Para verificar la firma, ejecute gpg --verify.
PS>gpg --verifysig-filenameagent-download-filenamegpg: Signature made 11/29/17 23:00:45 Coordinated Universal Time gpg: using RSA key D58167303B789C72 gpg: Good signature from "Amazon CloudWatch Agent" [unknown] gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: 9376 16F3 450B 7D80 6CBD 9725 D581 6730 3B78 9C72Si el resultado incluye la expresión
BAD signature, compruebe si ha realizado el procedimiento correctamente. Si sigue recibiendo esta respuesta, contáctese con Amazon Web Services y evite usar el archivo descargado.Tenga en cuenta la advertencia sobre confianza. Una clave solo es de confianza si la ha firmado usted o alguien en quien confíe. Esto no significa que la firma no sea válida, solo que no ha verificado la clave pública.
Para verificar el paquete del agente de CloudWatch en un equipo con macOS
-
Existen dos métodos para la verificación de firma en macOS.
-
Verifique la huella mediante la ejecución del siguiente comando:
pkgutil --check-signature amazon-cloudwatch-agent.pkgSe debería ver un resultado similar al siguiente:
Package "amazon-cloudwatch-agent.pkg": Status: signed by a developer certificate issued by Apple for distribution Signed with a trusted timestamp on: 2020-10-02 18:13:24 +0000 Certificate Chain: 1. Developer ID Installer: AMZN Mobile LLC (94KV3E626L) Expires: 2024-10-18 22:31:30 +0000 SHA256 Fingerprint: 81 B4 6F AF 1C CA E1 E8 3C 6F FB 9E 52 5E 84 02 6E 7F 17 21 8E FB 0C 40 79 13 66 8D 9F 1F 10 1C ------------------------------------------------------------------------ 2. Developer ID Certification Authority Expires: 2027-02-01 22:12:15 +0000 SHA256 Fingerprint: 7A FC 9D 01 A6 2F 03 A2 DE 96 37 93 6D 4A FE 68 09 0D 2D E1 8D 03 F2 9C 88 CF B0 B1 BA 63 58 7F ------------------------------------------------------------------------ 3. Apple Root CA Expires: 2035-02-09 21:40:36 +0000 SHA256 Fingerprint: B0 B1 73 0E CB C7 FF 45 05 14 2C 49 F1 29 5E 6E DA 6B CA ED 7E 2C 68 C5 BE 91 B5 A1 10 01 F0 24 O bien, descargue y use el archivo .sig; para utilizar este método, siga estos pasos.
Instale la aplicación GPG en el host de macOS al ingresar el siguiente comando.
brew install GnuPG
-
Descargue el archivo SIGNATURE del paquete mediante curl. Para determinar cuál es el archivo de firma correcto, consulte Enlaces de descarga del agente de CloudWatch.
-
Para verificar la firma, ejecute gpg --verify.
PS>gpg --verifysig-filenameagent-download-filenamegpg: Signature made 11/29/17 23:00:45 Coordinated Universal Time gpg: using RSA key D58167303B789C72 gpg: Good signature from "Amazon CloudWatch Agent" [unknown] gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: 9376 16F3 450B 7D80 6CBD 9725 D581 6730 3B78 9C72Si el resultado incluye la expresión
BAD signature, compruebe si ha realizado el procedimiento correctamente. Si sigue recibiendo esta respuesta, contáctese con Amazon Web Services y evite usar el archivo descargado.Tenga en cuenta la advertencia sobre confianza. Una clave solo es de confianza si la ha firmado usted o alguien en quien confíe. Esto no significa que la firma no sea válida, solo que no ha verificado la clave pública.
-
