验证 SSM Agent 签名
适用于 Linux 实例的AWS Systems Manager Agent (SSM Agent) deb 和 rpm 安装程序包是以加密方式签名的。您可以使用公钥验证代理软件包是否为未修改的原始包。如果文件有任何损坏或更改,则验证将失败。您可以使用 RPM 或 GPG 验证安装程序包的签名。以下信息适用于 SSM Agent 版本 3.1.1141.0 或更高版本。
本主题后面显示的公有密钥将于 2025-02-17(2025 年 2 月 17 日)到期。在旧公有密钥失效之前,Systems Manager 将在本主题中发布新的公有密钥。我们建议您订阅此主题的 RSS 源,以便在新密钥发布时收到通知。
要查找您的实例架构和操作系统的正确签名文件,请参阅下表。
region
表示 AWS Systems Manager 支持的 AWS 区域 的标识符,例如 us-east-2
对应美国东部(俄亥俄)区域。有关支持的 region
值的列表,请参阅《Amazon Web Services 一般参考》中的 Systems Manager service endpoints 的 Region 列。
架构 |
操作系统 |
签名文件 URL |
代理下载文件名 |
x86_64 |
AlmaLinux、Amazon Linux 1、Amazon Linux 2、Amazon Linux 2023、CentOS、CentOS Stream、RHEL、Oracle Linux、Rocky Linux、SLES
|
https://s3.region .amazonaws.com/amazon-ssm-region /latest/linux_amd64/amazon-ssm-agent.rpm.sig
https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_amd64/amazon-ssm-agent.rpm.sig
|
amazon-ssm-agent.rpm
|
x86_64 |
Debian Server, Ubuntu Server
|
https://s3.region .amazonaws.com/amazon-ssm-region /latest/debian_amd64/amazon-ssm-agent.deb.sig
https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/debian_amd64/amazon-ssm-agent.deb.sig
|
amazon-ssm-agent.deb |
x86 |
Amazon Linux 1、Amazon Linux 2、Amazon Linux 2023、CentOS、RHEL
|
https://s3.region .amazonaws.com/amazon-ssm-region /latest/linux_386/amazon-ssm-agent.rpm.sig
https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_386/amazon-ssm-agent.rpm.sig
|
amazon-ssm-agent.rpm
|
x86 |
Ubuntu Server
|
https://s3.region .amazonaws.com/amazon-ssm-region /latest/debian_386/amazon-ssm-agent.deb.sig
https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/debian_386/amazon-ssm-agent.deb.sig
|
amazon-ssm-agent.deb
|
ARM64 |
Amazon Linux 1、Amazon Linux 2、Amazon Linux 2023、CentOS、RHEL
|
https://s3.region .amazonaws.com/amazon-ssm-region /latest/linux_arm64/amazon-ssm-agent.rpm.sig
https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_arm64/amazon-ssm-agent.rpm.sig
|
amazon-ssm-agent.rpm |
开始前的准备工作
在验证 SSM Agent 的签名之前,必须下载适用于您操作系统的相应代理软件包。例如,https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_arm64/amazon-ssm-agent.rpm
。有关下载 SSM Agent 软件包的更多信息,请参阅 在适用于 Linux 的 EC2 实例上手动安装和卸载 SSM Agent。
- GPG
-
验证 Linux 服务器上的 SSM Agent 软件包
-
复制以下公钥,然后将其保存到名为 amazon-ssm-agent.gpg
的文件。
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v2.0.22 (GNU/Linux)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=zr5w
-----END PGP PUBLIC KEY BLOCK-----
-
将公钥导入到您的密钥环中,并记下返回的键值。
gpg --import amazon-ssm-agent.gpg
-
验证指纹。请务必将 key-value
替换为上一步中的值。我们建议您使用 GPG 来验证指纹,即使您使用 RPM 验证安装程序包也是如此。
gpg --fingerprint key-value
该命令会返回类似以下内容的输出。
pub 2048R/97DD04ED 2023-08-28 [expires: 2025-02-17]
Key fingerprint = DE92 C7DA 3E56 E923 31D6 2A36 BC1F 495C 97DD 04ED
uid SSM Agent <ssm-agent-signer@amazon.com>
指纹应与以下内容匹配。
DE92 C7DA 3E56 E923 31D6 2A36 BC1F 495C 97DD
04ED
否则,请勿安装该代理。联系 AWS Support。
-
根据您的实例架构和操作系统下载签名文件(如果您尚未执行此操作)。
-
验证安装程序包签名。请务必将 signature-filename
和 agent-download-filename
替换为下载签名文件和代理时指定的值,如本主题前面的表中所列。
gpg --verify signature-filename
agent-download-filename
例如,对于 Amazon Linux 2 上的 x86_64 架构:
gpg --verify amazon-ssm-agent.rpm.sig amazon-ssm-agent.rpm
该命令会返回类似以下内容的输出。
gpg: Signature made Thu 31 Aug 2023 07:46:49 PM UTC using RSA key ID 97DD04ED
gpg: Good signature from "SSM Agent <ssm-agent-signer@amazon.com>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: DE92 C7DA 3E56 E923 31D6 2A36 BC1F 495C 97DD 04ED
如果输出包含短语 BAD signature
,则检查是否正确执行了此过程。如果您继续获得该响应,请联系 AWS Support 且不要安装该代理。有关信任的警告消息并不意味着签名无效,只是您尚未验证公有密钥而已。只有当您或您信任的某个人对密钥进行了签名,密钥才是可信的。如果输出包含短语 Can't check signature: No public key
,则验证您下载的是 SSM Agent 版本 3.1.1141.0 还是更高版本。
- RPM
-
验证 Linux 服务器上的 SSM Agent 软件包
-
复制以下公钥,然后将其保存到名为 amazon-ssm-agent.gpg
的文件。
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v2.0.22 (GNU/Linux)
mQENBGTtIoIBCAD2M1aoGIE0FXynAHM/jtuvdAVVaX3Q4ZejTqrX+Jq8ElAMhxyO
GzHu2CDtCYxtVxXK3unptLVt2kGgJwNbhYC393jDeZx5dCda4Nk2YXX1UK3P461i
axuuXRzMYvfM4RZn+7bJTu635tA07q9Xm6MGD4TCTvsjBfViOxbrxOg5ozWbJdSw
fSR8MwUrRfmFpAefRlYfCEuZ8FHywa9U6jLeWt2O/kqrZliJOAGjGzXtB7EZkqKb
faCCxikjjvhF1awdEqSK4DQorC/OvQc4I5kP5y2CJbtXvXO73QH2yE75JMDIIx9x
rOsIRUoSfK3UrWaOVuAnEEn5ueKzZNqGG1J1ABEBAAG0J1NTTSBBZ2VudCA8c3Nt
LWFnZW50LXNpZ25lckBhbWF6b24uY29tPokBPwQTAQIAKQUCZO0iggIbLwUJAsaY
gAcLCQgHAwIBBhUIAgkKCwQWAgMBAh4BAheAAAoJELwfSVyX3QTt+icH/A//tJsW
I+7Ay8FGJh8dJPNy++HIBjVSFdGNJFWNbw1Z8uZcazHEcUCH3FhW4CLQLTZ3OVPz
qvFwzDtRDVIN/Y9EGDhLMFvimrE+/z4olWsJ5DANf6BnX8I5UNIcRt5d8SWH1BEJ
2FWIBZFgKyTDI6XzRC5x4ahtgpOVAGeeKDehs+wh6Ga4W0/K4GsviP1Kyr+Ic2br
NAIq0q0IHyN1q9zam3Y0+jKwEuNmTj+Bjyzshyv/X8S0JWWoXJhkexkOvWeBYNNt
5wI4QcSteyfIzp6KlQF8q11Hzz9D9WaPfcBEYyhq7vLEARobkbQMBzpkmaZua241
0RaWG50HRvrgm4aJAhwEEAECAAYFAmTtIoMACgkQfdCXo9rX9fwwqBAAzkTgYJ38
sWgxpn7Ux/81F2BWR1sVkmP79i++fXyJlKI8xtcJFQZhzeUos69KBUCy7mgx5bYU
P7NA5o9DUbwz/QS0i1Cqm4+jtFlX0MXe4FikXcqfDPnnzN8mVB2H+fa43iHR1PuH
GgUWuNdxzSoIYRmLZXWmeN5YXPcmixlhLzcE2TOQn1mOKcu2fKdLtBQ8KiEkmjiu
naoLxnUcyk1zMhaha+LzEkQdOyasix0ggylN2ViWVnlmfy0niuXDxW0qZWPdLStF
OODiX3iqGmkH3rDfy6nvxxBR4GIs+MGD72fpWzzrINDgkGI2i2t1+0AX/mps3aTy
+ftlgrim8stYWB58XXDAb0vad06sNye5/zDzfr0I9HupJrTzFhaYJQjWPaSlINto
LDJnBXohiUIPRYRcy/k012oFHDWZHT3H6CyjK9UD5UlxA9H7dsJurANs6FOVRe+7
34uJyxDZ/W7zLG4AVG0zxibrUSoaJxwcOjVPVsQAlrwG/GTs7tcAccsJqbJ1Py/w
9AgJl8VU2qc8POsHNXk348gjP7C8PDnGMpZFzr9f5INctRushpiv7onX+aWJVX7T
n2uX/TP3LCyH/MsrNJrJOQnMYFRLQitciP0E+F+eA3v9CY6mDuyb8JSx5HuGGUsG
S4bKBOcA8vimEpwPoT8CE7fdsZ3Qkwdu+pw=
=zr5w
-----END PGP PUBLIC KEY BLOCK-----
-
将公钥导入到您的密钥环中,并记下返回的键值。
rpm --import amazon-ssm-agent.gpg
-
验证指纹。请务必将 key-value
替换为上一步中的值。我们建议您使用 GPG 来验证指纹,即使您使用 RPM 验证安装程序包也是如此。
gpg --fingerprint key-value
该命令会返回类似以下内容的输出。
pub 2048R/97DD04ED 2023-08-28 [expires: 2025-02-17]
Key fingerprint = DE92 C7DA 3E56 E923 31D6 2A36 BC1F 495C 97DD 04ED
uid SSM Agent <ssm-agent-signer@amazon.com>
指纹应与以下内容匹配。
DE92 C7DA 3E56 E923 31D6 2A36 BC1F 495C 97DD
04ED
否则,请勿安装该代理。联系 AWS Support。
-
验证安装程序包签名。请务必将 signature-filename
和 agent-download-filename
替换为下载签名文件和代理时指定的值,如本主题前面的表中所列。
rpm --checksig signature-filename
agent-download-filename
例如,对于 Amazon Linux 2 上的 x86_64 架构:
rpm --checksig amazon-ssm-agent.rpm.sig amazon-ssm-agent.rpm
该命令会返回类似以下内容的输出。
amazon-ssm-agent-3.1.1141.0-1.amzn2.x86_64.rpm: rsa sha1 (md5) pgp md5 OK
如果输出中缺少 pgp
,并且您已导入公钥,则不会对代理进行签名。如果输出包含短语 NOT OK (MISSING KEYS: (MD5)
key-id
)
,则检查是否正确执行了此过程,并验证您下载的是 SSM Agent 版本 3.1.1141.0 还是更高版本。如果您继续获得该响应,请联系 AWS Support 且不要安装该代理。