AWSTOE インストールダウンロードの署名を確認する - EC2 Image Builder
Linux で署名を検証するWindows で署名を検証する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWSTOE インストールダウンロードの署名を確認する

このセクションでは、Linux および Windows ベースのオペレーティングシステム AWSTOE での のインストールダウンロードの有効性を検証するための推奨プロセスについて説明します。

Linux での AWSTOE インストールダウンロードの署名の検証

このトピックでは、Linux ベースのオペレーティングシステム AWSTOE での のインストールダウンロードの有効性を検証するための推奨プロセスについて説明します。

インターネットからアプリケーションをダウンロードする際は、必ずソフトウェアパブリッシャーの身元を認証することをお勧めします。また、アプリケーションが公開されてから変更または破損していないことを確認してください。これにより、ウイルスやマルウェアに感染したバージョンのアプリケーションをインストールせずに済みます。

このトピックのステップを実行した後に AWSTOE のソフトウェアが変更されているか破損していることが判明した場合は、インストールファイルを実行しないでください。代わりに、 AWS Support にお問い合わせください。サポートオプションの詳細については、「」を参照してくださいAWS Support

AWSTOE Linux ベースのオペレーティングシステム用の ファイルはGnuPG、安全なデジタル署名のための Pretty Good Privacy (OpenPGP) 標準のオープンソース実装である を使用して署名されます。 GnuPG ( とも呼ばれますGPG) は、デジタル署名を通じて認証と整合性チェックを提供します。Amazon EC2 は、ダウンロードした Amazon EC2 CLI ツールの検証に使用できるパブリックキーと署名を公開します。PGPGnuPG (GPG) の詳細については、http://www.gnupg.org を参照してください。

まず、ソフトウェア発行元との信頼を確立します。ソフトウェア発行元のパブリックキーをダウンロードし、キー所有者が一致していることを確認してから、キーリングに追加します。キーリングとは、既知のパブリックキーの集合です。真正性が確立されたパブリック キーは、アプリケーションの署名を確認するために使用できます。

GPG ツールのインストール

お使いのオペレーティングシステムが Linux または Unix の場合、GPG ツールが既にインストールされている場合があります。システムにツールがインストール済みかどうかをテストするには、コマンドラインプロンプトで gpg を入力します。GPG ツールがインストールされている場合、GPG のコマンドプロンプトが表示されます。GPG ツールがインストールされていない場合、コマンドが見つからないというエラーが表示されます。GnuPG パッケージはリポジトリからインストールできます。

Debian ベースの Linux に GPG ツールをインストールするには

  • ターミナルから、次のコマンド apt-get install gnupg を実行します。

Red Hat ベースの Linux に GPG ツールをインストールするには

  • ターミナルから、次のコマンド yum install gnupg を実行します。

パブリック キーの認証とインポート

プロセスの次のステップでは、 AWSTOE パブリックキーを認証し、GPGキーリングに信頼されたキーとして追加します。

AWSTOE パブリックキーを認証してインポートするには

  1. 次のいずれかを実行してパブリック GPG ビルドキーのコピーを取得します。

    • https://awstoe-<region>.s3.<region>.amazonaws.com/assets/awstoe.gpg からキーをダウンロードしてください。例えば https://awstoe-us-east-1.s3.us-east-1.amazonaws.com/latest/assets/awstoe.gpg です。

    • 次のテキストからキーをコピーし、[awstoe.gpg] という名前のファイルに貼り付けます。必ず次のすべてが含まれるようにしてください。

      -----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v2

mQENBF8UqwsBCACdiRF2bkZYaFSDPFC+LIkWLwFvtUCRwAHtD8KIwTJ6LVn3fHAU
GhuK0ZH9mRrqRT2bq/xJjGsnF9VqTj2AJqndGJdDjz75YCZYM+ocZ+r5HSJaeW9i
S5dykHj7Txti2zHe0G5+W0v7v5bPi2sPHsN7XWQ7+G2AMEPTz8PjxY//I0DvMQns
Sle3l9hz6wCClz1l9LbBzTyHfSm5ucTXvNe88XX5Gmt37OCDM7vfli0Ctv8WFoLN
6jbxuA/sV71yIkPm9IYp3+GvaKeT870+sn8/JOOKE/U4sJV1ppbqmuUzDfhrZUaw
8eW8IN9A1FTIuWiZED/5L83UZuQs1S7s2PjlABEBAAG0GkFXU1RPRSA8YXdzdG9l
QGFtYXpvbi5jb20+iQE5BBMBCAAjBQJfFKsLAhsDBwsJCAcDAgEGFQgCCQoLBBYC
AwECHgECF4AACgkQ3r3BVvWuvFJGiwf9EVmrBR77+Qe/DUeXZJYoaFr7If/fVDZl
6V3TC6p0J0Veme7uXleRUTFOjzbh+7e5sDX19HrnPquzCnzfMiqbp4lSoeUuNdOf
FcpuTCQH+M+sIEIgPno4PLl0Uj2uE1o++mxmonBl/Krk+hly8hB2L/9n/vW3L7BN
OMb1Ll9PmgGPbWipcT8KRdz4SUex9TXGYzjlWb3jU3uXetdaQY1M3kVKE1siRsRN
YYDtpcjmwbhjpu4xm19aFqNoAHCDctEsXJA/mkU3erwIRocPyjAZE2dnlkL9ZkFZ
z9DQkcIarbCnybDM5lemBbdhXJ6hezJE/b17VA0t1fY04MoEkn6oJg==
=oyze
-----END PGP PUBLIC KEY BLOCK-----

  2. awstoe.gpg を保存したディレクトリのコマンドプロンプトで、次のコマンドを使用して AWSTOE パブリックキーをキーリングにインポートします。

    gpg --import awstoe.gpg

    コマンドで次のような結果が返されます。

    gpg: key F5AEBC52: public key "AWSTOE <awstoe@amazon.com>" imported
gpg: Total number processed: 1
gpg:               imported: 1  (RSA: 1)

    次のステップで必要になるため、キーの値を書きとめておきます。前述の例では、キーの値は F5AEBC52 です。

  3. 次のコマンドを使用してフィンガープリントを確認し、キー値を前述の手順の値と置き換えます。

    gpg --fingerprint key-value

    このコマンドで次のような結果が返されます。

    pub   2048R/F5AEBC52 2020-07-19
      Key fingerprint = F6DD E01C 869F D639 15E5  5742 DEBD C156 F5AE BC52
uid       [ unknown] AWSTOE <awstoe@amazon.com>

    さらに、前述の例のように、フィンガープリント文字列は「F6DD E01C 869F D639 15E5 5742 DEBD C156 F5AE BC52」になります。返されたキー フィンガープリントをこのページで公開されているものと比較します。これらは一致するはずです。一致しない場合は、 AWSTOE インストールスクリプトをインストールせずに、 にお問い合わせください AWS Support。

パッケージの署名の確認

GPG ツールをインストール後、 AWSTOE パブリックキーを認証してインポートし、そのパブリック キーが信頼済みであることを確認すると、インストールスクリプトの署名を確認できるようになります。

インストールスクリプトの署名を確認するには

  1. コマンドプロンプトで次のコマンドを実行し、アプリケーションバイナリをダウンロードします。

    curl -O https://awstoe-<region>.s3.<region>.amazonaws.com/latest/linux/<architecture>/awstoe

    例:

    curl -O https://awstoe-us-east-1.s3.us-east-1.amazonaws.com/latest/linux/amd64/awstoe

    architectureでサポートされる値は amd64386、および arm64 です。

  2. コマンドプロンプトで次のコマンドを実行し、同じ S3 キー接頭辞パスから対応するアプリケーションバイナリの署名ファイルをダウンロードします。

    curl -O https://awstoe-<region>.s3.<region>.amazonaws.com/latest/linux/<architecture>/awstoe.sig

    例:

    curl -O https://awstoe-us-east-1.s3.us-east-1.amazonaws.com/latest/linux/amd64/awstoe.sig

    architectureでサポートされる値は amd64386、および arm64 です。

  3. 保存したディレクトリのコマンドプロンプトawstoe.sigと AWSTOE インストールファイルで次のコマンドを実行して、署名を検証します。ファイルが2つとも存在している必要があります。

    gpg --verify ./awstoe.sig ~/awstoe

    出力は次のようになります。

    gpg: Signature made Mon 20 Jul 2020 08:54:55 AM IST using RSA key ID F5AEBC52
gpg: Good signature from "AWSTOE awstoe@amazon.com" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: F6DD E01C 869F D639 15E5 5742 DEBD C156 F5AE BC52

    出力に「Good signature from "AWSTOE <awstoe@amazon.com>"」という句が含まれる場合は、署名が正常に確認されており、 AWSTOE のインストールスクリプトを実行できることを意味しています。

    出力結果に「BAD signature」という句が含まれる場合、手順が正しいことをもう一度確認してください。この応答が続く場合は、 AWS Supportに連絡してください。以前にダウンロードしたインストール ファイルを実行しないでください。

以下は、表示される可能性のある警告の詳細です。

  • 警告: このキーは、信頼済みの署名で認定されていません! 署名が所有者に属していることが確認できません。理想的には、 AWS オフィスを訪問し、直接キーを受け取ることです。しかし、キーは多くの場合ウェブサイトからダウンロードされます。この場合、ウェブサイトは AWS ウェブサイトです。

  • gpg: 最終的に信用されたキーが見つかりません。これは、特定のキーがユーザー (またはユーザーが信頼する他のユーザー) によって「最終的に信頼された」キーでないことを意味します。

詳細については、「http://www.gnupg.org」を参照してください。

Windows での AWSTOE インストールダウンロードの署名の検証

このトピックでは、Windows ベースのオペレーティングシステム上の AWS Task Orchestrator and Executor アプリケーションのインストールファイルの有効性を検証するための推奨プロセスについて説明します。

インターネットからアプリケーションをダウンロードする場合は、常にソフトウェア発行元のアイデンティティを認証し、アプリケーションの発行後に改ざん、あるいは破損がないか確認することをお勧めします。これにより、ウイルスやマルウェアに感染したバージョンのアプリケーションをインストールせずに済みます。

このトピックのステップを実行した後に AWSTOE アプリケーションのソフトウェアが変更されているか破損していることが判明した場合は、インストールファイルを実行しないでください。代わりに、 にお問い合わせください AWS Support。

Windows ベースのオペレーティングシステムでダウンロードした awstoe バイナリの有効性を確認するには、Amazon Services LLC の署名者証明書のサムプリントがこの値と等しいことを確認してください:

F8 83 11 EE F0 4A A2 91 E3 79 21 BA 6B FC AF F8 19 92 12 D7

注記

新しいバイナリのロールアウトウィンドウ中に、署名者証明書が新しいサムプリントと一致しない場合があります。署名者証明書が一致しない場合は、サムプリントの値が次のものであることを確認します。

5B 77 F4 F0 C3 7A 8B 89 D9 A7 8F 54 B6 85 11 CE 9E A3 BF 17

この値を検証するには、以下の手順を実行します。

  1. ダウンロードした awstoe.exe を右クリックして、プロパティウィンドウを開きます。

  2. デジタル署名タブを選択します。

  3. [Signature List] で [Amazon Services LLC] を選択し、[Details] をクリックします。

  4. すでに選択していない場合は 一般タブにアクセスし、証明書の表示 を選びます。

  5. 詳細 タブを選択し、まだの場合は すべて表示 のドロップダウンリストで選択します。

  6. 拇印 フィールドが表示されるまでスクロールして、拇印 を選択します。下のウィンドウにサムプリントの値全体が表示されます。

    • 下のウィンドウのサムプリントの値が次の値と等しい場合、

      F8 83 11 EE F0 4A A2 91 E3 79 21 BA 6B FC AF F8 19 92 12 D7

      ダウンロードした AWSTOE バイナリは本物であり、安全にインストールできます。

      注記

      新しいバイナリのロールアウトウィンドウ中に、署名者証明書が新しいサムプリントと一致しない場合があります。署名者証明書が一致しない場合は、サムプリントの値が次のものであることを確認します。

      5B 77 F4 F0 C3 7A 8B 89 D9 A7 8F 54 B6 85 11 CE 9E A3 BF 17

    • 下部の詳細ウィンドウのサムプリントの値が上記の値と等しくない場合には、awstoe.exe を実行しないでください。