Vérifier la signature du plug-in Session Manager - AWS Systems Manager
Étape 1 : téléchargez et installez le programme d’installation du plug-in Session Manager.Étape 2 : télécharger le fichier de signature associéÉtape 3 : Installation de l’outil GPGÉtape 4 : vérifier le package d’installation du plug-in Session Manager sur un serveur Linux

Vérifier la signature du plug-in Session Manager

Les packages RPM et Debian du plug-in Session Manager pour les instances Linux sont signés cryptographiquement. Vous pouvez utiliser une clé publique pour vérifier que le binaire et le package du plug-in sont les originaux non modifiés. En cas de dommage ou d’altération des fichiers, la vérification échoue. Vous pouvez vérifier la signature du package d’installation avec l’outil GNU Privacy Guard (GPG). Les informations suivantes sont pour les versions 1.2.707.0 ou ultérieures du plug-in Session Manager.

Procédez comme suit pour vérifier la signature du package d’installation du plug-in Session Manager.

Étape 1 : téléchargez et installez le programme d’installation du plug-in Session Manager.

Téléchargez le package d’installation du plug-in Session Manager que vous souhaitez vérifier.

Packages RPM Amazon Linux 2, AL2023 et RHEL

x86_64
curl -o "session-manager-plugin.rpm" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/linux_64bit/session-manager-plugin.rpm"
ARM64
curl -o "session-manager-plugin.rpm" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/linux_arm64/session-manager-plugin.rpm"

Packages Deb Debian Server et Ubuntu Server

x86_64
curl -o "session-manager-plugin.deb" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/ubuntu_64bit/session-manager-plugin.deb"
ARM64
curl -o "session-manager-plugin.deb" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/ubuntu_arm64/session-manager-plugin.deb"

Étape 2 : télécharger le fichier de signature associé

Après avoir téléchargé le package d’installation, téléchargez le fichier de signature associé pour la vérification du package. Pour fournir un niveau de protection supplémentaire contre la copie ou l’utilisation non autorisées du binaire du gestionnaire de session contenu dans le package, nous proposons également des signatures binaires, que vous pouvez utiliser pour valider des binaires individuels. Vous pouvez choisir d’utiliser ces signatures binaires en fonction de vos besoins de sécurité.

Packages de signature Amazon Linux 2, AL2023 et RHEL

x86_64

Package :

curl -o "session-manager-plugin.rpm.sig" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/linux_64bit/session-manager-plugin.rpm.sig"

Binaire :

curl -o "session-manager-plugin.sig" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/linux_64bit/session-manager-plugin.sig"
ARM64

Package :

curl -o "session-manager-plugin.rpm.sig" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/linux_arm64/session-manager-plugin.rpm.sig"

Binaire :

curl -o "session-manager-plugin.sig" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/linux_arm64/session-manager-plugin.sig"

Packages de signature Deb Debian Server et Ubuntu Server

x86_64

Package :

curl -o "session-manager-plugin.deb.sig" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/ubuntu_64bit/session-manager-plugin.deb.sig"

Binaire :

curl -o "session-manager-plugin.sig" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/ubuntu_64bit/session-manager-plugin.sig"
ARM64

Package :

curl -o "session-manager-plugin.deb.sig" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/ubuntu_arm64/session-manager-plugin.deb.sig"

Binaire :

curl -o "session-manager-plugin.sig" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/ubuntu_arm64/session-manager-plugin.sig"

Étape 3 : Installation de l’outil GPG

Pour vérifier la signature du plug-in Session Manager, l’outil GNU Privacy Guard (GPG) doit être installé sur votre système. Le processus de vérification nécessite GPG version 2.1 ou ultérieure. Vous pouvez vérifier votre version de GPG en exécutant la commande suivante :

gpg --version

Si votre version de GPG est antérieure à la version 2.1, mettez-la à jour avant de procéder au processus de vérification. Pour la plupart des systèmes, vous pouvez mettre à jour l’outil GPG à l’aide de votre gestionnaire de packages. Par exemple, sur des versions prises en charge d’Amazon Linux et de RHEL, vous pouvez utiliser les commandes suivantes :

sudo yum update
sudo yum install gnupg2

Sur les systèmes Ubuntu Server et Debian Server pris en charge, vous pouvez utiliser les commandes suivantes :

sudo apt-get update
sudo apt-get install gnupg2

Assurez-vous de disposer de la version requise de GPG avant de poursuivre le processus de vérification.

Étape 4 : vérifier le package d’installation du plug-in Session Manager sur un serveur Linux

Utilisez la procédure suivante pour vérifier le package d’installation du plug-in Session Manager sur un serveur Linux.

Note

Amazon Linux 2 ne prend pas en charge la GPG version 2.1 ou ultérieure. Si la procédure suivante ne fonctionne pas sur vos instances Amazon Linux 2, vérifiez la signature sur une autre plateforme avant de l’installer sur vos instances Amazon Linux 2.

  1. Copiez la clé publique suivante et enregistrez-la dans un fichier appelé session-manager-plugin.gpg.

    -----BEGIN PGP PUBLIC KEY BLOCK-----
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=2DQm
-----END PGP PUBLIC KEY BLOCK-----

  2. Importez la clé publique dans votre porte-clés. La valeur de la clé renvoyée doit être 2C4D4AFF6F6757EE.

    $ gpg --import session-manager-plugin.gpg
gpg: key 2C4D4AFF6F6757EE: public key "AWS SSM Session Manager <session-manager-plugin-signer@amazon.com> (AWS Systems Manager Session Manager Plugin Linux Signer Key)" imported
gpg: Total number processed: 1
gpg:               imported: 1

  3. Vérifiez l’empreinte digitale en exécutant la commande suivante.

    gpg --fingerprint 2C4D4AFF6F6757EE

    L’empreinte digitale de la sortie de commande doit correspondre à ce qui suit.

    7959 6371 24CE 093A D501 D47A 2C4D 4AFF 6F67 57EE
    pub   nistp256 2025-01-22 [SC]
      7959 6371 24CE 093A D501  D47A 2C4D 4AFF 6F67 57EE
uid           [ unknown] AWS SSM Session Manager <session-manager-plugin-signer@amazon.com> (AWS Systems Manager Session Manager Plugin Linux Signer Key)

    Si l’empreinte digitale ne correspond pas, n’installez pas le plug-in. Contactez AWS Support.

  4. Vérifiez la signature du package d'installation. Remplacez signature-filename et downloaded-plugin-filename par les valeurs que vous avez spécifiées lors du téléchargement du fichier de signature et de session-manager-plugin, comme indiqué dans le tableau plus haut dans cette rubrique.

    gpg --verify signature-filename downloaded-plugin-filename

    Par exemple, pour l’architecture x86_64 sur Amazon Linux 2, la commande est la suivante :

    gpg --verify session-manager-plugin.rpm.sig session-manager-plugin.rpm

    La sortie générée lors de l'exécution de cette commande est semblable à ce qui suit.

    gpg: Signature made Mon Feb 3 20:08:32 2025 UTC gpg: using ECDSA key 2C4D4AFF6F6757EE
gpg: Good signature from "AWS Systems Manager Session Manager <session-manager-plugin-signer@amazon.com> (AWS Systems Manager Session Manager Plugin Linux Signer Key)" [unknown] 
gpg: WARNING: This key is not certified with a trusted signature! 
gpg: There is no indication that the signature belongs to the owner. 
Primary key fingerprint: 7959 6371 24CE 093A D501 D47A 2C4D 4AFF 6F67 57EE

Si le résultat inclut l’expression BAD signature, vérifiez si vous avez effectué la procédure correctement. Si vous continuez à obtenir cette réponse, contactez le AWS Support et n’installez pas le package. Le message d'avertissement relatif à l'approbation ne signifie pas que la signature n'est pas valide, mais seulement que vous n'avez pas vérifié la clé publique. Une clé est uniquement approuvée si vous ou une personne de confiance l'a signée. Si la sortie inclut la phrase Can't check signature: No public key, vérifiez que vous avez téléchargé la version 1.2.707.0 du plug-in Session Manager ou une version ultérieure.