Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Metadata repositori masuk AL2023
<a name="repo-metadata-signing"></a>

Dimulai dengan rilis`2023.11.20260406`, AL2023 repositori menyertakan tanda tangan kriptografi untuk metadata repositori. Setiap file repositori disertai dengan `repomd.xml` file tanda tangan GPG terpisah (`repomd.xml.asc`) yang dapat Anda gunakan untuk memverifikasi keaslian dan integritas metadata repositori sebelum paket diunduh.

Penandatanganan ini merupakan tambahan dari penandatanganan paket RPM yang ada (`gpgcheck`), yang memverifikasi paket individual. Penandatanganan metadata repositori memverifikasi metadata yang menjelaskan isi repositori, seperti daftar paket yang tersedia dan checksumnya.

## Cara kerja penandatanganan metadata repositori
<a name="repo-metadata-signing-overview"></a>

Ketika AL2023 repositori diterbitkan, metadata repositori (`repomd.xml`) ditandatangani menggunakan kunci KMS. AWS Tanda tangan terpisah (`repomd.xml.asc`) yang dihasilkan ditempatkan di samping metadata di repositori.

Saat Anda mengaktifkan `repo_gpgcheck` konfigurasi repositori Anda, DNF secara otomatis mengunduh dan memverifikasi `repomd.xml.asc` tanda tangan terhadap kunci publik GPG sebelum menggunakan metadata repositori. Jika verifikasi tanda tangan gagal, DNF tolak metadata repositori dan tidak melanjutkan operasi paket dari repositori tersebut. Untuk informasi selengkapnya`repo_gpgcheck`, lihat [Referensi DNF Konfigurasi](https://dnf.readthedocs.io/en/latest/conf_ref.html).

 AL2023 Repositori berikut mencakup metadata yang ditandatangani:
+ Repositori inti () `amazonlinux`
+ Repositori Kernel Livepatch () `kernel-livepatch`
+ Repositori NVIDIA () `amazonlinux-nvidia`
+ Paket Tambahan untuk repositori Amazon Linux () `amazonlinux-spal`

## Perbedaan antara `gpgcheck` dan `repo_gpgcheck`
<a name="repo-metadata-signing-gpgcheck-vs-repo-gpgcheck"></a>


| Pengaturan | Apa yang diverifikasi | Default di AL2023 | 
| --- | --- | --- | 
| gpgcheck=1 | Memverifikasi tanda tangan GPG dari masing-masing paket RPM sebelum instalasi. | Diaktifkan | 
| repo\_gpgcheck=1 | Memverifikasi tanda tangan GPG dari metadata repositori () repomd.xml sebelum menggunakan repositori. | Dinonaktifkan (diaktifkan secara default dimulai dengan rilis 2023.12 triwulanan) | 

Kami sangat menyarankan Anda mengaktifkan keduanya `gpgcheck` dan`repo_gpgcheck`. Ini memastikan bahwa metadata repositori dan paket individual diverifikasi sebelum digunakan.

## Mengaktifkan verifikasi metadata repositori
<a name="repo-metadata-signing-enable"></a>

Anda dapat mengaktifkan verifikasi metadata repositori untuk masing-masing repositori dengan memperbarui file konfigurasi mereka.

**penting**  
Dimulai dengan rilis `2023.12` triwulanan, `repo_gpgcheck=1` akan diaktifkan secara default di file konfigurasi AL2023 repositori.

### Aktifkan untuk repositori tertentu
<a name="repo-metadata-signing-enable-per-repo"></a>

File konfigurasi AL2023 repositori di `/etc/yum.repos.d/` set secara `repo_gpgcheck=0` default. Untuk mengaktifkan verifikasi metadata repositori, ubah nilai ini menjadi `1` dalam konfigurasi repositori. Misalnya, untuk mengaktifkannya untuk repositori inti:

```
[amazonlinux]
name=Amazon Linux 2023 repository
...
gpgcheck=1
repo_gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-amazon-linux-2023
```

## Memverifikasi bahwa penandatanganan metadata repositori berfungsi
<a name="repo-metadata-signing-verify"></a>

Setelah mengaktifkan`repo_gpgcheck=1`, Anda dapat memverifikasi bahwa verifikasi metadata berfungsi dengan membersihkan DNF cache dan menyegarkan metadata:

```
[ec2-user ~]$ sudo dnf clean metadata
[ec2-user ~]$ sudo dnf makecache
```

Jika verifikasi metadata berhasil, DNF impor kunci GPG (jika belum diimpor) dan membuat cache metadata tanpa kesalahan. Anda akan melihat output yang mirip dengan berikut ini:

```
Amazon Linux 2023 repository                    1.7 MB/s | 1.8 kB     00:00
Importing GPG key 0xD832C631:
 Userid     : "Amazon Linux <amazon-linux@amazon.com>"
 Fingerprint: B21C 50FA 44A9 9720 EAA7 2F7F E951 904A D832 C631
 From       : /etc/pki/rpm-gpg/RPM-GPG-KEY-amazon-linux-2023
Amazon Linux 2023 repository                      18 MB/s |  55 MB     00:03
Metadata cache created.
```

Jika verifikasi tanda tangan gagal, DNF menampilkan pesan kesalahan yang menunjukkan kegagalan verifikasi tanda tangan GPG dan pembuatan cache metadata gagal.

## Kunci publik GPG untuk repositori AL2023
<a name="repo-metadata-signing-gpg-keys"></a>

Kunci publik GPG yang digunakan untuk verifikasi metadata repositori diinstal oleh konfigurasi repositori yang sesuai untuk. RPMs `/etc/pki/rpm-gpg/` Tabel berikut mencantumkan kunci publik yang digunakan oleh setiap repositori.


| Repositori | Kunci penandatanganan Package | Kunci penandatanganan repodata | Didistribusikan di | 
| --- | --- | --- | --- | 
| Inti (amazonlinux) | RPM-GPG-KEY-amazon-linux-2023 | RPM-GPG-KEY-amazon-linux-2023 | system-release | 
| Kernel Livepatch () kernel-livepatch | RPM-GPG-KEY-amazon-linux-2023 | RPM-GPG-KEY-amazon-linux-2023 | system-release | 
| NVIDIA (amazonlinux-nvidia) | RPM-GPG-KEY-NVIDIA-D42D0685 | RPM-GPG-KEY-amazon-linux-2023-nvidia | nvidia-release | 
| SPAL () amazonlinux-spal | RPM-GPG-KEY-amazonlinux-spal | RPM-GPG-KEY-amazonlinux-spal | spal-release | 

Tombol-tombol ini secara otomatis diinstal ketika Anda menginstal konfigurasi repositori yang sesuai RPM.