本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 截止日期雲端的安全最佳實務
<a name="security-best-practices"></a>

AWS Deadline Cloud (Deadline Cloud) 提供許多安全功能，供您在開發和實作自己的安全政策時考慮。以下最佳實務為一般準則，並不代表完整的安全解決方案。這些最佳實務可能不適用或無法滿足您的環境需求，因此請將其視為實用建議就好，而不要當作是指示。

**注意**  
如需許多安全主題重要性的詳細資訊，請參閱[共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)。

## 資料保護
<a name="data_protection"></a>

基於資料保護目的，我們建議您保護 AWS 帳戶 登入資料，並使用 AWS Identity and Access Management (IAM) 設定個別帳戶。如此一來，每個使用者都只會獲得授與完成其任務所必須的許可。我們也建議您採用下列方式保護資料：
+ 每個帳戶均要使用多重要素驗證 (MFA)。
+ 使用 SSL/TLS 與 AWS 資源通訊。我們需要 TLS 1.2 並建議使用 TLS 1.3。
+ 使用 設定 API 和使用者活動記錄 AWS CloudTrail。
+ 使用 AWS 加密解決方案，以及 中的所有預設安全控制 AWS 服務。
+ 使用進階受管安全服務，例如 Amazon Macie，可協助探索和保護存放在 Amazon Simple Storage Service (Amazon S3) 中的個人資料。
+ 如果您在透過命令列介面或 API 存取 AWS 時，需要 FIPS 140-2 驗證的加密模組，請使用 FIPS 端點。如需 FIPS 和 FIPS 端點的詳細資訊，請參閱[聯邦資訊處理標準 (FIPS) 140-2 概觀](https://aws.amazon.com/compliance/fips/)。

我們強烈建議您絕對不要將客戶帳戶號碼等敏感的識別資訊，放在自由格式的欄位中，例如**名稱**欄位。此建議包括當您使用 AWS Deadline Cloud 或使用主控台、API AWS CLI或其他 AWS 服務 時 AWS SDKs 。您在截止日期雲端或其他服務中輸入的任何資料都可能被挑選納入診斷日誌中。當您提供外部伺服器的 URL 時，請勿在驗證您對該伺服器請求的 URL 中包含登入資料資訊。

## AWS Identity and Access Management 許可
<a name="iam-permissions"></a>

使用使用者、 AWS Identity and Access Management (IAM) 角色，以及將最低權限授予使用者，來管理對 AWS 資源的存取。建立憑證管理政策和程序，以建立、分發、輪換和撤銷 AWS 存取憑證。如需詳細資訊，請參《[IAM 使用者指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/IAMBestPractices.html)》中的 *IAM 最佳實務*。

## 以使用者和群組身分執行任務
<a name="job-run-as-user"></a>

在截止日期雲端中使用佇列功能時，最佳實務是指定作業系統 (OS) 使用者及其主要群組，以便作業系統使用者具有佇列任務的最低權限許可。

當您指定「以使用者身分執行」（和群組） 時，提交至佇列之任務的任何程序都會使用該作業系統使用者執行，並繼承該使用者的相關聯作業系統許可。

機群和佇列組態結合以建立安全狀態。在佇列端，「以使用者身分執行任務」和 IAM 角色可指定為使用佇列任務的作業系統和 AWS 許可。機群定義基礎設施 （工作者主機、網路、掛載的共用儲存體），當與特定佇列相關聯時，會在佇列中執行任務。工作者主機上可用的資料需要由一或多個相關聯佇列中的任務存取。指定使用者或群組有助於保護任務中的資料免受其他佇列、其他已安裝的軟體或其他可存取工作者主機的使用者影響。當佇列沒有使用者時，它會以代理程式使用者身分執行，其可以模擬 (`sudo`) 任何佇列使用者。如此一來，沒有使用者的佇列就可以將權限提升到另一個佇列。

## 聯網
<a name="networking"></a>

為了防止流量遭到攔截或重新導向，請務必保護網路流量的路由方式和位置。

建議您以下列方式保護您的聯網環境：
+ 保護 Amazon Virtual Private Cloud (Amazon VPC) 子網路路由表，以控制 IP 層流量的路由方式。
+ 如果您在陣列或工作站設定中使用 Amazon Route 53 (Route 53) 做為 DNS 供應商，請安全地存取 Route 53 API。
+ 如果您 AWS 使用內部部署工作站或其他資料中心連線到 以外的 Deadline Cloud，請保護任何內部部署聯網基礎設施。這包括路由器、交換器和其他聯網裝置上的 DNS 伺服器和路由表。

## 任務和任務資料
<a name="secure-job-data"></a>

截止日期 雲端任務會在工作者主機的工作階段中執行。每個工作階段都會在工作者主機上執行一或多個程序，這通常會要求您輸入資料才能產生輸出。

若要保護此資料，您可以使用佇列設定作業系統使用者。工作者代理程式會使用佇列作業系統使用者來執行工作階段子程序。這些子程序會繼承佇列作業系統使用者的許可。

我們建議您遵循最佳實務，以安全存取這些子程序存取的資料。如需詳細資訊，請參閱[共同責任模式](https://aws.amazon.com/compliance/shared-responsibility-model/)。

## 陣列結構
<a name="farm-structure"></a>

您可以透過多種方式安排截止日期雲端機群和佇列。不過，某些安排會有安全性影響。

一個陣列具有最安全的界限之一，因為它無法與其他陣列共用截止日期雲端資源，包括機群、佇列和儲存設定檔。不過，您可以在陣列內共用外部 AWS 資源，這會危及安全界限。

您也可以使用適當的組態，在相同陣列內的佇列之間建立安全界限。

請遵循下列最佳實務，在相同的陣列中建立安全佇列：
+ 僅將機群與相同安全界限內的佇列建立關聯。注意下列事項：
  + 在工作者主機上執行任務後，資料可能會保留在後方，例如暫存目錄或佇列使用者的主目錄中。
  + 無論您提交任務的佇列為何，相同的作業系統使用者都會在服務擁有的機群工作者主機上執行所有任務。
  + 任務可能會讓程序在工作者主機上執行，讓來自其他佇列的任務能夠觀察其他執行中的程序。
+ 確保只有相同安全界限內的佇列才能共用任務附件的 Amazon S3 儲存貯體。
+ 確保只有相同安全界限內的佇列才能共用作業系統使用者。
+ 保護與陣列整合的任何其他 AWS 資源到邊界。

## 任務連接佇列
<a name="job-attachment-queues"></a>

任務附件與使用 Amazon S3 儲存貯體的佇列相關聯。
+ 寫入 Amazon S3 儲存貯體中根字首並從中讀取的任務附件。您可以在 `CreateQueue` API 呼叫中指定此根字首。
+ 儲存貯體具有對應的 `Queue Role`，指定授予佇列使用者存取儲存貯體和根字首的角色。建立佇列時，您可以指定 `Queue Role` Amazon Resource Name (ARN) 以及任務附件儲存貯體和根字首。
+ 對 `AssumeQueueRoleForRead`、 `AssumeQueueRoleForUser`和 `AssumeQueueRoleForWorker` API 操作的授權呼叫會傳回一組 的臨時安全登入資料`Queue Role`。

如果您建立佇列並重複使用 Amazon S3 儲存貯體和根字首，則會有向未經授權方公開資訊的風險。例如，QueueA 和 QueueB 共用相同的儲存貯體和根字首。在安全工作流程中，ArtistA 可以存取 QueueA，但無法存取 QueueB。不過，當多個佇列共用儲存貯體時，ArtistA 可以存取 QueueB 資料中的資料，因為它使用與 QueueA 相同的儲存貯體和根字首。

主控台預設會設定安全的佇列。確保佇列具有 Amazon S3 儲存貯體和根字首的不同組合，除非它們是常見安全界限的一部分。

若要隔離佇列，您必須`Queue Role`將 設定為僅允許佇列存取儲存貯體和根字首。在下列範例中，將每個{{預留位置}}取代為您的資源特定資訊。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::{{JOB_ATTACHMENTS_BUCKET_NAME}}",
                "arn:aws:s3:::{{JOB_ATTACHMENTS_BUCKET_NAME}}/{{JOB_ATTACHMENTS_ROOT_PREFIX}}/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "{{111122223333}}"
                }
            }
        },
        {
            "Action": [
                "logs:GetLogEvents"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:logs:{{us-east-1}}:{{111122223333}}:log-group:/aws/deadline/{{FARM_ID}}/*"
        }
    ]
}
```

------

您也必須在角色上設定信任政策。在下列範例中，將{{預留位置}}文字取代為您的資源特定資訊。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "sts:AssumeRole"
            ],
            "Effect": "Allow",
            "Principal": {
                "Service": "deadline.amazonaws.com"
            },
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "{{111122223333}}"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:deadline:{{us-east-1}}:{{111122223333}}:farm/{{FARM_ID}}"
                }
            }
        },
        {
            "Action": [
                "sts:AssumeRole"
            ],
            "Effect": "Allow",
            "Principal": {
                "Service": "credentials.deadline.amazonaws.com"
            },
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "{{111122223333}}"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:deadline:{{us-east-1}}:{{111122223333}}:farm/{{FARM_ID}}"
                }
            }
        }
    ]
}
```

------

## 自訂軟體 Amazon S3 儲存貯體
<a name="software-buckets"></a>

您可以將下列陳述式新增至 ，`Queue Role`以存取 Amazon S3 儲存貯體中的自訂軟體。在下列範例中，將 {{Software\_BUCKET\_NAME}} 取代為 S3 儲存貯體的名稱，並將 {{BUCKET\_ACCOUNT\_OWNER}} 取代為擁有儲存貯體的 AWS 帳戶 ID。

```
"Statement": [ 
    {
        "Action": [
            "s3:GetObject",
            "s3:ListBucket"
        ],
        "Effect": "Allow",
        "Resource": [
            "arn:aws:s3:::{{SOFTWARE_BUCKET_NAME}}",
            "arn:aws:s3:::{{SOFTWARE_BUCKET_NAME}}/*"
        ],
        "Condition": {
         "StringEquals": {
            "aws:ResourceAccount": "BUCKET_ACCOUNT_OWNER"
         }
      }
    }
]
```

如需 Amazon S3 安全最佳實務的詳細資訊，請參閱《Amazon *Simple Storage Service 使用者指南》中的 Amazon* [ Amazon S3 安全最佳實務](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html)。

## 工作者主機
<a name="worker-hosts"></a>

保護工作者主機，以協助確保每個使用者只能對其指派的角色執行操作。

建議使用下列最佳實務來保護工作者主機：
+ 使用*主機組態指令碼*可以變更工作者的安全性和操作。不正確的組態可能會導致工作者不穩定或停止運作。您需負責偵錯此類故障。
+ 除非提交到這些佇列的任務位於相同的安全界限內，否則請勿對多個佇列使用相同的`jobRunAsUser`值。
+ 請勿將佇列設定為工作者代理程式執行時所使用的`jobRunAsUser`作業系統使用者名稱。
+ 授予佇列使用者預期佇列工作負載所需的最低權限作業系統許可。確保他們沒有工作代理程式檔案或其他共用軟體的檔案系統寫入許可。
+ 確保只有 上的根使用者Linux和 `Administrator`擁有Windows自己的帳戶，並且可以修改工作者代理程式檔案。
+ 在Linux工作者主機上，請考慮在 中設定`umask`覆寫`/etc/sudoers`，以允許工作者代理程式使用者以佇列使用者身分啟動程序。此組態有助於確保其他使用者無法存取寫入佇列的檔案。
+ 授予受信任的個人對工作者主機的最低權限存取權。
+ 將許可限制為本機 DNS 覆寫組態檔案 (`/etc/hosts` 上的 Linux和 `C:\Windows\system32\etc\hosts`上的 Windows)，以及在工作站和工作者主機作業系統上路由資料表。
+ 限制對工作站和工作者主機作業系統上 DNS 組態的許可。
+ 定期修補作業系統和所有已安裝的軟體。此方法包括專門與截止日期雲端搭配使用的軟體，例如提交者、轉接器、工作者代理程式、OpenJD套件等。
+ 針對Windows佇列 使用強式密碼`jobRunAsUser`。
+ 定期輪換佇列 的密碼`jobRunAsUser`。
+ 確保最低權限存取Windows密碼秘密，並刪除未使用的秘密。
+ 請勿將排程命令提供給佇列`jobRunAsUser`許可，以在未來執行：
  + 在 上Linux，拒絕這些帳戶存取 `cron`和 `at`。
  + 在 上Windows，拒絕這些帳戶存取Windows任務排程器。

**注意**  
如需定期修補作業系統和已安裝軟體之重要性的詳細資訊，請參閱[共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)。

## 主機組態指令碼
<a name="worker-script"></a>
+ 使用主機組態指令碼可以變更工作者的安全性和操作。不正確的組態可能會導致工作者不穩定或停止運作。您需負責偵錯此類故障。

## 工作站
<a name="workstations"></a>

請務必保護可存取截止日期雲端的工作站。此方法有助於確保您提交至 Deadline Cloud 的任何任務都無法執行向您的 計費的任意工作負載 AWS 帳戶。

我們建議採用下列最佳實務來保護藝術家工作站。如需詳細資訊，請參閱 [ 共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)。
+ 保護任何提供存取權的持久憑證 AWS，包括截止日期雲端。如需詳細資訊，請參閱《 IAM 使用者指南》**中的[管理 IAM 使用者的存取金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#securing_access-keys)。
+ 僅安裝受信任且安全的軟體。
+ 要求使用者與身分提供者聯合使用 AWS 臨時憑證存取 。
+ 在截止日期雲端提交者程式檔案上使用安全許可，以防止竄改。
+ 授予受信任的個人對藝術家工作站的最低權限存取權。
+ 僅使用您透過截止日期雲端監視器取得的提交者和轉接器。
+ 將許可限制為本機 DNS 覆寫組態檔案 (`/etc/hosts` Linux和 上的 macOS，以及 `C:\Windows\system32\etc\hosts`上的 Windows)，以及在工作站和工作者主機作業系統上路由資料表。
+ 限制 對工作站和工作者主機作業系統`/etc/resolve.conf`的許可。
+ 定期修補作業系統和所有已安裝的軟體。此方法包括專門與截止日期雲端搭配使用的軟體，例如提交者、轉接器、工作者代理程式、OpenJD套件等。

## 驗證下載軟體的真實性
<a name="verify-installer"></a>

在下載安裝程式後驗證軟體的真偽，以防止檔案遭到竄改。此程序適用於 Windows和 Linux系統。

------
#### [ Windows ]

若要驗證下載檔案的真實性，請完成下列步驟。

1. 在下列命令中，將 `{{file}}`取代為您要驗證的檔案。例如 ** {{C:\\PATH\\TO\\MY\\}}DeadlineCloudSubmitter-windows-x64-installer.exe **。此外，請將 取代`{{signtool-sdk-version}}`為已安裝的 SignTool SDK 版本。例如 **10.0.22000.0**。

   `"C:\Program Files (x86)\Windows Kits\10\bin\{{signtool-sdk-version}}\x86\signtool.exe" verify /v{{file}}`

1. 例如，您可以執行下列命令來驗證截止日期雲端提交者安裝程式檔案：

   `"C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x86\signtool.exe" verify /v DeadlineCloudSubmitter-windows-x64-installer.exe`

------
#### [ Linux ]

若要驗證下載檔案的真實性，請使用`gpg`命令列工具。

1. 執行下列命令來匯入`OpenPGP`金鑰：

   ```
    gpg --import --armor <<EOF
   -----BEGIN PGP PUBLIC KEY BLOCK-----
   
   mQINBGlANDUBEACg6zffjN43gqe5ryPhk+wQM10rEdvmItw4WPWaVsN+/at/OIJw
   MGCagSYXcgR+jKbsHQOQoEQdo5SrxxHjpKTEs3KQhGvf+ehrU1Ac7koXKIBWtes+
   BI9F0slRECz0nXTOy/cd/90RXjpF07mreTLIKNIbybULfad82nYykpITjFr5XRGj
   /shYkucxRQZdwkgkIYyV25pPICPd2RsX+Zua85jV8mCqVffDfRXvgcPe3+ofClj/
   2CE8UfUIqO8Csua4YEkSqr3aeoTOEFT4kuQR5nFXVzorOEkQtO3gB35KNWKMlIOU
   2vA+wyoL7nWSii4yfYtW3EZ+3gq6HxvnT9Zs8MC53uTOiOdamASXecYREwGmY/io
   6n5XTEA/35LNbl4A756vSTZ7h4VFJAN5BpuqxstI1D7ou94skoSmcPoC/iniTvY9
   kZylU5OCH/nifMAHM2a5jrQel80cW4oko9eyc8ENQpSy15JElFOKFf7D/4tcZJLF
   F0VBTXbhfvq3dPfoq94IWt7p54Ovwj0S//CEu3jZYbNl2QC/3YiHE2H2XyGCQbq6
   2MjcuxLnEapoRIqfbi8GPtCWVPzm28WGyKIDofWICczzeJFFJnvzrY3wRG64ibKJ
   bR/uedwua1UuiC482V1FD5ffmzSSs8ktTp9hgj7RGDXlc9NTcF1jHxG9hwARAQAB
   tCxBV1MgRGVhZGxpbmUgQ2xvdWQgPGF3cy1kZWFkbGluZUBhbWF6b24uY29tPokC
   VwQTAQgAQRYhBJmXd7So2csyehiIYsg71N18bhtjBQJpQDQ1AhsvBQkDwmcABQsJ
   CAcCAiICBhUKCQgLAgQWAgMBAh4HAheAAAoJEMg71N18bhtjk2UP/3h4KlEzZO/7
   BxRmkbixuo1QuqOGvA6tXbSWaM8QH5jglcvL12PZLALklLT4v82uCsLR1lF8/Tch
   cCl0SZEOFIS+XxAaw1Xfai6jlyLhabOwKF2ylq5eJlLcw1lh2nAArDRb4fLD0m1g
   Dfqetq/XEpyXpOSkWxGRV4RlUdjQfytxrmcUnsT5/fk5f9VDdblu6K/lEmwfyYjB
   lXv0uUCkqPot0SmbvOh3PY3Hi3n54ncy8NfTeV+TUvSe3C1s1zNl8aqHoTxJB/eU
   kp+LFZ9m+igpSYnKeglKnytylH3KGCjTHglT/QXnI1wNTqmj1kFBVwtt/y1mtnA+
   CPIUHP1CtbKsHaLtpp4llBm5TVtPN/Wqqicn5QLl4khg7R4K+V2aaA4ubY6p1tG9
   0fFhN5tTnHDSKWMfmb83wfh5Zkcg85c3egjoit+wgGQRAQVqbznx7NqAHs9VoDIu
   SPcAr+C329AOBzod4gyNGH7Ah5DkMITo4O4+axnAU9yhFOHcMJmTIask/fNg1Aum
   OqYPMUwcgv1GZjLaTJyfGGC1xALsYR0KHnwIehD06MHR/Z98bGkcV8+Y0q8UPsd1
   VN1fc1rjCJh/AT3w6owvG4DaEwspseSjzHv16mW4e2N6Uu23SPzgQsJ5qYN2g8D+
   P7N9LGDfP8DaYc5JM9mlyFmYI2Q94ufL
   =rY5l
   -----END PGP PUBLIC KEY BLOCK-----
   EOF
   ```

1. 決定是否信任`OpenPGP`金鑰。決定是否信任上述金鑰時需要考慮的一些因素包括：
   + 您用來從此網站取得 GPG 金鑰的網際網路連線是安全的。
   + 您在 上存取此網站的裝置是安全的。
   + AWS 已採取措施來保護此網站上的`OpenPGP`公有金鑰託管。

1. 如果您決定信任OpenPGP金鑰，請編輯金鑰以信任 ，`gpg`類似下列範例：

   ```
   $ gpg --edit-key 0xB840C08C29A90796A071FAA5F6CD3CE6B76F3CEF
   
       gpg (GnuPG) 2.0.22; Copyright (C) 2013 Free Software Foundation, Inc.
       This is free software: you are free to change and redistribute it.
       There is NO WARRANTY, to the extent permitted by law.
   
   
       pub  4096R/4BF0B8D2  created: 2023-06-23  expires: 2025-06-22  usage: SCEA
                            trust: unknown       validity: unknown
       [ unknown] (1). AWS Deadline Cloud example@example.com
   
       gpg> trust
       pub  4096R/4BF0B8D2  created: 2023-06-23  expires: 2025-06-22  usage: SCEA
                            trust: unknown       validity: unknown
       [ unknown] (1). AWS Deadline Cloud aws-deadline@amazon.com
   
       Please decide how far you trust this user to correctly verify other users' keys
       (by looking at passports, checking fingerprints from different sources, etc.)
   
         1 = I don't know or won't say
         2 = I do NOT trust
         3 = I trust marginally
         4 = I trust fully
         5 = I trust ultimately
         m = back to the main menu
   
       Your decision? 5
       Do you really want to set this key to ultimate trust? (y/N) y
   
       pub  4096R/4BF0B8D2  created: 2023-06-23  expires: 2025-06-22  usage: SCEA
                            trust: ultimate      validity: unknown
       [ unknown] (1). AWS Deadline Cloud aws-deadline@amazon.com
       Please note that the shown key validity is not necessarily correct
       unless you restart the program.
   
       gpg> quit
   ```

1. 

**驗證截止日期雲端提交者安裝程式**

   若要驗證截止日期雲端提交者安裝程式，請完成下列步驟：

   1. 下載截止日期雲端提交者安裝程式的簽章檔案。

      [下載簽章檔案 (.sig)](https://downloads.deadlinecloud.amazonaws.com/submitters/latest/linux/DeadlineCloudSubmitter-linux-x64-installer.run.sig)

   1. 執行下列動作來驗證截止日期雲端提交者安裝程式的簽章：

      ```
      gpg --verify ./DeadlineCloudSubmitter-linux-x64-installer.run.sig ./DeadlineCloudSubmitter-linux-x64-installer.run
      ```

1. 

**驗證截止日期雲端監視器**
**注意**  
您可以使用簽章檔案或平台特定方法，驗證截止日期雲端監視器下載。如需平台特定的方法，請參閱 Linux (Debian)標籤、 Linux(RPM) 標籤，或根據您下載的檔案類型的 Linux (AppImage) 標籤。

   若要使用簽章檔案驗證截止日期雲端監控桌面應用程式，請完成下列步驟：

   1. 為您的截止日期雲端監視器安裝程式下載對應的簽章檔案：
      + [下載 .deb 簽章檔案](https://downloads.deadlinecloud.amazonaws.com/dcm/latest/deadline-cloud-monitor_amd64.deb.sig)
      + [下載 .rpm 簽章檔案](https://downloads.deadlinecloud.amazonaws.com/dcm/latest/deadline-cloud-monitor.x86_64.rpm.sig)
      + [下載 .AppImage 簽章檔案](https://downloads.deadlinecloud.amazonaws.com/dcm/latest/deadline-cloud-monitor_amd64.AppImage.sig)

   1. 驗證簽章：

      **對於 .deb：**

      ```
      gpg --verify ./deadline-cloud-monitor_amd64.deb.sig ./deadline-cloud-monitor_amd64.deb
      ```

      **對於 .rpm：**

      ```
      gpg --verify ./deadline-cloud-monitor.x86_64.rpm.sig ./deadline-cloud-monitor.x86_64.rpm
      ```

      **對於 .AppImage：**

      ```
      gpg --verify ./deadline-cloud-monitor_amd64.AppImage.sig ./deadline-cloud-monitor_amd64.AppImage
      ```

   1. 確認輸出看起來類似以下內容：

      `gpg: Signature made Mon Apr 1 21:10:14 2024 UTC`

      `gpg: using RSA key B840C08C29A90796A071FAA5F6CD3CE6B7`

      如果輸出包含片語 `Good signature from "AWS Deadline Cloud"`，表示簽章已成功驗證，您可以執行截止日期雲端監視器安裝指令碼。

**歷史金鑰**

```
-----BEGIN PGP PUBLIC KEY BLOCK-----

mQINBGX6GQsBEADduUtJgqSXI+q76O6fsFwEYKmbnlyL0xKvlq32EZuyv0otZo5L
le4m5Gg52AzrvPvDiUTLooAlvYeozaYyirIGsK08Ydz0Ftdjroiuh/mw9JSJDJRI
rnRn5yKet1JFezkjopA3pjsTBP6lW/mb1bDBDEwwwtH0x9lV7A03FJ9T7Uzu/qSh
qO/UYdkafro3cPASvkqgDt2tCvURfBcUCAjZVFcLZcVD5iwXacxvKsxxS/e7kuVV
I1+VGT8Hj8XzWYhjCZxOLZk/fvpYPMyEEujN0fYUp6RtMIXve0C9awwMCy5nBG2J
eE2Ol5DsCpTaBd4Fdr3LWcSs8JFA/YfP9auL3NczOozPoVJt+fw8CBlVIXO0J7l5
hvHDjcC+5v0wxqAlMG6+f/SX7CT8FXK+L3iOJ5gBYUNXqHSxUdv8kt76/KVmQa1B
Akl+MPKpMq+lhw++S3G/lXqwWaDNQbRRw7dSZHymQVXvPp1nsqc3hV7KlOM+6s6g
1g4mvFY4lf6DhptwZLWyQXU8rBQpojvQfiSmDFrFPWFi5BexesuVnkGIolQoklKx
AVUSdJPVEJCteyy7td4FPhBaSqT5vW3+ANbr9b/uoRYWJvn17dN0cc9HuRh/Ai+I
nkfECo2WUDLZ0fEKGjGyFX+todWvJXjvc5kmE9Ty5vJp+M9Vvb8jd6t+mwARAQAB
tCxBV1MgRGVhZGxpbmUgQ2xvdWQgPGF3cy1kZWFkbGluZUBhbWF6b24uY29tPokC
VwQTAQgAQRYhBLhAwIwpqQeWoHH6pfbNPOa3bzzvBQJl+hkLAxsvBAUJA8JnAAUL
CQgHAgIiAgYVCgkICwIDFgIBAh4HAheAAAoJEPbNPOa3bzzvKswQAJXzKSAY8sY8
F6Eas2oYwIDDdDurs8FiEnFghjUEO6MTt9AykF/jw+CQg2UzFtEyObHBymhgmhXE
3buVeom96tgM3ZDfZu+sxi5pGX6oAQnZ6riztN+VpkpQmLgwtMGpSMLl3KLwnv2k
WK8mrR/fPMkfdaewB7A6RIUYiW33GAL4KfMIs8/vIwIJw99NxHpZQVoU6dFpuDtE
1OuxGcCqGJ7mAmo6H/YawSNp2Ns80gyqIKYo7o3LJ+WRroIRlQyctq8gnR9JvYXX
42ASqLq5+OXKo4qh81blXKYqtc176BbbSNFjWnzIQgKDgNiHFZCdcOVgqDhwO15r
NICbqqwwNLj/Fr2kecYx180Ktpl0jOOw5IOyh3bf3MVGWnYRdjvA1v+/CO+55N4g
z0kf50Lcdu5RtqV10XBCifn28pecqPaSdYcssYSRl5DLiFktGbNzTGcZZwITTKQc
af8PPdTGtnnb6P+cdbW3bt9MVtN5/dgSHLThnS8MPEuNCtkTnpXshuVuBGgwBMdb
qUC+HjqvhZzbwns8dr5WI+6HWNBFgGANn6ageYl58vVp0UkuNP8wcWjRARciHXZx
ku6W2jPTHDWGNrBQO2Fx7fd2QYJheIPPAShHcfJO+xgWCof45D0vAxAJ8gGg9Eq+
gFWhsx4NSHn2gh1gDZ41Ou/4exJ1lwPM
=uVaX
-----END PGP PUBLIC KEY BLOCK-----
EOF
```

------
#### [ Linux (AppImage) ]

若要驗證使用 Linux .AppImage 二進位檔的套件，請先完成Linux索引標籤中的步驟 1-3，然後完成下列步驟。

1. 從 GitHub 的 AppImageUpdate [頁面](https://github.com/AppImageCommunity/AppImageUpdate/releases/tag/continuous)，下載 **validate-x86\_64.AppImage 檔案。**

1. 下載檔案後，若要新增執行許可，請執行下列命令。

   ```
   chmod a+x ./validate-x86_64.AppImage
   ```

1. 若要新增執行許可，請執行下列命令。

   ```
   chmod a+x ./deadline-cloud-monitor_{{<APP_VERSION>}}_amd64.AppImage
   ```

1. 若要驗證截止日期雲端監視器簽章，請執行下列命令。

   ```
   ./validate-x86_64.AppImage ./deadline-cloud-monitor_{{<APP_VERSION>}}_amd64.AppImage
   ```

   如果輸出包含片語 `Validation successful`，表示簽章已成功驗證，您可以安全地執行截止日期雲端監視器安裝指令碼。

------
#### [ Linux (Debian) ]

若要驗證使用 Linux .deb 二進位檔的套件，請先完成 Linux標籤中的步驟 1-3。

**dpkg** 是大多數debian以 為基礎的Linux分佈中的核心套件管理工具。您可以使用 工具驗證 .deb 檔案。

1. 下載截止日期雲端監視器 .deb 檔案：

   [下載截止日期雲端監視器 (.deb)](https://downloads.deadlinecloud.amazonaws.com/dcm/latest/deadline-cloud-monitor_amd64.deb)

1. 驗證 .deb 檔案：

   ```
   dpkg-sig --verify deadline-cloud-monitor_amd64.deb
   ```

1. 輸出將類似於：

   ```
   Processing deadline-cloud-monitor_amd64.deb...
   GOODSIG _gpgbuilder B840C08C29A90796A071FAA5F6CD3C 171200
   ```

1. 若要驗證 .deb 檔案，請確認 `GOODSIG`存在於輸出中。

------
#### [ Linux (RPM) ]

若要驗證使用 Linux .rpm 二進位檔的套件，請先完成Linux標籤中的步驟 1-3。

1. 下載截止日期雲端監視器 .rpm 檔案：

   [下載截止日期雲端監視器 (.rpm)](https://downloads.deadlinecloud.amazonaws.com/dcm/latest/deadline-cloud-monitor.x86_64.rpm)

1. 驗證 .rpm 檔案：

   ```
   gpg --export --armor "Deadline Cloud" > key.pub
   sudo rpm --import key.pub
   rpm -K deadline-cloud-monitor.x86_64.rpm
   ```

1. 輸出將類似於：

   ```
   deadline-cloud-monitor.x86_64.rpm: digests signatures OK
   ```

1. 若要驗證 .rpm 檔案，請確認 `digests signatures OK` 位於輸出中。

------