SSM Agent의 서명 확인 - AWS Systems Manager

SSM Agent의 서명 확인

Linux 인스턴스용 AWS Systems Manager Agent(SSM Agent) deb 및 rpm 설치 관리자 패키지는 암호화 서명됩니다. 퍼블릭 키를 사용하여 에이전트 패키지가 원본이며 수정되지 않았는지 확인할 수 있습니다. 파일에 손상이나 변경이 있을 경우 확인에 실패합니다. RPM 또는 GPG를 사용하여 설치 관리자 패키지의 서명을 확인할 수 있습니다. 다음 정보는 SSM Agent 버전 3.1.1141.0 이상용입니다.

중요

이 항목의 뒷부분에 나와 있는 퍼블릭 키는 2025년 2월 17일에 만료됩니다. Systems Manager는 이전 공개 키가 만료되기 전에 이 주제에 새 공개 키를 게시합니다. 새 키를 사용할 수 있을 때 알림을 받으려면 이 주제에 대한 RSS 피드를 구독하는 것이 좋습니다.

인스턴스의 아키텍처 및 운영 체제에 대한 올바른 서명 파일을 찾으려면 다음 표를 참조하세요.

리전은 미국 동부(오하이오) 리전의 us-east-2 같이 AWS Systems Manager가 지원하는 AWS 리전의 식별자를 나타냅니다. 지원되는 리전 값 목록은 Amazon Web Services 일반 참조의 Systems Manager 서비스 엔드포인트에 있는 리전 열을 참조하세요.

아키텍처 운영 체제 서명 파일 URL 에이전트 다운로드 파일 이름
x86_64

AlmaLinux, Amazon Linux 1, Amazon Linux 2, Amazon Linux 2023, CentOS, CentOS Stream, RHEL, Oracle Linux, Rocky Linux, SLES

https://s3.region.amazonaws.com/amazon-ssm-region/latest/linux_amd64/amazon-ssm-agent.rpm.sig

https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_amd64/amazon-ssm-agent.rpm.sig

amazon-ssm-agent.rpm
x86_64

Debian Server, Ubuntu Server

https://s3.region.amazonaws.com/amazon-ssm-region/latest/debian_amd64/amazon-ssm-agent.deb.sig

https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/debian_amd64/amazon-ssm-agent.deb.sig

 amazon-ssm-agent.deb
x86

Amazon Linux 1, Amazon Linux 2, Amazon Linux 2023, CentOS, RHEL

https://s3.region.amazonaws.com/amazon-ssm-region/latest/linux_386/amazon-ssm-agent.rpm.sig

https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_386/amazon-ssm-agent.rpm.sig

amazon-ssm-agent.rpm
x86

Ubuntu Server

https://s3.region.amazonaws.com/amazon-ssm-region/latest/debian_386/amazon-ssm-agent.deb.sig

https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/debian_386/amazon-ssm-agent.deb.sig

amazon-ssm-agent.deb
ARM64

Amazon Linux 1, Amazon Linux 2, Amazon Linux 2023, CentOS, RHEL

https://s3.region.amazonaws.com/amazon-ssm-region/latest/linux_arm64/amazon-ssm-agent.rpm.sig

https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_arm64/amazon-ssm-agent.rpm.sig

 amazon-ssm-agent.rpm
시작하기 전 준비 사항

SSM Agent의 서명을 확인하기 전에 운영 체제에 적합한 에이전트 패키지를 다운로드해야 합니다. 예: https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_arm64/amazon-ssm-agent.rpm. SSM Agent 패키지 다운로드에 대한 자세한 내용은 Linux용 EC2 인스턴스에 수동으로 SSM Agent 설치 및 제거 섹션을 참조하세요.

GPG
Linux 서버에서 SSM Agent 패키지를 확인하려면

  1. 다음 퍼블릭를 복사해 amazon-ssm-agent.gpg 파일에 저장합니다.

    -----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v2.0.22 (GNU/Linux)
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=zr5w
-----END PGP PUBLIC KEY BLOCK-----

  2. 퍼블릭 키를 키링으로 가져오고 반환된 키 값을 기록해 둡니다.

    gpg --import amazon-ssm-agent.gpg

  3. 지문을 확인합니다. 키 값을 이전 단계의 값으로 바꿔야 합니다. RPM을 사용하여 설치 관리자 패키지를 확인하더라도 GPG를 사용하여 지문을 확인하는 것이 좋습니다.

    gpg --fingerprint key-value

    다음과 비슷한 출력이 반환됩니다.

    pub   2048R/97DD04ED 2023-08-28 [expires: 2025-02-17]
      Key fingerprint = DE92 C7DA 3E56 E923 31D6  2A36 BC1F 495C 97DD 04ED
uid                  SSM Agent <ssm-agent-signer@amazon.com>

    지문은 다음과 일치해야 합니다.

    DE92 C7DA 3E56 E923 31D6 2A36 BC1F 495C 97DD 04ED

    지문이 일치하지 않으면 에이전트를 설치하지 말고 AWS Support에 문의하십시오.

  4. 아직 다운로드하지 않은 경우 인스턴스의 아키텍처 및 운영 체제에 따라 서명 파일을 다운로드합니다.

  5. 설치 관리자 패키지 서명을 확인합니다. 이 주제의 앞부분에 나열된 대로 서명 파일과 에이전트를 다운로드할 때 signature-filenameagent-download-filename을 지정한 값으로 바꿔야 합니다.

    gpg --verify signature-filename agent-download-filename

    예를 들어, Amazon Linux 2의 x86_64 아키텍처의 경우:

    gpg --verify amazon-ssm-agent.rpm.sig amazon-ssm-agent.rpm

    다음과 비슷한 출력이 반환됩니다.

    gpg: Signature made Thu 31 Aug 2023 07:46:49 PM UTC using RSA key ID 97DD04ED
gpg: Good signature from "SSM Agent <ssm-agent-signer@amazon.com>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:     There is no indication that the signature belongs to the owner.
Primary key fingerprint: DE92 C7DA 3E56 E923 31D6 2A36 BC1F 495C 97DD 04ED

    출력에 BAD signature 문구가 포함된 경우, 절차를 올바르게 수행했는지 확인합니다. 이 응답이 계속되면 AWS Support에 연락하고 에이전트를 설치하지 않습니다. 신뢰에 대한 경고 메시지는 서명이 유효하지 않다는 의미가 아니라 퍼블릭 키를 확인하지 않았다는 의미입니다. 사용자 또는 사용자가 신뢰하는 사람이 서명한 키만 신뢰됩니다. 출력에 문구 Can't check signature: No public key가 포함된 경우 SSM Agent 버전 3.1.1141.0 이상을 다운로드했는지 확인합니다.

RPM
Linux 서버에서 SSM Agent 패키지를 확인하려면

  1. 다음 퍼블릭를 복사해 amazon-ssm-agent.gpg 파일에 저장합니다.

    -----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v2.0.22 (GNU/Linux)
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=zr5w
-----END PGP PUBLIC KEY BLOCK-----

  2. 퍼블릭 키를 키링으로 가져오고 반환된 키 값을 기록해 둡니다.

    rpm --import amazon-ssm-agent.gpg

  3. 지문을 확인합니다. 키 값을 이전 단계의 값으로 바꿔야 합니다. RPM을 사용하여 설치 관리자 패키지를 확인하더라도 GPG를 사용하여 지문을 확인하는 것이 좋습니다.

    gpg --fingerprint key-value

    다음과 비슷한 출력이 반환됩니다.

    pub   2048R/97DD04ED 2023-08-28 [expires: 2025-02-17]
      Key fingerprint = DE92 C7DA 3E56 E923 31D6  2A36 BC1F 495C 97DD 04ED
uid                  SSM Agent <ssm-agent-signer@amazon.com>

    지문은 다음과 일치해야 합니다.

    DE92 C7DA 3E56 E923 31D6 2A36 BC1F 495C 97DD 04ED

    지문이 일치하지 않으면 에이전트를 설치하지 말고 AWS Support에 문의하십시오.

  4. 설치 관리자 패키지 서명을 확인합니다. 이 주제의 앞부분에 나열된 대로 서명 파일과 에이전트를 다운로드할 때 signature-filenameagent-download-filename을 지정한 값으로 바꿔야 합니다.

    rpm --checksig signature-filename agent-download-filename

    예를 들어, Amazon Linux 2의 x86_64 아키텍처의 경우:

    rpm --checksig amazon-ssm-agent.rpm.sig amazon-ssm-agent.rpm

    다음과 비슷한 출력이 반환됩니다.

    amazon-ssm-agent-3.1.1141.0-1.amzn2.x86_64.rpm: rsa sha1 (md5) pgp md5 OK

    pgp가 출력에 없고 퍼블릭 키를 가져온 경우 에이전트가 서명되지 않은 것입니다. 출력에 NOT OK (MISSING KEYS: (MD5) key-id) 문구가 포함된 경우 절차를 올바르게 수행했는지 확인하고 SSM Agent 버전 3.1.1141.0 이상을 다운로드했는지 확인합니다. 이 응답이 계속되면 AWS Support에 연락하고 에이전트를 설치하지 않습니다.