本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 截止日期云的安全最佳实践
<a name="security-best-practices"></a>

AWS Deadline Cloud（Deadline Cloud）提供了许多安全功能，供您在制定和实施自己的安全策略时考虑。以下最佳实践是一般指导原则，并不代表完整安全解决方案。这些最佳实践可能不适合环境或不满足环境要求，请将其视为有用的考虑因素而不是惯例。

**注意**  
有关许多安全主题的重要性的更多信息，请参阅[责任共担模型](https://aws.amazon.com/compliance/shared-responsibility-model/)。

## 数据保护
<a name="data_protection"></a>

出于数据保护目的，我们建议您保护 AWS 账户 凭证并使用 AWS Identity and Access Management (IAM) 设置个人账户。这样，每个用户只获得履行其工作职责所需的权限。还建议您通过以下方式保护数据：
+ 对每个账户使用多重身份验证（MFA）。
+ 用于 SSL/TLS 与 AWS 资源通信。我们要求使用 TLS 1.2，建议使用 TLS 1.3。
+ 使用设置 API 和用户活动日志 AWS CloudTrail。
+ 使用 AWS 加密解决方案以及其中的所有默认安全控件 AWS 服务。
+ 使用高级托管安全服务（例如 Amazon Macie），它有助于发现和保护存储在 Amazon Simple Storage Service (Amazon S3) 中的个人数据。
+ 如果在通过命令行界面或 API 访问 AWS 时需要经过 FIPS 140-2 验证的加密模块，请使用 FIPS 端点。有关可用的 FIPS 端点的更多信息，请参阅[美国联邦信息处理标准（FIPS）第 140-2 版](https://aws.amazon.com/compliance/fips/)。

我们强烈建议您切勿将敏感的可识别信息（例如您客户的账号）放入自由格式字段（例如**名称**字段）。此建议包括在您使用控制台、API 或 SD AWS K AWS 服务 使用 Deadline Cloud 或其他工具包时。 AWS AWS CLI您输入到Deadline Cloud或其他服务中的任何数据都可能会被提取以包含在诊断日志中。当您向外部服务器提供 URL 时，请勿在 URL 中包含凭证信息来验证您对该服务器的请求。

## AWS Identity and Access Management 权限
<a name="iam-permissions"></a>

使用用户、 AWS Identity and Access Management (IAM) 角色并通过向用户授予最低权限来管理对 AWS 资源的访问权限。制定用于创建、分发、轮换和撤消 AWS 访问凭证的凭证管理策略和程序。有关更多信息，请参阅《IAM 用户指南》**中的 [IAM 最佳实操](https://docs.aws.amazon.com/IAM/latest/UserGuide/IAMBestPractices.html)。

## 以用户和群组的身份运行作业
<a name="job-run-as-user"></a>

在 Deadline Cloud 中使用队列功能时，最佳做法是指定操作系统 (OS) 用户及其主组，以便操作系统用户对队列的作业拥有最低权限权限。

当您指定 “以用户身份运行”（和组）时，提交到队列的作业的所有进程都将使用该操作系统用户运行，并将继承该用户的关联操作系统权限。

队列和队列配置相结合，可以建立安全态势。在队列方面，可以指定 “Job 以用户身份运行” 和 IAM 角色来使用队列任务的操作系统和 AWS 权限。队列定义了基础架构（工作主机、网络、已安装的共享存储），当这些基础架构与特定队列关联时，将在队列中运行作业。工作服务器主机上的可用数据需要由一个或多个关联队列中的作业访问。指定用户或组有助于保护作业中的数据免受其他队列、其他已安装的软件或其他有权访问工作主机的用户的侵害。当队列没有用户时，它以代理用户身份运行，代理用户可以模仿 (`sudo`) 任何队列用户。这样，没有用户的队列可以将权限升级到另一个队列。

## Networking
<a name="networking"></a>

为防止流量被拦截或重定向，必须确保网络流量的路由方式和位置安全。

我们建议您通过以下方式保护您的网络环境：
+ 保护亚马逊虚拟私有云（Amazon VPC）子网路由表，以控制 IP 层流量的路由方式。
+ 如果您在服务器场或工作站设置中使用亚马逊 Route 53（Route 53）作为 DNS 提供商，请安全访问 Route 53 API。
+ 如果您使用本地工作站或其他数据中心 AWS 等外部连接到 Deadline Cloud，请保护任何本地网络基础设施。这包括路由器、交换机和其他网络设备上的 DNS 服务器和路由表。

## 工作和工作数据
<a name="secure-job-data"></a>

Deadline Cloud 作业在工作主机的会话中运行。每个会话在工作主机上运行一个或多个进程，这通常需要您输入数据才能生成输出。

为了保护这些数据，您可以为操作系统用户配置队列。工作器代理使用队列操作系统用户来运行会话子进程。这些子进程继承队列操作系统用户的权限。

我们建议您遵循最佳实践，以保护对这些子流程访问的数据的访问。有关更多信息，请参阅[责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/)。

## 农场结构
<a name="farm-structure"></a>

您可以通过多种方式安排 Deadline Cloud 舰队和队列。但是，某些安排会涉及安全问题。

服务器场具有最安全的边界之一，因为它无法与其他服务器场共享 Deadline Cloud 资源，包括队列、队列和存储配置文件。但是，您可以在服务器场内共享外部 AWS 资源，这会影响安全边界。

您还可以使用适当的配置在同一服务器场内的队列之间建立安全边界。

按照以下最佳实践在同一个服务器场中创建安全队列：
+ 仅将队列与相同安全边界内的队列关联。注意以下几点：
  + 在工作主机上运行作业后，数据可能会留在后面，例如在临时目录或队列用户的主目录中。
  + 无论您将任务提交到哪个队列，都由同一个操作系统用户在服务拥有的队列工作人员主机上运行所有作业。
  + 作业可能会使进程在工作主机上运行，从而使来自其他队列的作业可以观察其他正在运行的进程。
+ 确保只有处于相同安全边界内的队列才能共享用于存放任务附件的 Amazon S3 存储桶。
+ 确保只有相同安全边界内的队列共享操作系统用户。
+ 将集成到服务器场中的任何其他 AWS 资源保护到边界。

## Job 附件队列
<a name="job-attachment-queues"></a>

Job 附件与队列相关联，该队列使用您的 Amazon S3 存储桶。
+ Job 附件对 Amazon S3 存储桶中的根前缀进行写入和读取。您可以在 `CreateQueue` API 调用中指定此根前缀。
+ 存储桶有一个对应的`Queue Role`，它指定了向队列用户授予存储桶访问权限的角色和根前缀。创建队列时，您可以在任务附件存储桶和根前缀旁边指定 A `Queue Role` mazon 资源名称 (ARN)。
+ 对`AssumeQueueRoleForRead``AssumeQueueRoleForUser`、和 `AssumeQueueRoleForWorker` API 操作的授权调用会返回一组临时安全证书`Queue Role`。

如果您创建队列并重复使用 Amazon S3 存储桶和根前缀，则存在信息被泄露给未授权方的风险。例如，queueA 和 queueB 共享相同的存储桶和根前缀。在安全的工作流程中，ArtistA 可以访问 QueueA，但不能访问 queueB。但是，当多个队列共享一个存储桶时，ArtistA 可以访问 QueueB 数据中的数据，因为它使用的存储桶和根前缀与 queueA 相同。

控制台设置的队列在默认情况下是安全的。除非队列属于共同安全边界，否则请确保队列具有 Amazon S3 存储桶和根前缀的独特组合。

要隔离队列，必须将配置`Queue Role`为仅允许队列访问存储桶和根前缀。在以下示例中，将每个示例替换{{placeholder}}为您的资源特定信息。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::{{JOB_ATTACHMENTS_BUCKET_NAME}}",
                "arn:aws:s3:::{{JOB_ATTACHMENTS_BUCKET_NAME}}/{{JOB_ATTACHMENTS_ROOT_PREFIX}}/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "{{111122223333}}"
                }
            }
        },
        {
            "Action": [
                "logs:GetLogEvents"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:logs:{{us-east-1}}:{{111122223333}}:log-group:/aws/deadline/{{FARM_ID}}/*"
        }
    ]
}
```

------

您还必须为该角色设置信任策略。在以下示例中，用您的资源特定信息替换{{placeholder}}文本。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "sts:AssumeRole"
            ],
            "Effect": "Allow",
            "Principal": {
                "Service": "deadline.amazonaws.com"
            },
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "{{111122223333}}"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:deadline:{{us-east-1}}:{{111122223333}}:farm/{{FARM_ID}}"
                }
            }
        },
        {
            "Action": [
                "sts:AssumeRole"
            ],
            "Effect": "Allow",
            "Principal": {
                "Service": "credentials.deadline.amazonaws.com"
            },
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "{{111122223333}}"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:deadline:{{us-east-1}}:{{111122223333}}:farm/{{FARM_ID}}"
                }
            }
        }
    ]
}
```

------

## 定制软件 Amazon S3 存储桶
<a name="software-buckets"></a>

您可以在中添加以下语句`Queue Role`以访问您的 Amazon S3 存储桶中的自定义软件。在以下示例中，{{SOFTWARE\_BUCKET\_NAME}}替换为您的 S3 存储桶的名称和{{BUCKET\_ACCOUNT\_OWNER}}拥有该存储桶的 AWS 账户 ID。

```
"Statement": [ 
    {
        "Action": [
            "s3:GetObject",
            "s3:ListBucket"
        ],
        "Effect": "Allow",
        "Resource": [
            "arn:aws:s3:::{{SOFTWARE_BUCKET_NAME}}",
            "arn:aws:s3:::{{SOFTWARE_BUCKET_NAME}}/*"
        ],
        "Condition": {
         "StringEquals": {
            "aws:ResourceAccount": "BUCKET_ACCOUNT_OWNER"
         }
      }
    }
]
```

有关 Amazon S3 安全最佳实践的更多信息，请参阅《[亚马逊*简单存储服务用户指南》中的 Amazon* S3 安全最佳实践](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html)。

## 工作人员主机
<a name="worker-hosts"></a>

保护工作人员主机，以帮助确保每个用户只能为其分配的角色执行操作。

我们建议采用以下最佳做法来保护工作主机：
+ 使用*主机配置脚本*可以更改工作人员的安全性和操作。不正确的配置可能会导致工作器不稳定或停止工作。您有责任调试此类故障。
+ 除非提交给这些队列的任务在相同的安全边界内，否则不要对多个队列使用相同的`jobRunAsUser`值。
+ 不要将队列设置`jobRunAsUser`为工作代理运行的操作系统用户的姓名。
+ 向队列用户授予目标队列工作负载所需的最低权限操作系统权限。确保他们没有工作代理程序文件或其他共享软件的文件系统写入权限。
+ 确保只`Administrator`有 root 用户开启Linux且拥有者账户Windows拥有并可以修改工作代理程序文件。
+ 在Linux工作服务器主机上，可以考虑在中配置一个`umask`替代项`/etc/sudoers`，允许工作器代理用户以队列用户身份启动进程。此配置有助于确保其他用户无法访问写入队列的文件。
+ 向受信任的个人授予对工作人员主机的最低权限访问权限。
+ 将权限限制为本地 DNS 覆盖配置文件（`/etc/hosts`开启和开`C:\Windows\system32\etc\hosts`启Windows），以及工作站和工作主机操作系统上的路由表。Linux
+ 限制工作站和工作主机操作系统上的 DNS 配置权限。
+ 定期修补操作系统和所有已安装的软件。这种方法包括专门用于 Deadline Cloud 的软件，例如提交者、适配器、工作人员代理、OpenJD包等。
+ 为Windows队列使用强密码`jobRunAsUser`。
+ 定期轮换队列的密码`jobRunAsUser`。
+ 确保对Windows密码密钥的访问权限最低，并删除未使用的密码。
+ 不要向队列`jobRunAsUser`授予将来运行的计划命令的权限：
  + 开启Linux，拒绝这些账户访问`cron`和`at`。
  + 开启Windows，拒绝这些账户访问Windows任务计划程序。

**注意**  
有关定期修补操作系统和已安装软件的重要性的更多信息，请参阅[责任共担模型](https://aws.amazon.com/compliance/shared-responsibility-model/)。

## 主机配置脚本
<a name="worker-script"></a>
+ 使用主机配置脚本可以更改工作人员的安全性和操作。不正确的配置可能会导致工作器不稳定或停止工作。您有责任调试此类故障。

## 工作站
<a name="workstations"></a>

保护能够访问 Deadline Cloud 的工作站非常重要。这种方法有助于确保你提交给 Deadline Cloud 的任何任务都无法运行向你 AWS 账户计费的任意工作负载。

我们建议采用以下最佳做法来保护艺术家工作站的安全。有关更多信息，请参阅 [ 责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/)。
+ 保护所有提供访问权限的永久凭证，包括 Deadlin AWS e Cloud。有关更多信息，请参阅《 IAM 用户指南》**中的[管理 IAM 用户的访问密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#securing_access-keys)。
+ 仅安装可信、安全的软件。
+ 要求用户与身份提供商联合使用临时证书 AWS 进行访问。
+ 对 Deadline Cloud 提交者程序文件使用安全权限以防止篡改。
+ 向受信任的个人授予访问艺术家工作站的最低权限。
+ 仅使用您通过 Deadline Cloud Monitor 获得的提交者和适配器。
+ 将权限限制为本地 DNS 覆盖配置文件（`/etc/hosts`开启和开`C:\Windows\system32\etc\hosts`启Windows），以及工作站和工作主机操作系统上的路由表。Linux macOS
+ 将权限限制`/etc/resolve.conf`在工作站和工作主机操作系统上。
+ 定期修补操作系统和所有已安装的软件。这种方法包括专门用于 Deadline Cloud 的软件，例如提交者、适配器、工作人员代理、OpenJD包等。

## 验证已下载软件的真实性
<a name="verify-installer"></a>

下载安装程序后，请验证软件的真实性，以防文件被篡改。此过程适用于Windows和Linux系统。

------
#### [ Windows ]

要验证您下载的文件的真实性，请完成以下步骤。

1. 在以下命令中，`{{file}}`替换为要验证的文件。例如 ** {{C:\\PATH\\TO\\MY\\}}DeadlineCloudSubmitter-windows-x64-installer.exe **。另外，请`{{signtool-sdk-version}}`替换为已安装的 SignTool SDK 版本。例如 **10.0.22000.0**。

   `"C:\Program Files (x86)\Windows Kits\10\bin\{{signtool-sdk-version}}\x86\signtool.exe" verify /v{{file}}`

1. 例如，您可以通过运行以下命令来验证 Deadline Cloud 提交者安装程序文件：

   `"C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe" verify /v DeadlineCloudSubmitter-windows-x64-installer.exe`

------
#### [ Linux ]

要验证下载文件的真实性，请使用`gpg`命令行工具。

1. 通过运行以下命令导入`OpenPGP`密钥：

   ```
    gpg --import --armor <<EOF
   -----BEGIN PGP PUBLIC KEY BLOCK-----
   
   mQINBGlANDUBEACg6zffjN43gqe5ryPhk+wQM10rEdvmItw4WPWaVsN+/at/OIJw
   MGCagSYXcgR+jKbsHQOQoEQdo5SrxxHjpKTEs3KQhGvf+ehrU1Ac7koXKIBWtes+
   BI9F0slRECz0nXTOy/cd/90RXjpF07mreTLIKNIbybULfad82nYykpITjFr5XRGj
   /shYkucxRQZdwkgkIYyV25pPICPd2RsX+Zua85jV8mCqVffDfRXvgcPe3+ofClj/
   2CE8UfUIqO8Csua4YEkSqr3aeoTOEFT4kuQR5nFXVzorOEkQtO3gB35KNWKMlIOU
   2vA+wyoL7nWSii4yfYtW3EZ+3gq6HxvnT9Zs8MC53uTOiOdamASXecYREwGmY/io
   6n5XTEA/35LNbl4A756vSTZ7h4VFJAN5BpuqxstI1D7ou94skoSmcPoC/iniTvY9
   kZylU5OCH/nifMAHM2a5jrQel80cW4oko9eyc8ENQpSy15JElFOKFf7D/4tcZJLF
   F0VBTXbhfvq3dPfoq94IWt7p54Ovwj0S//CEu3jZYbNl2QC/3YiHE2H2XyGCQbq6
   2MjcuxLnEapoRIqfbi8GPtCWVPzm28WGyKIDofWICczzeJFFJnvzrY3wRG64ibKJ
   bR/uedwua1UuiC482V1FD5ffmzSSs8ktTp9hgj7RGDXlc9NTcF1jHxG9hwARAQAB
   tCxBV1MgRGVhZGxpbmUgQ2xvdWQgPGF3cy1kZWFkbGluZUBhbWF6b24uY29tPokC
   VwQTAQgAQRYhBJmXd7So2csyehiIYsg71N18bhtjBQJpQDQ1AhsvBQkDwmcABQsJ
   CAcCAiICBhUKCQgLAgQWAgMBAh4HAheAAAoJEMg71N18bhtjk2UP/3h4KlEzZO/7
   BxRmkbixuo1QuqOGvA6tXbSWaM8QH5jglcvL12PZLALklLT4v82uCsLR1lF8/Tch
   cCl0SZEOFIS+XxAaw1Xfai6jlyLhabOwKF2ylq5eJlLcw1lh2nAArDRb4fLD0m1g
   Dfqetq/XEpyXpOSkWxGRV4RlUdjQfytxrmcUnsT5/fk5f9VDdblu6K/lEmwfyYjB
   lXv0uUCkqPot0SmbvOh3PY3Hi3n54ncy8NfTeV+TUvSe3C1s1zNl8aqHoTxJB/eU
   kp+LFZ9m+igpSYnKeglKnytylH3KGCjTHglT/QXnI1wNTqmj1kFBVwtt/y1mtnA+
   CPIUHP1CtbKsHaLtpp4llBm5TVtPN/Wqqicn5QLl4khg7R4K+V2aaA4ubY6p1tG9
   0fFhN5tTnHDSKWMfmb83wfh5Zkcg85c3egjoit+wgGQRAQVqbznx7NqAHs9VoDIu
   SPcAr+C329AOBzod4gyNGH7Ah5DkMITo4O4+axnAU9yhFOHcMJmTIask/fNg1Aum
   OqYPMUwcgv1GZjLaTJyfGGC1xALsYR0KHnwIehD06MHR/Z98bGkcV8+Y0q8UPsd1
   VN1fc1rjCJh/AT3w6owvG4DaEwspseSjzHv16mW4e2N6Uu23SPzgQsJ5qYN2g8D+
   P7N9LGDfP8DaYc5JM9mlyFmYI2Q94ufL
   =rY5l
   -----END PGP PUBLIC KEY BLOCK-----
   EOF
   ```

1. 确定是否信任`OpenPGP`密钥。在决定是否信任上述密钥时需要考虑的一些因素包括：
   + 您用于从本网站获取 GPG 密钥的互联网连接是安全的。
   + 您访问本网站时使用的设备是安全的。
   + AWS 已采取措施保护本网站上`OpenPGP`公钥的托管。

1. 如果您决定信任该OpenPGP密钥，请使用`gpg`类似于以下示例的方法编辑该密钥以使其可信：

   ```
   $ gpg --edit-key 0xB840C08C29A90796A071FAA5F6CD3CE6B76F3CEF
   
       gpg (GnuPG) 2.0.22; Copyright (C) 2013 Free Software Foundation, Inc.
       This is free software: you are free to change and redistribute it.
       There is NO WARRANTY, to the extent permitted by law.
   
   
       pub  4096R/4BF0B8D2  created: 2023-06-23  expires: 2025-06-22  usage: SCEA
                            trust: unknown       validity: unknown
       [ unknown] (1). AWS Deadline Cloud example@example.com
   
       gpg> trust
       pub  4096R/4BF0B8D2  created: 2023-06-23  expires: 2025-06-22  usage: SCEA
                            trust: unknown       validity: unknown
       [ unknown] (1). AWS Deadline Cloud aws-deadline@amazon.com
   
       Please decide how far you trust this user to correctly verify other users' keys
       (by looking at passports, checking fingerprints from different sources, etc.)
   
         1 = I don't know or won't say
         2 = I do NOT trust
         3 = I trust marginally
         4 = I trust fully
         5 = I trust ultimately
         m = back to the main menu
   
       Your decision? 5
       Do you really want to set this key to ultimate trust? (y/N) y
   
       pub  4096R/4BF0B8D2  created: 2023-06-23  expires: 2025-06-22  usage: SCEA
                            trust: ultimate      validity: unknown
       [ unknown] (1). AWS Deadline Cloud aws-deadline@amazon.com
       Please note that the shown key validity is not necessarily correct
       unless you restart the program.
   
       gpg> quit
   ```

1. 

**验证 Deadline Cloud 提交者安装程序**

   要验证 Deadline Cloud 提交者安装程序，请完成以下步骤：

   1. 下载 Deadline Cloud 提交者安装程序的签名文件。

      [下载签名文件 (.sig)](https://downloads.deadlinecloud.amazonaws.com/submitters/latest/linux/DeadlineCloudSubmitter-linux-x64-installer.run.sig)

   1. 运行以下命令验证 Deadline Cloud 提交者安装程序的签名：

      ```
      gpg --verify ./DeadlineCloudSubmitter-linux-x64-installer.run.sig ./DeadlineCloudSubmitter-linux-x64-installer.run
      ```

1. 

**验证截止日期云监视器**
**注意**  
您可以使用签名文件或特定于平台的方法来验证 Deadline Cloud 监控器的下载。有关平台特定的方法，请参阅Linux (Debian)选项卡、Linux (RPM) 选项Linux (AppImage)卡或基于您下载的文件类型的选项卡。

   要使用签名文件验证 Deadline Cloud 监控桌面应用程序，请完成以下步骤：

   1. 为你的 Deadline Cloud 监视器安装程序下载相应的签名文件：
      + [下载.deb 签名文件](https://downloads.deadlinecloud.amazonaws.com/dcm/latest/deadline-cloud-monitor_amd64.deb.sig)
      + [下载.rpm 签名文件](https://downloads.deadlinecloud.amazonaws.com/dcm/latest/deadline-cloud-monitor.x86_64.rpm.sig)
      + [下载。 AppImage 签名文件](https://downloads.deadlinecloud.amazonaws.com/dcm/latest/deadline-cloud-monitor_amd64.AppImage.sig)

   1. 验证签名：

      **对于.deb：**

      ```
      gpg --verify ./deadline-cloud-monitor_amd64.deb.sig ./deadline-cloud-monitor_amd64.deb
      ```

      **对于.rpm：**

      ```
      gpg --verify ./deadline-cloud-monitor.x86_64.rpm.sig ./deadline-cloud-monitor.x86_64.rpm
      ```

      **对于。 AppImage**:

      ```
      gpg --verify ./deadline-cloud-monitor_amd64.AppImage.sig ./deadline-cloud-monitor_amd64.AppImage
      ```

   1. 确认输出类似于以下内容：

      `gpg: Signature made Mon Apr 1 21:10:14 2024 UTC`

      `gpg: using RSA key B840C08C29A90796A071FAA5F6CD3CE6B7`

      如果输出包含短语`Good signature from "AWS Deadline Cloud"`，则表示签名已成功通过验证，您可以运行 Deadline Cloud 监视器安装脚本。

**历史钥匙**

```
-----BEGIN PGP PUBLIC KEY BLOCK-----
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=uVaX
-----END PGP PUBLIC KEY BLOCK-----
EOF
```

------
#### [ Linux (AppImage) ]

验证使用Linux. 的软件包 AppImage 二进制，首先完成Linux选项卡中的步骤 1-3，然后完成以下步骤。

1. 从中的 AppImageUpdate [ GitHub页面](https://github.com/AppImageCommunity/AppImageUpdate/releases/tag/continuous)下载 **validate-x86\_64。 AppImage**文件。

1. 下载文件后，要添加执行权限，请运行以下命令。

   ```
   chmod a+x ./validate-x86_64.AppImage
   ```

1. 要添加执行权限，请运行以下命令。

   ```
   chmod a+x ./deadline-cloud-monitor_{{<APP_VERSION>}}_amd64.AppImage
   ```

1. 要验证 Deadline Cloud 监视器签名，请运行以下命令。

   ```
   ./validate-x86_64.AppImage ./deadline-cloud-monitor_{{<APP_VERSION>}}_amd64.AppImage
   ```

   如果输出包含短语`Validation successful`，则表示签名已成功通过验证，您可以安全地运行 Deadline Cloud 监视器安装脚本。

------
#### [ Linux (Debian) ]

要验证使用 Linux .deb 二进制文件的软件包，请先完成选项卡中的Linux步骤 1-3。

**dpkg** 是大多数debian基础Linux发行版中的核心软件包管理工具。您可以使用该工具验证.deb 文件。

1. 下载 Deadline Cloud monitor.deb 文件：

   [下载截止日期云监视器 (.deb)](https://downloads.deadlinecloud.amazonaws.com/dcm/latest/deadline-cloud-monitor_amd64.deb)

1. 验证.deb 文件：

   ```
   dpkg-sig --verify deadline-cloud-monitor_amd64.deb
   ```

1. 输出将类似于：

   ```
   Processing deadline-cloud-monitor_amd64.deb...
   GOODSIG _gpgbuilder B840C08C29A90796A071FAA5F6CD3C 171200
   ```

1. 要验证.deb 文件，请确认输出中`GOODSIG`是否存在。

------
#### [ Linux (RPM) ]

要验证使用 Linux .rpm 二进制文件的软件包，请先完成Linux选项卡中的步骤 1-3。

1. 下载 Deadline Cloud monitor.rpm

   [下载截止日期云监视器 (.rpm)](https://downloads.deadlinecloud.amazonaws.com/dcm/latest/deadline-cloud-monitor.x86_64.rpm)

1. 验证.rpm 文件：

   ```
   gpg --export --armor "Deadline Cloud" > key.pub
   sudo rpm --import key.pub
   rpm -K deadline-cloud-monitor.x86_64.rpm
   ```

1. 输出将类似于：

   ```
   deadline-cloud-monitor.x86_64.rpm: digests signatures OK
   ```

1. 要验证.rpm 文件，请确认输出中`digests signatures OK`是否有该文件。

------