Verificar a assinatura do SSM Agent

Os pacotes do instalador deb e rpm do AWS Systems Manager Agent (SSM Agent) para instâncias Linux são assinados criptograficamente. Use a chave pública para verificar se o arquivo de download do agente é original e não modificado. Se houver qualquer dano ou alteração nos arquivos, a verificação falhará. Você pode verificar a assinatura do pacote instalador usando RPM ou GPG. As informações a seguir são para SSM Agent versões 3.1.1141.0 ou posteriores.

Importante

A chave pública mostrada posteriormente neste tópico expira em 17/2/2025 (17 de fevereiro de 2025). O Systems Manager publicará uma nova chave pública neste tópico antes que a antiga expire. Recomendamos assinar o feed RSS deste tópico para receber uma notificação quando a nova chave estiver disponível.

Para encontrar o arquivo de assinatura correto para a arquitetura e o sistema operacional de sua instância, consulte a tabela a seguir.

A região representa o identificador da região para uma região da Região da AWS compatível com o AWS Systems Manager, como us-east-2 para a região Leste dos EUA (Ohio). Para ver uma lista dos valores de região com suporte, consulte a coluna Region em Systems Manager service endpoints no Referência geral da Amazon Web Services.

Arquitetura	Sistema operacional	URL do arquivo de assinatura	Nome do arquivo de download do agente
x86_64	AlmaLinux, Amazon Linux 1, Amazon Linux 2, Amazon Linux 2023, CentOS, CentOS Stream, RHEL, Oracle Linux, Rocky Linux, SLES	`https://s3.region.amazonaws.com/amazon-ssm-region/latest/linux_amd64/amazon-ssm-agent.rpm.sig` `https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_amd64/amazon-ssm-agent.rpm.sig`	`amazon-ssm-agent.rpm`
x86_64	Debian Server, Ubuntu Server	`https://s3.region.amazonaws.com/amazon-ssm-region/latest/debian_amd64/amazon-ssm-agent.deb.sig` `https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/debian_amd64/amazon-ssm-agent.deb.sig`	`amazon-ssm-agent.deb`
x86	Amazon Linux 1, Amazon Linux 2, Amazon Linux 2023, CentOS, RHEL	`https://s3.region.amazonaws.com/amazon-ssm-region/latest/linux_386/amazon-ssm-agent.rpm.sig` `https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_386/amazon-ssm-agent.rpm.sig`	`amazon-ssm-agent.rpm`
x86	Ubuntu Server	`https://s3.region.amazonaws.com/amazon-ssm-region/latest/debian_386/amazon-ssm-agent.deb.sig` `https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/debian_386/amazon-ssm-agent.deb.sig`	`amazon-ssm-agent.deb`
ARM64	Amazon Linux 1, Amazon Linux 2, Amazon Linux 2023, CentOS, RHEL	`https://s3.region.amazonaws.com/amazon-ssm-region/latest/linux_arm64/amazon-ssm-agent.rpm.sig` `https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_arm64/amazon-ssm-agent.rpm.sig`	`amazon-ssm-agent.rpm`

Antes de começar

Antes de verificar a assinatura de SSM Agent, você deve baixar o pacote de agente apropriado para seu sistema operacional. Por exemplo, https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_arm64/amazon-ssm-agent.rpm. Para obter mais informações sobre como fazer download de pacotes do SSM Agent, consulte Instalar e desinstalar o SSM Agent manualmente em instâncias do EC2 para Linux.

GPG

Para verificar o pacote do agente do SSM Agent em um servidor Linux

Copie a chave pública a seguir e salve-a em um arquivo chamado amazon-ssm-agent.gpg.


-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v2.0.22 (GNU/Linux)

mQENBGTtIoIBCAD2M1aoGIE0FXynAHM/jtuvdAVVaX3Q4ZejTqrX+Jq8ElAMhxyO
GzHu2CDtCYxtVxXK3unptLVt2kGgJwNbhYC393jDeZx5dCda4Nk2YXX1UK3P461i
axuuXRzMYvfM4RZn+7bJTu635tA07q9Xm6MGD4TCTvsjBfViOxbrxOg5ozWbJdSw
fSR8MwUrRfmFpAefRlYfCEuZ8FHywa9U6jLeWt2O/kqrZliJOAGjGzXtB7EZkqKb
faCCxikjjvhF1awdEqSK4DQorC/OvQc4I5kP5y2CJbtXvXO73QH2yE75JMDIIx9x
rOsIRUoSfK3UrWaOVuAnEEn5ueKzZNqGG1J1ABEBAAG0J1NTTSBBZ2VudCA8c3Nt
LWFnZW50LXNpZ25lckBhbWF6b24uY29tPokBPwQTAQIAKQUCZO0iggIbLwUJAsaY
gAcLCQgHAwIBBhUIAgkKCwQWAgMBAh4BAheAAAoJELwfSVyX3QTt+icH/A//tJsW
I+7Ay8FGJh8dJPNy++HIBjVSFdGNJFWNbw1Z8uZcazHEcUCH3FhW4CLQLTZ3OVPz
qvFwzDtRDVIN/Y9EGDhLMFvimrE+/z4olWsJ5DANf6BnX8I5UNIcRt5d8SWH1BEJ
2FWIBZFgKyTDI6XzRC5x4ahtgpOVAGeeKDehs+wh6Ga4W0/K4GsviP1Kyr+Ic2br
NAIq0q0IHyN1q9zam3Y0+jKwEuNmTj+Bjyzshyv/X8S0JWWoXJhkexkOvWeBYNNt
5wI4QcSteyfIzp6KlQF8q11Hzz9D9WaPfcBEYyhq7vLEARobkbQMBzpkmaZua241
0RaWG50HRvrgm4aJAhwEEAECAAYFAmTtIoMACgkQfdCXo9rX9fwwqBAAzkTgYJ38
sWgxpn7Ux/81F2BWR1sVkmP79i++fXyJlKI8xtcJFQZhzeUos69KBUCy7mgx5bYU
P7NA5o9DUbwz/QS0i1Cqm4+jtFlX0MXe4FikXcqfDPnnzN8mVB2H+fa43iHR1PuH
GgUWuNdxzSoIYRmLZXWmeN5YXPcmixlhLzcE2TOQn1mOKcu2fKdLtBQ8KiEkmjiu
naoLxnUcyk1zMhaha+LzEkQdOyasix0ggylN2ViWVnlmfy0niuXDxW0qZWPdLStF
OODiX3iqGmkH3rDfy6nvxxBR4GIs+MGD72fpWzzrINDgkGI2i2t1+0AX/mps3aTy
+ftlgrim8stYWB58XXDAb0vad06sNye5/zDzfr0I9HupJrTzFhaYJQjWPaSlINto
LDJnBXohiUIPRYRcy/k012oFHDWZHT3H6CyjK9UD5UlxA9H7dsJurANs6FOVRe+7
34uJyxDZ/W7zLG4AVG0zxibrUSoaJxwcOjVPVsQAlrwG/GTs7tcAccsJqbJ1Py/w
9AgJl8VU2qc8POsHNXk348gjP7C8PDnGMpZFzr9f5INctRushpiv7onX+aWJVX7T
n2uX/TP3LCyH/MsrNJrJOQnMYFRLQitciP0E+F+eA3v9CY6mDuyb8JSx5HuGGUsG
S4bKBOcA8vimEpwPoT8CE7fdsZ3Qkwdu+pw=
=zr5w
-----END PGP PUBLIC KEY BLOCK-----

Importe a chave pública em seu chaveiro e observe o valor de chave retornado.
```
gpg --import amazon-ssm-agent.gpg
```
Verifique a impressão digital. Substitua o valor da chave pelo valor da etapa anterior. Recomendamos que você use o GPG para verificar a impressão digital mesmo que você use o RPM para verificar o pacote do instalador.
```
gpg --fingerprint key-value
```
Esse comando retorna uma saída semelhante à seguinte:
```
pub   2048R/97DD04ED 2023-08-28 [expires: 2025-02-17]
      Key fingerprint = DE92 C7DA 3E56 E923 31D6  2A36 BC1F 495C 97DD 04ED
uid                  SSM Agent <ssm-agent-signer@amazon.com>
```
A impressão digital deve corresponder ao mostrado a seguir.

DE92 C7DA 3E56 E923 31D6 2A36 BC1F 495C 97DD 04ED

Se a impressão digital não coincidir, não instale o agente. Entre em contato com a AWS Support.
Baixe o arquivo de assinatura de acordo com a arquitetura e o sistema operacional da instância, caso ainda não tenha feito isso.
Verifique a assinatura do pacote do instalador. Substitua signature-filename e agente-download-filename pelos valores especificados ao baixar o arquivo de assinatura e o agente, conforme listado na tabela anteriormente neste tópico.
```
gpg --verify signature-filename agent-download-filename
```
Por exemplo, para a arquitetura x86_64 no Amazon Linux 2:
```
gpg --verify amazon-ssm-agent.rpm.sig amazon-ssm-agent.rpm
```
Esse comando retorna uma saída semelhante à seguinte:
```
gpg: Signature made Thu 31 Aug 2023 07:46:49 PM UTC using RSA key ID 97DD04ED
gpg: Good signature from "SSM Agent <ssm-agent-signer@amazon.com>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:     There is no indication that the signature belongs to the owner.
Primary key fingerprint: DE92 C7DA 3E56 E923 31D6 2A36 BC1F 495C 97DD 04ED
```
Se a saída inclui a frase BAD signature, verifique se você executou o procedimento corretamente. Se você continuar recebendo essa resposta, entre em contato com o AWS Support e não instale o agente. A mensagem de aviso sobre a relação de confiança não significa que a assinatura não é válida, apenas que você não verificou a chave pública. Uma chave somente será confiável se você ou alguém em quem você confia a tiver assinado. Se a saída incluir a frase Can't check signature: No public key, verifique se você baixou SSM Agent versão 3.1.1141.0 ou posterior.

RPM

Para verificar o pacote do agente do SSM Agent em um servidor Linux

Copie a chave pública a seguir e salve-a em um arquivo chamado amazon-ssm-agent.gpg.


-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v2.0.22 (GNU/Linux)
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=zr5w
-----END PGP PUBLIC KEY BLOCK-----

Importe a chave pública em seu chaveiro e observe o valor de chave retornado.
```
rpm --import amazon-ssm-agent.gpg
```
Verifique a impressão digital. Substitua o valor da chave pelo valor da etapa anterior. Recomendamos que você use o GPG para verificar a impressão digital mesmo que você use o RPM para verificar o pacote do instalador.
```
gpg --fingerprint key-value
```
Esse comando retorna uma saída semelhante à seguinte:
```
pub   2048R/97DD04ED 2023-08-28 [expires: 2025-02-17]
      Key fingerprint = DE92 C7DA 3E56 E923 31D6  2A36 BC1F 495C 97DD 04ED
uid                  SSM Agent <ssm-agent-signer@amazon.com>
```
A impressão digital deve corresponder ao mostrado a seguir.

DE92 C7DA 3E56 E923 31D6 2A36 BC1F 495C 97DD 04ED

Se a impressão digital não coincidir, não instale o agente. Entre em contato com a AWS Support.
Verifique a assinatura do pacote do instalador. Substitua signature-filename e agente-download-filename pelos valores especificados ao baixar o arquivo de assinatura e o agente, conforme listado na tabela anteriormente neste tópico.
```
rpm --checksig signature-filename agent-download-filename
```
Por exemplo, para a arquitetura x86_64 no Amazon Linux 2:
```
rpm --checksig amazon-ssm-agent.rpm.sig amazon-ssm-agent.rpm
```
Esse comando retorna uma saída semelhante à seguinte:
```
amazon-ssm-agent-3.1.1141.0-1.amzn2.x86_64.rpm: rsa sha1 (md5) pgp md5 OK
```
Se o pgp estiver ausente da saída e você tiver importado a chave pública, então o agente não será assinado. Se a saída contiver a frase NOT OK (MISSING KEYS: (MD5) key-id), verifique se você executou o procedimento corretamente e verifique se você baixou SSM Agent versão 3.1.1141.0 ou posterior. Se você continuar recebendo essa resposta, entre em contato com o AWS Support e não instale o atendente.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Trabalhar com o SSM Agent em instâncias do EC2 para Linux

Instalar e desinstalar o SSM Agent manualmente em instâncias do EC2 para Linux