SSM エージェントの署名を確認する - AWS Systems Manager

SSM エージェントの署名を確認する

Linux インスタンス用の AWS Systems Manager エージェント (SSM Agent) deb および rpm インストーラーパッケージは、暗号化で署名されています。公開鍵を使用して、エージェントのパッケージがオリジナルであり、変更されていないことを確認できます。ファイルに損傷や変更がある場合、検証は失敗します。RPM または GPG を使用して、インストーラーパッケージの署名を確認できます。

インスタンスのアーキテクチャとオペレーティングシステムに適した署名ファイルを検索するには、次の表を参照してください。

region は、米国東部 (オハイオ) リージョンの us-east-2 のように、AWS Systems Manager でサポートされている AWS リージョン の識別子を表します。サポートされている region 値の一覧については、アマゾン ウェブ サービスの全般リファレンスの「Systems Manager サービスエンドポイント」にある Region 列を参照してください。

アーキテクチャ オペレーティングシステム 署名ファイルの URL エージェントダウンロードファイル名
Intel 64-bit (x86_64)

Amazon Linux、Amazon Linux 2、CentOS、RHEL、Oracle Linux、SLES

https://s3.region.amazonaws.com/amazon-ssm-region/latest/linux_amd64/amazon-ssm-agent.rpm.sig

https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_amd64/amazon-ssm-agent.rpm.sig

amazon-ssm-agent.rpm

Intel 64-bit (x86_64)

Debian サーバー、Ubuntu Server

https://s3.region.amazonaws.com/amazon-ssm-region/latest/debian_amd64/amazon-ssm-agent.deb.sig

https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/debian_amd64/amazon-ssm-agent.deb.sig

amazon-ssm-agent.deb
Intel 32-bit (x86)

Amazon Linux、Amazon Linux 2、CentOS、RHEL

https://s3.region.amazonaws.com/amazon-ssm-region/latest/linux_386/amazon-ssm-agent.rpm.sig

https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_386/amazon-ssm-agent.rpm.sig

amazon-ssm-agent.rpm

Intel 32-bit (x86)

Ubuntu Server

https://s3.region.amazonaws.com/amazon-ssm-region/latest/debian_386/amazon-ssm-agent.deb.sig

https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/debian_386/amazon-ssm-agent.deb.sig

amazon-ssm-agent.deb

ARM 64-bit (arm64)

Amazon Linux、Amazon Linux 2、CentOS、RHEL

https://s3.region.amazonaws.com/amazon-ssm-region/latest/linux_arm64/amazon-ssm-agent.rpm.sig

https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_arm64/amazon-ssm-agent.rpm.sig

amazon-ssm-agent.rpm

Linux サーバーで SSM エージェントパッケージを確認するには

  1. 次のパブリックキーをコピーし、amazon-ssm-agent.gpg という名前のファイルに保存します。

    -----BEGIN PGP PUBLIC KEY BLOCK----- Version: GnuPG v2.0.22 (GNU/Linux) mQENBF98p2YBCADgfK6NJS/1UFMEBq+DbHrLGCPR7uabN7KByIWJ6X0gGqxad0y7 kP+M2YhWVlteeytpJgEEzKFIXkv7vZdRIjCrgIiNISdvDyYOTNQ2n5Ck5XPnJTQg n5HIRccvc+Lwdidl8auiCYteDCDCGM5EPb7vUrbrg+y4RkXeBNErzo7rbVnWW4QC z8x6EVLb24w/AONHLxywwunagorWiVBP6snrBoz2d2wQYAfpPmPsoLRAURiMnubG bDOM9hb5bGi2OY92L9fVChVRGJnxMNYPCQWFyUovRis9fKnmP1LopUmlNSmSqUj1 AD7WRDMGn2Ruf+HYEZuY+pDD/C2ejcJtjDJTABEBAAG0J1NTTSBBZ2VudCA8c3Nt LWFnZW50LXNpZ25lckBhbWF6b24uY29tPokBPwQTAQIAKQUCX3ynZgIbLwUJAsaY gAcLCQgHAwIBBhUIAgkKCwQWAgMBAh4BAheAAAoJEFT09W5pPsohHGQIALMvf8oq wEU5gph5SlrjYTIqZqsvyV8RKsUEFin5EDkeLC5ALpsby6rAWnobCy2Ce1p4buS+ sA/PFKkraVWtpmqOOkCZoBJTWZyR3KtY7y2pTUWl7aaj20NEO/nPI1VH/E47iH7m scYAOxbNOcEbRiip7AdXZXK7nKda51q/b6G92fM86pl8VPBAh6ijMNmEEZxIAWH2 AGY7Y9imwnp+UpUUwsJb3/L0asqMecPrYJLGWke6EYGPuDfxYb1+YOuZOY/mjDJJ z6f7G2nCuDMniabydk3269eLRPuRHUq4P5Sv+I/zdJI4B8lOJfJRpy/mwGwAU74l s7csneMjUO2zIzaJAhwEEAECAAYFAl98p2YACgkQfdCXo9rX9fzFHw//akOS57o3 lyQySKmbEpAhDrEcg4NGqidlp3NjqkxKmmK5GMwC+wJS+hmwuBiMH1knSaxc/0ie XmtxHsmDn8JmREypkfUS+vAONlmsuFJUjXipa5cAP4YjPMTW7HNxC/WrLV6NSuQZ 5nweVeXAQPxjOoNaAOOk1hlUuGdypPxCNV6NYLm5W7jz1buDYOhNwPvVP63wy1BK ME4HzE94ggCxnXdafJU2KR11Mj/9LRFeDJ8X8huSKOFNOy2IotuW5VmxlDvbkvDT ceelqWJjh5CsWKmWActoxqtyiedQqxgsxFuwqVIWxP758C3NP1zpxvr8SXxdJBy3 8U4iHC3I89zlX4x4tPiMn3vQOq+RhnZEzEphrmPkQAaq6H160hHxQz44DoM8jDIn f/EbWKPkw+p5679JUrXIZDOYP2OlbKoAY4axfCwvjIqAQ5KWFQyKmWyoRwTl4IrC bAXqljtqzyF20g2puNpxpvxT8CF+YaKYPKqXAbZkBQoOoPBbEGGG19BX5rCBehTx QwBAgmmk7FG162TY2uivbwjmguh4DM4PgEoHtsgg9UVM+A+M5tIuEeTC5jWgzEcf VkwTY6N+3XNvAnYNobND8mvN+QAJG7NpryX1fNBaxGsze3QBL42v/zFmG6VSfINp 4H01UHp8Pmidk8axmi+w6hoqB+uDo3lgd6U= =c8Y2 -----END PGP PUBLIC KEY BLOCK-----
  2. パブリックキーをキーリングにインポートし、返されたキー値をメモします。

    GPG
    gpg --import amazon-ssm-agent.gpg
    RPM
    rpm --import amazon-ssm-agent.gpg
  3. フィンガープリントを確認します。key-value は、前の手順の値に置き換えてください。RPM を使用してインストーラーパッケージを確認する場合でも、GPG を使用してフィンガープリントを確認することをお勧めします。

    gpg --fingerprint key-value

    このコマンドは、次のような出力を返します。

    pub 2048R/693ECA21 2020-10-06 [expires: 2022-03-29] Key fingerprint = 8108 A07A 9EBE 248E 3F1C 63F2 54F4 F56E 693E CA21 uid SSM Agent <ssm-agent-signer@amazon.com>

    フィンガープリントは、次のものと一致する必要があります。

    8108 A07A 9EBE 248E 3F1C 63F2 54F4 F56E 693E CA21

    フィンガープリントが一致しない場合は、エージェントをインストールしないでください。 に連絡しますAWS Support

  4. GPG を使用してインストーラパッケージを確認する場合は、インスタンスのアーキテクチャとオペレーティングシステムに従って署名ファイルをダウンロードします (まだ実行していない場合)。RPM パッケージには、RPM 検証に必要な署名が既に含まれています。

  5. インストーラパッケージの署名を確認します。signature-filename および agent-download-filename は、署名ファイルおよびエージェントをダウンロードするときに指定した値に置き換えてください。

    GPG
    gpg --verify signature-filename agent-download-filename
    RPM
    rpm --checksig agent-download-filename

    このコマンドは、次のような出力を返します。

    GPG
    gpg: Signature made Wed 07 Oct 2020 05:52:47 PM UTC using RSA key ID 693ECA21 gpg: Good signature from "SSM Agent <ssm-agent-signer@amazon.com>" gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: 8108 A07A 9EBE 248E 3F1C 63F2 54F4 F56E 693E CA21
    RPM
    amazon-ssm-agent-2.3.1319.0-1.amzn2.x86_64.rpm: rsa sha1 (md5) pgp md5 OK

    GPG を使用するとき、出力結果に「BAD signature」という句が含まれる場合、手順が正しいことをもう一度確認してください。この応答が続く場合は、AWS Support に連絡し、エージェントをインストールしないでください。信頼に関する警告メッセージは、署名が無効であることを意味するものではなく、パブリックキーを検証していないことを示すだけです。キーは、自分や信頼する人が署名した場合にのみ信頼できます。

    RPM を使用する場合、pgp が出力に存在せず、パブリックキーをインポートした場合、エージェントは署名されません。出力結果に「NOT OK (MISSING KEYS: (MD5) key-id)」という句が含まれる場合、手順が正しいことをもう一度確認してください。この応答が続く場合は、AWS Support に連絡し、エージェントをインストールしないでください。