• AWS Systems Manager CloudWatch ダッシュボードは、2026 年 4 月 30 日以降は利用できなくなります。お客様は、これまでと同様に Amazon CloudWatch コンソールを使用して、Amazon CloudWatch ダッシュボードの表示、作成、管理を継続できます。詳細については、「[Amazon CloudWatch ダッシュボードのドキュメント](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)」を参照してください。
# SSM Agent の署名の確認
Linux インスタンス用の AWS Systems Manager Agent (SSM Agent) deb および rpm インストーラーパッケージは、暗号化で署名されています。パブリックキーを使用して、エージェントのパッケージがオリジナルであり、変更されていないことを確認できます。ファイルが損傷していたり、改変されていた場合、検証は失敗します。RPM または GPG を使用して、インストーラーパッケージの署名を確認できます。以下の情報は SSM Agent バージョン 3.1.1141.0 以降のものです。
インスタンスのアーキテクチャとオペレーティングシステムに適した署名ファイルを検索するには、次の表を参照してください。
*region* は、米国東部 (オハイオ) リージョンの `us-east-2` のように、AWS Systems Manager でサポートされている AWS リージョン の識別子を表します。サポートされている *region* 値の一覧については、「Amazon Web Services 全般のリファレンス」の「[Systems Manager サービスエンドポイント](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region)」にある **Region** 列を参照してください。
| アーキテクチャ | オペレーティングシステム | 署名ファイルの URL | エージェントダウンロードファイル名 |
| --- | --- | --- | --- |
| x86\$164 | AlmaLinux、Amazon Linux 2、Amazon Linux 2023、RHEL、Oracle Linux、Rocky Linux | `https://s3.region.amazonaws.com/amazon-ssm-region/latest/linux_amd64/amazon-ssm-agent.rpm.sig` `https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_amd64/amazon-ssm-agent.rpm.sig` | `amazon-ssm-agent.rpm` |
| x86\$164 | Debian Server, Ubuntu Server | `https://s3.region.amazonaws.com/amazon-ssm-region/latest/debian_amd64/amazon-ssm-agent.deb.sig` `https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/debian_amd64/amazon-ssm-agent.deb.sig` | amazon-ssm-agent.deb |
| ARM64 | Amazon Linux 2、Amazon Linux 2023、RHEL | `https://s3.region.amazonaws.com/amazon-ssm-region/latest/linux_arm64/amazon-ssm-agent.rpm.sig` `https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_arm64/amazon-ssm-agent.rpm.sig` | amazon-ssm-agent.rpm |
## Linux サーバーでの SSM Agent パッケージの検証 (v3.3.1802.0 以降)
**[開始する前に]**
このセクションの **GPG** と **RPM** の手順は、SSM Agent バージョン 3.3.1802.0 以降に適用されます。以下の手順を使用して SSM Agent の署名を検証する前に、オペレーティングシステム用の最新のエージェントパッケージがダウンロードされていることを確認してください。例えば、`https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_arm64/amazon-ssm-agent.rpm`。SSM Agent パッケージのダウンロードの詳細については、「[Linux 用 EC2 インスタンスに SSM Agent を手動でインストールおよびアンインストールする](manually-install-ssm-agent-linux.md)」を参照してください。
エージェントバージョン 3.3.1611.0 以前を引き続き使用する理由がある場合は、代わりに「[Linux サーバー (v3.3.1611.0 以前) での SSM Agent パッケージの検証](#verify-agent-signature-previous)」の手順に従います。
------
#### [ GPG ]
**Linux サーバー (v3.3.1802.0 以降) で SSM Agent パッケージを検証するには**
1. 次のパブリックキーの 1 つをコピーし、`amazon-ssm-agent.gpg` という名前のファイルに保存します。
**重要**
次のパブリックキーは 2026-07-15 (2026 年 7 月 15 日) に期限切れになります。Systems Manager は、古いパブリックキーの有効期限が切れる前に、このトピックで新しいパブリックキーを発行します。このトピックの RSS フィードにサブスクライブして、新しいキーが利用可能になったときに通知を受け取ることをお勧めします。
```
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v2.0.22 (GNU/Linux)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=aDkv
-----END PGP PUBLIC KEY BLOCK-----
```
1. パブリックキーをキーリングにインポートし、返されたキー値をメモします。
```
gpg --import amazon-ssm-agent.gpg
```
1. フィンガープリントを確認します。*key-value* は、前の手順の値に置き換えてください。RPM を使用してインストーラーパッケージを確認する場合でも、GPG を使用してフィンガープリントを確認することをお勧めします。
```
gpg --fingerprint key-value
```
このコマンドは、次のような出力を返します:
```
pub 4096R/D0052E5D 2025-01-22 [expires: 2026-07-15]
Key fingerprint = 4855 A9E6 8332 16D6 A77D 8FE4 51A8 E050 D005 2E5D
uid SSM Agent
```
フィンガープリントは、次のものと一致する必要があります。
`4855 A9E6 8332 16D6 A77D 8FE4 51A8 E050 D005 2E5D`
フィンガープリントが一致しない場合は、エージェントをインストールしないでください。 に連絡しますAWS サポート
1. インスタンスのアーキテクチャとオペレーティングシステムに従って署名ファイルをダウンロードします (まだ実行していない場合)。
1. インストーラパッケージの署名を確認します。*signature-filename* および *agent-download-filename* は、このトピックで前述したように、署名ファイルおよびエージェントをダウンロードするときに指定した値に置き換えてください。
```
gpg --verify signature-filename agent-download-filename
```
例えば、Amazon Linux 2 の x86\$164 アーキテクチャ:
```
gpg --verify amazon-ssm-agent.rpm.sig amazon-ssm-agent.rpm
```
このコマンドは、次のような出力を返します:
```
gpg: Signature made Sat 08 Feb 2025 12:05:08 AM UTC using RSA key ID D0052E5D
gpg: Good signature from "SSM Agent "
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 4855 A9E6 8332 16D6 A77D 8FE4 51A8 E050 D005 2E5D
```
出力結果に「`BAD signature`」という句が含まれる場合、手順が正しいことをもう一度確認してください。この応答が続く場合は、サポート に連絡し、エージェントをインストールしないでください。信頼に関する警告メッセージは、署名が無効であることを意味するものではなく、パブリックキーを検証していないことを示すだけです。キーは、自分や信頼する人が署名した場合にのみ信頼できます。出力にフレーズ `Can't check signature: No public key` が含まれている場合、SSM Agent バージョン 3.1.1141.0 以降をダウンロードしたことを確認します。
------
#### [ RPM ]
**Linux サーバー (v3.3.1802.0 以降) で SSM Agent パッケージを検証するには**
1. 次のパブリックキーをコピーし、`amazon-ssm-agent.gpg` という名前のファイルに保存します。
**重要**
次のパブリックキーは 2026-07-15 (2026 年 7 月 15 日) に期限切れになります。Systems Manager は、古いパブリックキーの有効期限が切れる前に、このトピックで新しいパブリックキーを発行します。このトピックの RSS フィードにサブスクライブして、新しいキーが利用可能になったときに通知を受け取ることをお勧めします。
```
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v2.0.22 (GNU/Linux)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=aDkv
-----END PGP PUBLIC KEY BLOCK-----
```
1. パブリックキーをキーリングにインポートし、返されたキー値をメモします。
```
rpm --import amazon-ssm-agent.gpg
```
1. フィンガープリントを確認します。RPM を使用してインストーラーパッケージを確認する場合でも、GPG を使用してフィンガープリントを確認することをお勧めします。
```
rpm -qa gpg-pubkey --qf '%{Description}' | gpg --with-fingerprint | grep -A 1 "ssm-agent-signer@amazon.com"
```
このコマンドは、次のような出力を返します:
```
pub 4096R/D0052E5D 2025-01-22 SSM Agent
Key fingerprint = 4855 A9E6 8332 16D6 A77D 8FE4 51A8 E050 D005 2E5D
```
フィンガープリントは、次のものと一致する必要があります。
`4855 A9E6 8332 16D6 A77D 8FE4 51A8 E050 D005 2E5D`
フィンガープリントが一致しない場合は、エージェントをインストールしないでください。 に連絡しますAWS サポート
1. インストーラパッケージの署名を確認します。*agent-download-filename* は、このトピックの表で前述したように、エージェントをダウンロードするときに指定した値に置き換えてください。
```
rpm --checksig agent-download-filename
```
例えば、Amazon Linux 2 の x86\$164 アーキテクチャ:
```
rpm --checksig amazon-ssm-agent.rpm
```
このコマンドは、次のような出力を返します。
```
amazon-ssm-agent.rpm: rsa sha1 md5 OK
```
`pgp` が出力に存在せず、パブリックキーをインポートした場合、エージェントは署名されません。出力にフレーズ `NOT OK (MISSING KEYS: (MD5) key-id)` が含まれている場合、手順が正しいことを再度確認し、SSM Agent バージョン 3.1.1141.0 以降をダウンロードしたことを確認します。この応答が続く場合は、サポート に連絡し、エージェントをインストールしないでください。
------
## Linux サーバー (v3.3.1611.0 以前) での SSM Agent パッケージの検証
**[開始する前に]**
このセクションの **GPG** および **RPM** の手順は、SSM Agent バージョン 3.3.1611.0 以前のバージョンに適用されます。常に、エージェントの最新バージョンを使用することをお勧めします。詳細については、「[Linux サーバーでの SSM Agent パッケージの検証 (v3.3.1802.0 以降)](#verify-agent-signature-current)」を参照してください。ただし、エージェントバージョン 3.3.1611.0 以前を引き続き使用する特別な理由がある場合は、次のいずれかの手順に従います。
------
#### [ GPG ]
**Linux サーバー (v3.3.1611.0 以前) で SSM Agent パッケージを検証するには**
1. 次のパブリックキーをコピーし、`amazon-ssm-agent.gpg` という名前のファイルに保存します。
**重要**
以下に示すパブリックキーは 2025-02-17 (2025 年 2 月 17 日) に有効期限が切れ、バージョン 3.3.1611.0 以前のバージョン 3.2.1542.0 までで動作します。これは、以前にエージェントの署名を検証するために使用されていた場合のみです。Systems Manager は、古いパブリックキーの有効期限が切れる前に、このトピックで新しいパブリックキーを発行します。このトピックの RSS フィードにサブスクライブして、新しいキーが利用可能になったときに通知を受け取ることをお勧めします。
```
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v2.0.22 (GNU/Linux)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=zr5w
-----END PGP PUBLIC KEY BLOCK-----
```
1. パブリックキーをキーリングにインポートし、返されたキー値をメモします。
```
gpg --import amazon-ssm-agent.gpg
```
1. フィンガープリントを確認します。*key-value* は、前の手順の値に置き換えてください。RPM を使用してインストーラーパッケージを確認する場合でも、GPG を使用してフィンガープリントを確認することをお勧めします。
```
gpg --fingerprint key-value
```
このコマンドは、次のような出力を返します。
```
pub 2048R/97DD04ED 2023-08-28 [expired: 2025-02-17]
Key fingerprint = DE92 C7DA 3E56 E923 31D6 2A36 BC1F 495C 97DD 04ED
uid SSM Agent
```
フィンガープリントは、次のものと一致する必要があります。
`DE92 C7DA 3E56 E923 31D6 2A36 BC1F 495C 97DD 04ED`
フィンガープリントが一致しない場合は、エージェントをインストールしないでください。 に連絡しますAWS サポート
1. インスタンスのアーキテクチャとオペレーティングシステムに従って署名ファイルをダウンロードします (まだ実行していない場合)。
1. インストーラパッケージの署名を確認します。*signature-filename* および *agent-download-filename* は、このトピックで前述したように、署名ファイルおよびエージェントをダウンロードするときに指定した値に置き換えてください。
```
gpg --verify signature-filename agent-download-filename
```
例えば、Amazon Linux 2 の x86\$164 アーキテクチャ:
```
gpg --verify amazon-ssm-agent.rpm.sig amazon-ssm-agent.rpm
```
このコマンドは、次のような出力を返します:
```
gpg: Signature made Fri 10 Jan 2025 01:54:18 AM UTC using RSA key ID 97DD04ED
gpg: Good signature from "SSM Agent "
gpg: Note: This key has expired!
Primary key fingerprint: DE92 C7DA 3E56 E923 31D6 2A36 BC1F 495C 97DD 04ED
```
出力結果に「`BAD signature`」という句が含まれる場合、手順が正しいことをもう一度確認してください。この応答が続く場合は、サポート に連絡し、エージェントをインストールしないでください。信頼に関する警告メッセージは、署名が無効であることを意味するものではなく、パブリックキーを検証していないことを示すだけです。キーは、自分や信頼する人が署名した場合にのみ信頼できます。出力にフレーズ `Can't check signature: No public key` が含まれている場合、SSM Agent バージョン 3.1.1141.0 以降をダウンロードしたことを確認します。
------
#### [ RPM ]
**Linux サーバー (v3.3.1611.0 以前) で SSM Agent パッケージを検証するには**
1. 次のパブリックキーをコピーし、`amazon-ssm-agent.gpg` という名前のファイルに保存します。
**重要**
以下に示すパブリックキーは 2025-02-17 (2025 年 2 月 17 日) に有効期限が切れ、バージョン 3.3.1611.0 以前のバージョン 3.2.1542.0 までで動作します。これは、以前にエージェントの署名を検証するために使用されていた場合のみです。Systems Manager は、古いパブリックキーの有効期限が切れる前に、このトピックで新しいパブリックキーを発行します。このトピックの RSS フィードにサブスクライブして、新しいキーが利用可能になったときに通知を受け取ることをお勧めします。
```
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v2.0.22 (GNU/Linux)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=zr5w
-----END PGP PUBLIC KEY BLOCK-----
```
1. パブリックキーをキーリングにインポートし、返されたキー値をメモします。
```
rpm --import amazon-ssm-agent.gpg
```
1. フィンガープリントを確認します。RPM を使用してインストーラーパッケージを確認する場合でも、GPG を使用してフィンガープリントを確認することをお勧めします。
```
rpm -qa gpg-pubkey --qf '%{Description}' | gpg --with-fingerprint | grep -A 1 "ssm-agent-signer@amazon.com"
```
このコマンドは、次のような出力を返します:
```
pub 2048R/97DD04ED 2023-08-28 SSM Agent
Key fingerprint = DE92 C7DA 3E56 E923 31D6 2A36 BC1F 495C 97DD 04ED
```
フィンガープリントは、次のものと一致する必要があります。
`DE92 C7DA 3E56 E923 31D6 2A36 BC1F 495C 97DD 04ED`
フィンガープリントが一致しない場合は、エージェントをインストールしないでください。 に連絡しますAWS サポート
1. インストーラパッケージの署名を確認します。*agent-download-filename* は、このトピックの表で前述したように、エージェントをダウンロードするときに指定した値に置き換えてください。
```
rpm --checksig agent-download-filename
```
例えば、Amazon Linux 2 の x86\$164 アーキテクチャ:
```
rpm --checksig amazon-ssm-agent.rpm
```
このコマンドは、次のような出力を返します。
```
amazon-ssm-agent.rpm: rsa sha1 md5 OK
```
`pgp` が出力に存在せず、パブリックキーをインポートした場合、エージェントは署名されません。出力にフレーズ `NOT OK (MISSING KEYS: (MD5) key-id)` が含まれている場合、手順が正しいことを再度確認し、SSM Agent バージョン 3.1.1141.0 以降をダウンロードしたことを確認します。この応答が続く場合は、サポート に連絡し、エージェントをインストールしないでください。
------