本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
驗證 SSM Agent 的簽章
Linux 執行個體的 AWS Systems Manager 代理程式 (SSM Agent) deb 和 rpm 安裝程式套件已經過密碼編譯簽署。您可以使用公有金鑰來驗證代理程式套件為原版且未經修改。如果檔案有任何損壞或更改,驗證會失敗。您可以使用 RPM 或 GPG 來驗證安裝程式套件的簽章。以下資訊適用於 SSM Agent 版本 3.1.1141.0 或更新版本。
本主題稍後顯示的公有金鑰將於 2025 年 2 月 17 日到期。Systems Manager 會在舊的公有金鑰過期之前,在本主題發佈新的公有金鑰。我們鼓勵您訂閱本主題的 RSS 摘要,以便在新的金鑰可用時收到通知。
若要尋找執行個體架構和作業系統的正確簽章檔案,請參閱下表。
地區代表 AWS 區域
支援的識別碼 AWS Systems Manager,us-east-2例如美國東部 (俄亥俄) 區域。如需支援的 region 值的清單,請參閱《Amazon Web Services 一般參考》中 Systems Manager 服務端點一節的區域資料欄。
| 架構 |
作業系統 |
簽章檔案 URL |
代理程式下載檔案名稱 |
| x86_64 |
AlmaLinux, Amazon Linux 1, Amazon Linux 2, Amazon Linux 2023, CentOS, CentOS 流,, RHEL Oracle Linux Rocky Linux SLES
|
https://s3.region.amazonaws.com/amazon-ssm-region/latest/linux_amd64/amazon-ssm-agent.rpm.sig
https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_amd64/amazon-ssm-agent.rpm.sig
|
amazon-ssm-agent.rpm
|
| x86_64 |
Debian Server, Ubuntu Server
|
https://s3.region.amazonaws.com/amazon-ssm-region/latest/debian_amd64/amazon-ssm-agent.deb.sig
https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/debian_amd64/amazon-ssm-agent.deb.sig
|
amazon-ssm-agent.deb |
| x86 |
Amazon Linux 1, Amazon Linux 2, Amazon Linux 20CentOS, RHEL
|
https://s3.region.amazonaws.com/amazon-ssm-region/latest/linux_386/amazon-ssm-agent.rpm.sig
https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_386/amazon-ssm-agent.rpm.sig
|
amazon-ssm-agent.rpm
|
| x86 |
Ubuntu Server
|
https://s3.region.amazonaws.com/amazon-ssm-region/latest/debian_386/amazon-ssm-agent.deb.sig
https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/debian_386/amazon-ssm-agent.deb.sig
|
amazon-ssm-agent.deb
|
| ARM64 |
Amazon Linux 1, Amazon Linux 2, Amazon Linux 20CentOS, RHEL
|
https://s3.region.amazonaws.com/amazon-ssm-region/latest/linux_arm64/amazon-ssm-agent.rpm.sig
https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_arm64/amazon-ssm-agent.rpm.sig
|
amazon-ssm-agent.rpm |
開始之前
在驗證的簽章之前SSM Agent,您必須下載適用於您作業系統的代理程式套件。例如 https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_arm64/amazon-ssm-agent.rpm。如需下載SSM Agent套件的詳細資訊,請參閱在適用於 Linux 的 EC2 執行個體SSM Agent上手動安裝和卸載。
- GPG
-
在 Linux 伺服器上驗證 SSM Agent 套件
-
複製下列公有金鑰,並將它儲存至名為 amazon-ssm-agent.gpg 的檔案。
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v2.0.22 (GNU/Linux)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=zr5w
-----END PGP PUBLIC KEY BLOCK-----
-
將公有金鑰匯入至您的 keyring,並記下傳回的鍵值。
gpg --import amazon-ssm-agent.gpg
-
驗證指紋。請務必將 key-value 取代為上述步驟中的值。即使您使用 RPM 來驗證安裝程式套件,我們仍建議您使用 GPG 來驗證指紋。
gpg --fingerprint key-value
此命令會傳回類似以下的輸出。
pub 2048R/97DD04ED 2023-08-28 [expires: 2025-02-17]
Key fingerprint = DE92 C7DA 3E56 E923 31D6 2A36 BC1F 495C 97DD 04ED
uid SSM Agent <ssm-agent-signer@amazon.com>
指紋應該符合下列項目。
DE92 C7DA 3E56 E923 31D6 2A36 BC1F 495C 97DD
04ED
若指紋不相符,請勿安裝代理程式。聯繫 AWS Support。
-
如果您尚未下載簽章檔案,請根據執行個體的架構和作業系統進行下載。
-
確認安裝程式套件簽章。請務必agent-download-filename使用您在下載簽名檔案和代理程式時所指定的值來取代簽名檔案名稱,如本主題稍早的表格所列。
gpg --verify signature-filename agent-download-filename
例如,對於 Amazon Linux 2 上的 x86_64 架構:
gpg --verify amazon-ssm-agent.rpm.sig amazon-ssm-agent.rpm
此命令會傳回類似以下的輸出。
gpg: Signature made Thu 31 Aug 2023 07:46:49 PM UTC using RSA key ID 97DD04ED
gpg: Good signature from "SSM Agent <ssm-agent-signer@amazon.com>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: DE92 C7DA 3E56 E923 31D6 2A36 BC1F 495C 97DD 04ED
如果輸出包含 BAD
signature 片語,請檢查您是否已正確執行程序。如果您繼續收到此回應,請連絡 AWS Support 並且不要安裝代理程式。關於信任的警告訊息並不表示該簽章無效,只是您尚未驗證該公有金鑰。只有您或您信任者所簽章的金鑰才能信任。如果輸出包含 Can't
check signature: No public key 片語,請確認是否已下載 SSM Agent 版本 3.1.1141.0 或更新版本。
- RPM
-
在 Linux 伺服器上驗證 SSM Agent 套件
-
複製下列公有金鑰,並將它儲存至名為 amazon-ssm-agent.gpg 的檔案。
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v2.0.22 (GNU/Linux)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=zr5w
-----END PGP PUBLIC KEY BLOCK-----
-
將公有金鑰匯入至您的 keyring,並記下傳回的鍵值。
rpm --import amazon-ssm-agent.gpg
-
驗證指紋。請務必將 key-value 取代為上述步驟中的值。即使您使用 RPM 來驗證安裝程式套件,我們仍建議您使用 GPG 來驗證指紋。
gpg --fingerprint key-value
此命令會傳回類似以下的輸出。
pub 2048R/97DD04ED 2023-08-28 [expires: 2025-02-17]
Key fingerprint = DE92 C7DA 3E56 E923 31D6 2A36 BC1F 495C 97DD 04ED
uid SSM Agent <ssm-agent-signer@amazon.com>
指紋應該符合下列項目。
DE92 C7DA 3E56 E923 31D6 2A36 BC1F 495C 97DD
04ED
若指紋不相符,請勿安裝代理程式。聯繫 AWS Support。
-
確認安裝程式套件簽章。請務必agent-download-filename使用您在下載簽名檔案和代理程式時所指定的值來取代簽名檔案名稱,如本主題稍早的表格所列。
rpm --checksig signature-filename agent-download-filename
例如,對於 Amazon Linux 2 上的 x86_64 架構:
rpm --checksig amazon-ssm-agent.rpm.sig amazon-ssm-agent.rpm
此命令會傳回類似以下的輸出。
amazon-ssm-agent-3.1.1141.0-1.amzn2.x86_64.rpm: rsa sha1 (md5) pgp md5 OK
如果輸出中缺失 pgp,且您已匯入公有金鑰,則不會簽署代理程式。如果輸出包含 NOT OK (MISSING
KEYS: (MD5) key-id) 片語,請檢查您是否已正確執行程序,並確認是否已下載 SSM Agent 版本 3.1.1141.0 或更新版本。如果您繼續收到此回應,請連絡 AWS Support 並且不要安裝代理程式。
