Vérification de la signature de SSM Agent

Les packages d'installation deb et rpm d' AWS Systems Manager Agent (SSM Agent) pour les instances Linux sont signés cryptographiquement. Vous pouvez utiliser une clé publique pour vérifier que le package de l'agent est l'archive originale non modifiée. En cas de dommage ou d'altération des fichiers, la vérification échoue. Vous pouvez vérifier la signature du package d'installation avec RPM ou GPG. Les informations suivantes sont pour les versions 3.1.1141.0 ou ultérieures de SSM Agent.

Important

La clé publique présentée plus loin dans cette rubrique expire le 17/02/2025 (17 février 2025). Systems Manager publiera une nouvelle clé publique dans cette rubrique avant l'expiration de l'ancienne clé. Nous vous recommandons de vous abonner au flux RSS pour ce sujet afin de recevoir une notification lorsque la nouvelle clé est disponible.

Pour trouver le bon fichier SIGNATURE pour l'architecture et le système d'exploitation de votre instance, veuillez consulter le tableau suivant.

région représente l'identifiant d'une région Région AWS prise en charge par AWS Systems Manager, par exemple us-east-2 pour la région USA Est (Ohio). Pour obtenir une liste des valeurs region prises en charge, consultez la colonne Région dans la rubrique Points de terminaison de service Systems Manager de la Référence générale d'Amazon Web Services.

Architecture	Système d'exploitation	URL du fichier SIGNATURE	Nom du fichier de téléchargement de l'agent
x86_64	AlmaLinux, Amazon Linux 1, Amazon Linux 2, Amazon Linux 2023, CentOS, CentOS Stream,,, RHEL Oracle Linux Rocky Linux SLES	`https://s3.region.amazonaws.com/amazon-ssm-region/latest/linux_amd64/amazon-ssm-agent.rpm.sig` `https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_amd64/amazon-ssm-agent.rpm.sig`	`amazon-ssm-agent.rpm`
x86_64	Debian Server, Ubuntu Server	`https://s3.region.amazonaws.com/amazon-ssm-region/latest/debian_amd64/amazon-ssm-agent.deb.sig` `https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/debian_amd64/amazon-ssm-agent.deb.sig`	`amazon-ssm-agent.deb`
x86	Amazon Linux 1, Amazon Linux 2, Amazon Linux 2023, CentOS, RHEL	`https://s3.region.amazonaws.com/amazon-ssm-region/latest/linux_386/amazon-ssm-agent.rpm.sig` `https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_386/amazon-ssm-agent.rpm.sig`	`amazon-ssm-agent.rpm`
x86	Ubuntu Server	`https://s3.region.amazonaws.com/amazon-ssm-region/latest/debian_386/amazon-ssm-agent.deb.sig` `https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/debian_386/amazon-ssm-agent.deb.sig`	`amazon-ssm-agent.deb`
ARM64	Amazon Linux 1, Amazon Linux 2, Amazon Linux 2023, CentOS, RHEL	`https://s3.region.amazonaws.com/amazon-ssm-region/latest/linux_arm64/amazon-ssm-agent.rpm.sig` `https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_arm64/amazon-ssm-agent.rpm.sig`	`amazon-ssm-agent.rpm`

GPG

Pour vérifier le package de l'SSM Agent sur un serveur Linux

Copiez la clé publique suivante et enregistrez-la dans un fichier appelé amazon-ssm-agent.gpg.


-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v2.0.22 (GNU/Linux)
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=zr5w
-----END PGP PUBLIC KEY BLOCK-----

Importez la clé publique dans votre porte-clés et notez la valeur de clé renvoyée.
```
gpg --import amazon-ssm-agent.gpg
```
Vérifiez l'empreinte digitale. Veillez à remplacer key-value (valeur de clé) par la valeur de l'étape précédente. Nous vous recommandons d'utiliser GPG pour vérifier l'empreinte digitale, même si vous utilisez RPM pour vérifier le package d'installation.
```
gpg --fingerprint key-value
```
La sortie générée lors de l'exécution de cette commande est semblable à ce qui suit.
```
pub   2048R/97DD04ED 2023-08-28 [expires: 2025-02-17]
      Key fingerprint = DE92 C7DA 3E56 E923 31D6  2A36 BC1F 495C 97DD 04ED
uid                  SSM Agent <ssm-agent-signer@amazon.com>
```
L'empreinte digitale doit correspondre à ce qui suit.

DE92 C7DA 3E56 E923 31D6 2A36 BC1F 495C 97DD 04ED

Si l'empreinte digitale ne correspond pas, n'installez pas l'agent. Contacter AWS Support.
Si vous ne l'avez pas déjà fait, téléchargez le fichier SIGNATURE en fonction de l'architecture et du système d'exploitation de votre instance.
Vérifiez la signature du package d'installation. Assurez-vous de remplacer le nom du fichier de signature et agent-download-filenameles valeurs que vous avez spécifiées lors du téléchargement du fichier de signature et de l'agent, comme indiqué dans le tableau ci-dessus dans cette rubrique.
```
gpg --verify signature-filename agent-download-filename
```
Par exemple, pour l'architecture x86_64 sur Amazon Linux 2 :
```
gpg --verify amazon-ssm-agent.rpm.sig amazon-ssm-agent.rpm
```
La sortie générée lors de l'exécution de cette commande est semblable à ce qui suit.
```
gpg: Signature made Thu 31 Aug 2023 07:46:49 PM UTC using RSA key ID 97DD04ED
gpg: Good signature from "SSM Agent <ssm-agent-signer@amazon.com>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:     There is no indication that the signature belongs to the owner.
Primary key fingerprint: DE92 C7DA 3E56 E923 31D6 2A36 BC1F 495C 97DD 04ED
```
Si le résultat inclut l'expression BAD signature, vérifiez si vous avez effectué la procédure correctement. Si vous continuez à recevoir cette réponse, contactez l'agent AWS Support et ne l'installez pas. Le message d'avertissement relatif à l'approbation ne signifie pas que la signature n'est pas valide, mais seulement que vous n'avez pas vérifié la clé publique. Une clé est uniquement approuvée si vous ou une personne de confiance l'a signée. Si la sortie inclut la phrase Can't check signature: No public key, vérifiez que vous avez téléchargé la version 3.1.1141.0 de SSM Agent ou une version ultérieure.

RPM

Pour vérifier le package de l'SSM Agent sur un serveur Linux

Copiez la clé publique suivante et enregistrez-la dans un fichier appelé amazon-ssm-agent.gpg.


-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v2.0.22 (GNU/Linux)
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=zr5w
-----END PGP PUBLIC KEY BLOCK-----

Importez la clé publique dans votre porte-clés et notez la valeur de clé renvoyée.
```
rpm --import amazon-ssm-agent.gpg
```
Vérifiez l'empreinte digitale. Veillez à remplacer key-value (valeur de clé) par la valeur de l'étape précédente. Nous vous recommandons d'utiliser GPG pour vérifier l'empreinte digitale, même si vous utilisez RPM pour vérifier le package d'installation.
```
gpg --fingerprint key-value
```
La sortie générée lors de l'exécution de cette commande est semblable à ce qui suit.
```
pub   2048R/97DD04ED 2023-08-28 [expires: 2025-02-17]
      Key fingerprint = DE92 C7DA 3E56 E923 31D6  2A36 BC1F 495C 97DD 04ED
uid                  SSM Agent <ssm-agent-signer@amazon.com>
```
L'empreinte digitale doit correspondre à ce qui suit.

DE92 C7DA 3E56 E923 31D6 2A36 BC1F 495C 97DD 04ED

Si l'empreinte digitale ne correspond pas, n'installez pas l'agent. Contacter AWS Support.
Vérifiez la signature du package d'installation. Assurez-vous de remplacer le nom du fichier de signature et agent-download-filenameles valeurs que vous avez spécifiées lors du téléchargement du fichier de signature et de l'agent, comme indiqué dans le tableau ci-dessus dans cette rubrique.
```
rpm --checksig signature-filename agent-download-filename
```
Par exemple, pour l'architecture x86_64 sur Amazon Linux 2 :
```
rpm --checksig amazon-ssm-agent.rpm.sig amazon-ssm-agent.rpm
```
La sortie générée lors de l'exécution de cette commande est semblable à ce qui suit.
```
amazon-ssm-agent-3.1.1141.0-1.amzn2.x86_64.rpm: rsa sha1 (md5) pgp md5 OK
```
Si la sortie ne contient pas pgp et que vous avez importé la clé publique, alors l'agent n'est pas signé. Si la sortie contient la phrase NOT OK (MISSING KEYS: (MD5) key-id), vérifiez si vous avez suivi la procédure correctement et vérifiez que vous avez téléchargé la version 3.1.1141.0 de SSM Agent ou une version ultérieure. Si vous continuez à recevoir cette réponse, contactez l'agent AWS Support et ne l'installez pas.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Utilisation de SSM Agent sur des instances EC2 pour Linux

Installation manuelle de SSM Agent sur les instances EC2 pour Linux