Verificación de la firma de SSM Agent - AWS Systems Manager
Verificación del paquete de SSM Agent en un servidor Linux (v3.3.1802.0 y versiones posteriores)Verificación del paquete de SSM Agent en un servidor Linux (v3.3.1611.0 y versiones anteriores)

Verificación de la firma de SSM Agent

Los paquetes de instaladores deb y rpm de AWS Systems Manager Agent (SSM Agent) para instancias de Linux están firmados criptográficamente. Puede utilizar la clave pública para verificar que el paquete del agente sea original y que no se haya modificado. Si hay algún tipo de daño o alteración en los archivos, se produce un error en la verificación. Puede verificar la firma del paquete del instalador con RPM o GPG. La siguiente información es para SSM Agent versión 3.1.1141.0 o posterior.

Para buscar el archivo de firma adecuado para la arquitectura y el sistema operativo de la instancia, consulte la siguiente tabla.

region representa el identificador de una Región de AWS compatible con AWS Systems Manager, como us-east-2 para la región EE. UU. Este (Ohio). Para ver una lista de los valores de regiones admitidos, consulte la columna Región en Puntos de conexión de servicio de Systems Manager en la Referencia general de Amazon Web Services.

Arquitectura Sistema operativo URL del archivo de firma Nombre del archivo de descarga del agente
x86_64

AlmaLinux, Amazon Linux 1, Amazon Linux 2, Amazon Linux 2023, CentOS, CentOS Stream, RHEL, Oracle Linux, Rocky Linux, SLES

https://s3.region.amazonaws.com/amazon-ssm-region/latest/linux_amd64/amazon-ssm-agent.rpm.sig

https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_amd64/amazon-ssm-agent.rpm.sig

amazon-ssm-agent.rpm
x86_64

Debian Server, Ubuntu Server

https://s3.region.amazonaws.com/amazon-ssm-region/latest/debian_amd64/amazon-ssm-agent.deb.sig

https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/debian_amd64/amazon-ssm-agent.deb.sig

 amazon-ssm-agent.deb
x86

Amazon Linux 1, Amazon Linux 2, Amazon Linux 2023, CentOS, RHEL

https://s3.region.amazonaws.com/amazon-ssm-region/latest/linux_386/amazon-ssm-agent.rpm.sig

https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_386/amazon-ssm-agent.rpm.sig

amazon-ssm-agent.rpm
x86

Ubuntu Server

https://s3.region.amazonaws.com/amazon-ssm-region/latest/debian_386/amazon-ssm-agent.deb.sig

https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/debian_386/amazon-ssm-agent.deb.sig

amazon-ssm-agent.deb
ARM64

Amazon Linux 1, Amazon Linux 2, Amazon Linux 2023, CentOS, RHEL

https://s3.region.amazonaws.com/amazon-ssm-region/latest/linux_arm64/amazon-ssm-agent.rpm.sig

https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_arm64/amazon-ssm-agent.rpm.sig

 amazon-ssm-agent.rpm

Verificación del paquete de SSM Agent en un servidor Linux (v3.3.1802.0 y versiones posteriores)

Antes de empezar

Los procedimientos para GPG y RPM de esta sección se aplican a la versión 3.3.1802.0 y posteriores de SSM Agent. Antes de verificar la firma de SSM Agent mediante el siguiente procedimiento, asegúrese de haber descargado el paquete de agente más reciente para su sistema operativo. Por ejemplo, https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_arm64/amazon-ssm-agent.rpm. Para obtener más información sobre cómo descargar los paquetes de SSM Agent, consulte Instalación y desinstalación manual de SSM Agent en instancias de EC2 para Linux.

Si tiene algún motivo para seguir usando la versión 3.3.1611.0 o una anterior del agente, siga las instrucciones que se indican en Verificación del paquete de SSM Agent en un servidor Linux (v3.3.1611.0 y versiones anteriores) en su lugar.

GPG
Para verificar el paquete de SSM Agent en un servidor Linux (v3.3.1802.0 y versiones posteriores)

  1. Copie una de las siguientes claves públicas y guárdela en un archivo denominado amazon-ssm-agent.gpg.

    importante

    La siguiente clave pública caduca el 15/07/2026 (15 de julio de 2026). Systems Manager publicará una nueva clave pública en este tema antes de que caduque la antigua. Se recomienda suscribirse a la fuente RSS de este tema para recibir una notificación cuando la nueva clave esté disponible.

    -----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v2.0.22 (GNU/Linux)
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=aDkv
-----END PGP PUBLIC KEY BLOCK-----

  2. Importe la clave pública a su conjunto de claves y tenga en cuenta el valor de clave regresado.

    gpg --import amazon-ssm-agent.gpg

  3. Verifique la huella digital. Asegúrese de sustituir el valor de clave por el valor del paso anterior. Le recomendamos que utilice GPG para verificar la huella digital, incluso si utiliza RPM para verificar el paquete del instalador.

    gpg --fingerprint key-value

    Este comando devuelve un resultado similar al siguiente:

    pub   4096R/D0052E5D 2025-01-22 [expires: 2026-07-15]
      Key fingerprint = 4855 A9E6 8332 16D6 A77D  8FE4 51A8 E050 D005 2E5D
uid                  SSM Agent <ssm-agent-signer@amazon.com>

    La huella digital debe coincidir con la siguiente.

    4855 A9E6 8332 16D6 A77D 8FE4 51A8 E050 D005 2E5D

    Si la huella digital no coincide, no instale el agente. Ponte en contacto con AWS Support.

  4. Descargue el archivo de firma según la arquitectura y el sistema operativo de su instancia si aún no lo ha hecho.

  5. Verifique la firma del paquete del instalador. Asegúrese de sustituir signature-filename y agent-download-filename por los valores que especificó cuando descargó el archivo de firma y el agente, como se muestra en la tabla que está más arriba en este tema.

    gpg --verify signature-filename agent-download-filename

    Por ejemplo, para la arquitectura x86_64 en Amazon Linux 2:

    gpg --verify amazon-ssm-agent.rpm.sig amazon-ssm-agent.rpm

    Este comando devuelve un resultado similar al siguiente:

    gpg: Signature made Sat 08 Feb 2025 12:05:08 AM UTC using RSA key ID D0052E5D
gpg: Good signature from "SSM Agent <ssm-agent-signer@amazon.com>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 4855 A9E6 8332 16D6 A77D  8FE4 51A8 E050 D005 2E5D

    Si el resultado incluye la expresión BAD signature, compruebe si ha realizado el procedimiento correctamente. Si sigue recibiendo esta respuesta, contacte con Soporte y no instale el agente. El mensaje de advertencia sobre la confianza no significa que la firma no sea válida, sino que no se ha verificado la clave pública. Una clave solo es de confianza si la ha firmado usted o alguien en quien confíe. Si el resultado incluye la frase Can't check signature: No public key, verifique que ha descargado SSM Agent versión 3.1.1141.0 o posterior.

RPM
Para verificar el paquete de SSM Agent en un servidor Linux (v3.3.1802.0 y versiones posteriores)

  1. Copie la siguiente clave pública y guárdela en un archivo denominado amazon-ssm-agent.gpg.

    importante

    La siguiente clave pública caduca el 15/07/2026 (15 de julio de 2026). Systems Manager publicará una nueva clave pública en este tema antes de que caduque la antigua. Se recomienda suscribirse a la fuente RSS de este tema para recibir una notificación cuando la nueva clave esté disponible.

    -----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v2.0.22 (GNU/Linux)
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=aDkv
-----END PGP PUBLIC KEY BLOCK-----

  2. Importe la clave pública a su conjunto de claves y tenga en cuenta el valor de clave regresado.

    rpm --import amazon-ssm-agent.gpg

  3. Verifique la huella digital. Le recomendamos que utilice GPG para verificar la huella digital, incluso si utiliza RPM para verificar el paquete del instalador.

    rpm -qa gpg-pubkey --qf '%{Description}' | gpg --with-fingerprint | grep -A 1 "ssm-agent-signer@amazon.com"

    Este comando devuelve un resultado similar al siguiente:

    pub  4096R/D0052E5D 2025-01-22 SSM Agent <ssm-agent-signer@amazon.com>
      Key fingerprint = 4855 A9E6 8332 16D6 A77D  8FE4 51A8 E050 D005 2E5D

    La huella digital debe coincidir con la siguiente.

    4855 A9E6 8332 16D6 A77D 8FE4 51A8 E050 D005 2E5D

    Si la huella digital no coincide, no instale el agente. Ponte en contacto con AWS Support.

  4. Verifique la firma del paquete del instalador. Asegúrese de reemplazar agent-download-filename por los valores que especificó cuando descargó el agente, como se muestra en la tabla que figura más arriba en este tema.

    rpm --checksig agent-download-filename

    Por ejemplo, para la arquitectura x86_64 en Amazon Linux 2:

    rpm --checksig amazon-ssm-agent.rpm

    Este comando regresa un resultado similar al siguiente.

    amazon-ssm-agent.rpm: rsa sha1 md5 OK

    Si en el resultado no se incluye pgp y ha importado la clave pública, entonces el agente no está firmado. Si el resultado contiene la frase NOT OK (MISSING KEYS: (MD5) key-id), compruebe si ha realizado el procedimiento correctamente y verifique que ha descargado SSM Agent versión 3.1.1141.0 o posterior. Si sigue recibiendo esta respuesta, contacte con Soporte y no instale el agente.

Verificación del paquete de SSM Agent en un servidor Linux (v3.3.1611.0 y versiones anteriores)

Antes de empezar

Los procedimientos para GPG y RPM de esta sección se aplican a la versión 3.3.1611.0 y a las versiones anteriores de SSM Agent. Recomendamos usar siempre la versión más reciente del agente. Para obtener más información, consulta Verificación del paquete de SSM Agent en un servidor Linux (v3.3.1802.0 y versiones posteriores). Sin embargo, si tiene un motivo específico para seguir usando la versión 3.3.1611.0 o una anterior del agente, siga las instrucciones de uno de los siguientes procedimientos.

GPG
Para verificar el paquete de SSM Agent en un servidor Linux (v3.3.1611.0 y versiones anteriores)

  1. Copie las siguientes claves públicas y guárdelas en un archivo denominado amazon-ssm-agent.gpg.

    importante

    La clave pública que se muestra a continuación caducó el 17/02/2025 (17 de febrero de 2025) y funciona para la versión 3.3.1611.0 y las versiones anteriores hasta la 3.2.1542.0, y solo si se usó anteriormente para verificar la firma del agente. Systems Manager publicará una nueva clave pública en este tema antes de que caduque la antigua. Se recomienda suscribirse a la fuente RSS de este tema para recibir una notificación cuando la nueva clave esté disponible.

    -----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v2.0.22 (GNU/Linux)
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=zr5w
-----END PGP PUBLIC KEY BLOCK-----

  2. Importe la clave pública a su conjunto de claves y tenga en cuenta el valor de clave regresado.

    gpg --import amazon-ssm-agent.gpg

  3. Verifique la huella digital. Asegúrese de sustituir el valor de clave por el valor del paso anterior. Le recomendamos que utilice GPG para verificar la huella digital, incluso si utiliza RPM para verificar el paquete del instalador.

    gpg --fingerprint key-value

    Este comando regresa un resultado similar al siguiente.

    pub   2048R/97DD04ED 2023-08-28 [expired: 2025-02-17]
      Key fingerprint = DE92 C7DA 3E56 E923 31D6 2A36 BC1F 495C 97DD 04ED
uid                  SSM Agent <ssm-agent-signer@amazon.com>

    La huella digital debe coincidir con la siguiente.

    DE92 C7DA 3E56 E923 31D6 2A36 BC1F 495C 97DD 04ED

    Si la huella digital no coincide, no instale el agente. Ponte en contacto con AWS Support.

  4. Descargue el archivo de firma según la arquitectura y el sistema operativo de su instancia si aún no lo ha hecho.

  5. Verifique la firma del paquete del instalador. Asegúrese de sustituir signature-filename y agent-download-filename por los valores que especificó cuando descargó el archivo de firma y el agente, como se muestra en la tabla que está más arriba en este tema.

    gpg --verify signature-filename agent-download-filename

    Por ejemplo, para la arquitectura x86_64 en Amazon Linux 2:

    gpg --verify amazon-ssm-agent.rpm.sig amazon-ssm-agent.rpm

    Este comando devuelve un resultado similar al siguiente:

    gpg: Signature made Fri 10 Jan 2025 01:54:18 AM UTC using RSA key ID 97DD04ED
gpg: Good signature from "SSM Agent <ssm-agent-signer@amazon.com>"
gpg: Note: This key has expired!
Primary key fingerprint: DE92 C7DA 3E56 E923 31D6  2A36 BC1F 495C 97DD 04ED

    Si el resultado incluye la expresión BAD signature, compruebe si ha realizado el procedimiento correctamente. Si sigue recibiendo esta respuesta, contacte con Soporte y no instale el agente. El mensaje de advertencia sobre la confianza no significa que la firma no sea válida, sino que no se ha verificado la clave pública. Una clave solo es de confianza si la ha firmado usted o alguien en quien confíe. Si el resultado incluye la frase Can't check signature: No public key, verifique que ha descargado SSM Agent versión 3.1.1141.0 o posterior.

RPM
Para verificar el paquete de SSM Agent en un servidor Linux (v3.3.1611.0 y versiones anteriores)

  1. Copie la siguiente clave pública y guárdela en un archivo denominado amazon-ssm-agent.gpg.

    importante

    La clave pública que se muestra a continuación caducó el 17/02/2025 (17 de febrero de 2025) y funciona para la versión 3.3.1611.0 y las versiones anteriores hasta la 3.2.1542.0, y solo si se usó anteriormente para verificar la firma del agente. Systems Manager publicará una nueva clave pública en este tema antes de que caduque la antigua. Se recomienda suscribirse a la fuente RSS de este tema para recibir una notificación cuando la nueva clave esté disponible.

    -----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v2.0.22 (GNU/Linux)

mQENBGTtIoIBCAD2M1aoGIE0FXynAHM/jtuvdAVVaX3Q4ZejTqrX+Jq8ElAMhxyO
GzHu2CDtCYxtVxXK3unptLVt2kGgJwNbhYC393jDeZx5dCda4Nk2YXX1UK3P461i
axuuXRzMYvfM4RZn+7bJTu635tA07q9Xm6MGD4TCTvsjBfViOxbrxOg5ozWbJdSw
fSR8MwUrRfmFpAefRlYfCEuZ8FHywa9U6jLeWt2O/kqrZliJOAGjGzXtB7EZkqKb
faCCxikjjvhF1awdEqSK4DQorC/OvQc4I5kP5y2CJbtXvXO73QH2yE75JMDIIx9x
rOsIRUoSfK3UrWaOVuAnEEn5ueKzZNqGG1J1ABEBAAG0J1NTTSBBZ2VudCA8c3Nt
LWFnZW50LXNpZ25lckBhbWF6b24uY29tPokBPwQTAQIAKQUCZO0iggIbLwUJAsaY
gAcLCQgHAwIBBhUIAgkKCwQWAgMBAh4BAheAAAoJELwfSVyX3QTt+icH/A//tJsW
I+7Ay8FGJh8dJPNy++HIBjVSFdGNJFWNbw1Z8uZcazHEcUCH3FhW4CLQLTZ3OVPz
qvFwzDtRDVIN/Y9EGDhLMFvimrE+/z4olWsJ5DANf6BnX8I5UNIcRt5d8SWH1BEJ
2FWIBZFgKyTDI6XzRC5x4ahtgpOVAGeeKDehs+wh6Ga4W0/K4GsviP1Kyr+Ic2br
NAIq0q0IHyN1q9zam3Y0+jKwEuNmTj+Bjyzshyv/X8S0JWWoXJhkexkOvWeBYNNt
5wI4QcSteyfIzp6KlQF8q11Hzz9D9WaPfcBEYyhq7vLEARobkbQMBzpkmaZua241
0RaWG50HRvrgm4aJAhwEEAECAAYFAmTtIoMACgkQfdCXo9rX9fwwqBAAzkTgYJ38
sWgxpn7Ux/81F2BWR1sVkmP79i++fXyJlKI8xtcJFQZhzeUos69KBUCy7mgx5bYU
P7NA5o9DUbwz/QS0i1Cqm4+jtFlX0MXe4FikXcqfDPnnzN8mVB2H+fa43iHR1PuH
GgUWuNdxzSoIYRmLZXWmeN5YXPcmixlhLzcE2TOQn1mOKcu2fKdLtBQ8KiEkmjiu
naoLxnUcyk1zMhaha+LzEkQdOyasix0ggylN2ViWVnlmfy0niuXDxW0qZWPdLStF
OODiX3iqGmkH3rDfy6nvxxBR4GIs+MGD72fpWzzrINDgkGI2i2t1+0AX/mps3aTy
+ftlgrim8stYWB58XXDAb0vad06sNye5/zDzfr0I9HupJrTzFhaYJQjWPaSlINto
LDJnBXohiUIPRYRcy/k012oFHDWZHT3H6CyjK9UD5UlxA9H7dsJurANs6FOVRe+7
34uJyxDZ/W7zLG4AVG0zxibrUSoaJxwcOjVPVsQAlrwG/GTs7tcAccsJqbJ1Py/w
9AgJl8VU2qc8POsHNXk348gjP7C8PDnGMpZFzr9f5INctRushpiv7onX+aWJVX7T
n2uX/TP3LCyH/MsrNJrJOQnMYFRLQitciP0E+F+eA3v9CY6mDuyb8JSx5HuGGUsG
S4bKBOcA8vimEpwPoT8CE7fdsZ3Qkwdu+pw=
=zr5w
-----END PGP PUBLIC KEY BLOCK-----

  2. Importe la clave pública a su conjunto de claves y tenga en cuenta el valor de clave regresado.

    rpm --import amazon-ssm-agent.gpg

  3. Verifique la huella digital. Le recomendamos que utilice GPG para verificar la huella digital, incluso si utiliza RPM para verificar el paquete del instalador.

    rpm -qa gpg-pubkey --qf '%{Description}' | gpg --with-fingerprint | grep -A 1 "ssm-agent-signer@amazon.com"

    Este comando devuelve un resultado similar al siguiente:

    pub  2048R/97DD04ED 2023-08-28 SSM Agent <ssm-agent-signer@amazon.com>
      Key fingerprint = DE92 C7DA 3E56 E923 31D6 2A36 BC1F 495C 97DD 04ED

    La huella digital debe coincidir con la siguiente.

    DE92 C7DA 3E56 E923 31D6 2A36 BC1F 495C 97DD 04ED

    Si la huella digital no coincide, no instale el agente. Ponte en contacto con AWS Support.

  4. Verifique la firma del paquete del instalador. Asegúrese de reemplazar agent-download-filename por los valores que especificó cuando descargó el agente, como se muestra en la tabla que figura más arriba en este tema.

    rpm --checksig agent-download-filename

    Por ejemplo, para la arquitectura x86_64 en Amazon Linux 2:

    rpm --checksig amazon-ssm-agent.rpm

    Este comando regresa un resultado similar al siguiente.

    amazon-ssm-agent.rpm: rsa sha1 md5 OK

    Si en el resultado no se incluye pgp y ha importado la clave pública, entonces el agente no está firmado. Si el resultado contiene la frase NOT OK (MISSING KEYS: (MD5) key-id), compruebe si ha realizado el procedimiento correctamente y verifique que ha descargado SSM Agent versión 3.1.1141.0 o posterior. Si sigue recibiendo esta respuesta, contacte con Soporte y no instale el agente.