Konfigurieren der Datenaufbewahrung - AWS Wickr
VoraussetzungenPasswortSpeicheroptionenUmgebungsvariablenSecrets-Manager-WerteIAM-Richtlinie zur Verwendung von -AWSServices

Dieses Handbuch enthält Dokumentation für die AWS Version von Wickr. Wenn Sie die lokale Version von Wickr verwenden, finden Sie weitere Informationen im Enterprise Administration Guide.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfigurieren der Datenaufbewahrung

Um die Datenaufbewahrung für Ihr AWS Wickr-Netzwerk zu konfigurieren, müssen Sie das Docker-Image des Datenaufbewahrungs-Bots in einem Container auf einem Host bereitstellen, z. B. einem lokalen Computer oder einer Instance in Amazon Elastic Compute Cloud (Amazon EC2). Nachdem der Bot bereitgestellt wurde, können Sie ihn so konfigurieren, dass Daten lokal oder in einem Amazon Simple Storage Service (Amazon S3)-Bucket gespeichert werden. Sie können den Datenaufbewahrungs-Bot auch für die Verwendung anderer -AWSServices wie AWS Secrets Manager (Secrets Manager), Amazon CloudWatch (CloudWatch), Amazon Simple Notification Service (Amazon SNS) und AWS Key Management Service () konfigurierenAWS KMS. In den folgenden Themen wird beschrieben, wie Sie den Datenaufbewahrungs-Bot für Ihr Wickr-Netzwerk konfigurieren und ausführen.

Themen

Voraussetzungen für die Konfiguration der Datenaufbewahrung

Bevor Sie beginnen, müssen Sie den Bot-Namen für die Datenaufbewahrung (bezeichnet als Benutzername ) und das ursprüngliche Passwort von AWS Management Console für Wickr abrufen. Sie müssen beide Werte angeben, wenn Sie den Bot zur Datenaufbewahrung zum ersten Mal starten. Sie müssen die Datenaufbewahrung auch in der -Konsole aktivieren. Weitere Informationen finden Sie unter Einzelheiten zur Datenspeicherung anzeigen.

Passwort

Wenn Sie den Bot zur Datenaufbewahrung zum ersten Mal starten, geben Sie das ursprüngliche Passwort mit einer der folgenden Optionen an:

  • Die WICKRIO_BOT_PASSWORD Umgebungsvariable. Die Umgebungsvariablen des Datenaufbewahrungs-Bots werden im Umgebungsvariablen Abschnitt weiter unten in diesem Leitfaden beschrieben.

  • Der Passwortwert in Secrets Manager, der durch die AWS_SECRET_NAME Umgebungsvariable identifiziert wird. Die Secrets-Manager-Werte für den Datenaufbewahrungs-Bot werden im Secrets-Manager-Werte Abschnitt weiter unten in diesem Leitfaden beschrieben.

  • Geben Sie das Passwort ein, wenn Sie vom Bot zur Datenaufbewahrung dazu aufgefordert werden. Sie müssen den Datenaufbewahrungs-Bot mit interaktivem TTY-Zugriff mithilfe der -ti Option ausführen.

Ein neues Passwort wird generiert, wenn Sie den Datenaufbewahrungs-Bot zum ersten Mal konfigurieren. Wenn Sie den Bot zur Datenaufbewahrung neu installieren müssen, verwenden Sie das generierte Passwort. Das ursprüngliche Passwort ist nach der Erstinstallation des Datenaufbewahrungs-Bots nicht gültig.

Das neu generierte Passwort wird angezeigt, wie im folgenden Beispiel gezeigt.

Wichtig

Bewahren Sie das Passwort an einem sicheren Ort auf. Wenn Sie das Passwort verlieren, können Sie den Bot zur Datenaufbewahrung nicht neu installieren. Geben Sie dieses Passwort nicht weiter. Es bietet die Möglichkeit, die Datenaufbewahrung für Ihr Wickr-Netzwerk zu starten.

********************************************************************
**** GENERATED PASSWORD
**** DO NOT LOSE THIS PASSWORD, YOU WILL NEED TO ENTER IT EVERY TIME
**** TO START THE BOT
 "HuEXAMPLERAW4lGgEXAMPLEn"
 ********************************************************************

Speicheroptionen

Nachdem die Datenaufbewahrung aktiviert und der Bot für die Datenaufbewahrung für Ihr Wickr-Netzwerk konfiguriert ist, erfasst er alle Nachrichten und Dateien, die innerhalb Ihres Netzwerks gesendet werden. Nachrichten werden in Dateien gespeichert, die auf eine bestimmte Größe oder ein bestimmtes Zeitlimit beschränkt sind, das mit einer Umgebungsvariablen konfiguriert werden kann. Weitere Informationen finden Sie unter Umgebungsvariablen.

Sie können eine der folgenden Optionen zum Speichern dieser Daten konfigurieren:

  • Speichern Sie alle erfassten Nachrichten und Dateien lokal. Dies ist die Standardoption. Es liegt in Ihrer Verantwortung, lokale Dateien für die langfristige Speicherung in ein anderes System zu verschieben und sicherzustellen, dass dem Host-Datenträger nicht der Arbeitsspeicher oder Speicherplatz ausgeht.

  • Speichern Sie alle erfassten Nachrichten und Dateien in einem Amazon S3-Bucket. Der Datenaufbewahrungs-Bot speichert alle entschlüsselten Nachrichten und Dateien in dem von Ihnen angegebenen Amazon S3-Bucket. Die erfassten Nachrichten und Dateien werden vom Host-Computer entfernt, nachdem sie erfolgreich im Bucket gespeichert wurden.

  • Speichern Sie alle erfassten Nachrichten und Dateien, die in einem Amazon S3-Bucket verschlüsselt sind. Der Datenaufbewahrungs-Bot verschlüsselt alle erfassten Nachrichten und Dateien mit einem von Ihnen bereitgestellten Schlüssel erneut und speichert sie in dem von Ihnen angegebenen Amazon S3-Bucket. Die erfassten Nachrichten und Dateien werden vom Host-Computer entfernt, nachdem sie erfolgreich erneut verschlüsselt und im Bucket gespeichert wurden. Sie benötigen Software, um die Nachrichten und Dateien zu entschlüsseln.

    Weitere Informationen zum Erstellen eines Amazon S3-Buckets zur Verwendung mit Ihrem Datenaufbewahrungs-Bot finden Sie unter Erstellen eines Buckets im Amazon S3-Benutzerhandbuch.

Umgebungsvariablen

Sie können die folgenden Umgebungsvariablen verwenden, um den Bot zur Datenaufbewahrung zu konfigurieren. Sie legen diese Umgebungsvariablen mit der -e Option fest, wenn Sie das Docker-Image des Datenaufbewahrungs-Bots ausführen. Weitere Informationen finden Sie unter Starten des Bots zur Datenaufbewahrung.

Anmerkung

Diese Umgebungsvariablen sind optional, sofern nicht anders angegeben.

Verwenden Sie die folgenden Umgebungsvariablen, um die Anmeldeinformationen des Datenaufbewahrungs-Bots anzugeben:

  • WICKRIO_BOT_NAME – Der Name des Bots zur Datenaufbewahrung. Diese Variable ist erforderlich, wenn Sie das Docker-Image des Datenaufbewahrungs-Bots ausführen.

  • WICKRIO_BOT_PASSWORD – Das ursprüngliche Passwort für den Datenaufbewahrungs-Bot. Weitere Informationen finden Sie unter Voraussetzungen für die Konfiguration der Datenaufbewahrung. Diese Variable ist erforderlich, wenn Sie nicht vorhaben, den Datenaufbewahrungs-Bot mit einer Passwortaufforderung zu starten oder Secrets Manager nicht zum Speichern der Anmeldeinformationen des Datenaufbewahrungs-Bots verwenden möchten.

Verwenden Sie die folgenden Umgebungsvariablen, um die Standard-Streaming-Funktionen für die Datenaufbewahrung zu konfigurieren:

  • WICKRIO_COMP_MESGDEST – Der Pfadname zu dem Verzeichnis, in das Nachrichten gestreamt werden. Der Standardwert ist /tmp/<botname>/compliance/messages.

  • WICKRIO_COMP_FILEDEST – Der Pfadname zu dem Verzeichnis, in das Dateien gestreamt werden. Der Standardwert ist /tmp/<botname>/compliance/attachments.

  • WICKRIO_COMP_BASENAME – Der Basisname für die empfangenen Nachrichtendateien. Der Standardwert ist receivedMessages.

  • WICKRIO_COMP_FILESIZE – Die maximale Dateigröße für eine empfangene Nachrichtendatei in Kibibyte (KiB). Eine neue Datei wird gestartet, wenn die maximale Größe erreicht ist. Der Standardwert ist 1000000000, wie bei 1024 GiB .

  • WICKRIO_COMP_TIMEROTATE – Die Zeitspanne in Minuten, für die der Datenaufbewahrungs-Bot empfangene Nachrichten in eine Datei mit empfangenen Nachrichten ablegt. Eine neue Datei wird gestartet, wenn das Zeitlimit erreicht ist. Sie können nur die Dateigröße oder -zeit verwenden, um die Größe der Datei für empfangene Nachrichten zu begrenzen. Der Standardwert ist 0, wie bei keinem Limit.

Verwenden Sie die folgende Umgebungsvariable, um den zu AWS-Region verwendenden Standard zu definieren.

  • AWS_DEFAULT_REGION – Die Standardeinstellung, AWS-Region die für AWS Services wie Secrets Manager verwendet wird (nicht für Amazon S3 oder verwendetAWS KMS). Die us-east-1 Region wird standardmäßig verwendet, wenn diese Umgebungsvariable nicht definiert ist.

Verwenden Sie die folgenden Umgebungsvariablen, um das Secrets-Manager-Secret anzugeben, das verwendet werden soll, wenn Sie Secrets Manager zum Speichern der Anmeldeinformationen und AWS Serviceinformationen für den Datenaufbewahrungs-Bot verwenden möchten. Weitere Informationen zu den Werten, die Sie in Secrets Manager speichern können, finden Sie unter Secrets-Manager-Werte.

  • AWS_SECRET_NAME – Der Name des Secrets-Manager-Geheimnisses, das die Anmeldeinformationen und AWS Serviceinformationen enthält, die der Datenaufbewahrungs-Bot benötigt.

  • AWS_SECRET_REGION – Die AWS-Region, in der sich das AWS Secret befindet. Wenn Sie AWS Secrets verwenden und dieser Wert nicht definiert ist, wird der AWS_DEFAULT_REGION Wert verwendet.

Anmerkung

Sie können alle der folgenden Umgebungsvariablen als Werte in Secrets Manager speichern. Wenn Sie Secrets Manager verwenden und diese Werte dort speichern, müssen Sie sie nicht als Umgebungsvariablen angeben, wenn Sie das Docker-Image für den Datenaufbewahrungs-Bot ausführen. Sie müssen nur die zuvor in diesem Handbuch beschriebene AWS_SECRET_NAME Umgebungsvariable angeben. Weitere Informationen finden Sie unter Secrets-Manager-Werte.

Verwenden Sie die folgenden Umgebungsvariablen, um den Amazon S3-Bucket anzugeben, wenn Sie Nachrichten und Dateien in einem Bucket speichern möchten.

  • WICKRIO_S3_BUCKET_NAME – Der Name des Amazon S3-Buckets, in dem Nachrichten und Dateien gespeichert werden.

  • WICKRIO_S3_REGION – Die AWS Region des Amazon S3-Buckets, in der Nachrichten und Dateien gespeichert werden.

  • WICKRIO_S3_FOLDER_NAME – Der optionale Ordnername im Amazon S3-Bucket, in dem Nachrichten und Dateien gespeichert werden. Dem Ordnernamen wird der Schlüssel für Nachrichten und Dateien vorangestellt, die im Amazon S3-Bucket gespeichert sind.

Verwenden Sie die folgenden Umgebungsvariablen, um die AWS KMS Details anzugeben, wenn Sie sich dafür entscheiden, die clientseitige Verschlüsselung zu verwenden, um Dateien beim Speichern in einem Amazon S3-Bucket erneut zu verschlüsseln.

  • WICKRIO_KMS_MSTRKEY_ARN – Der Amazon-Ressourcenname (ARN) des AWS KMS Masterschlüssels, der zum erneuten Verschlüsseln der Nachrichtendateien und Dateien auf dem Datenaufbewahrungs-Bot verwendet wird, bevor sie im Amazon S3-Bucket gespeichert werden.

  • WICKRIO_KMS_REGION – Die AWS Region, in der sich der AWS KMS Masterschlüssel befindet.

Verwenden Sie die folgende Umgebungsvariable, um die Amazon SNS-Details anzugeben, wenn Sie Datenaufbewahrungsereignisse an ein Amazon SNS-Thema senden möchten. Zu den gesendeten Ereignissen gehören Startup, Herunterfahren sowie Fehlerbedingungen.

  • WICKRIO_SNS_TOPIC_ARN – Der ARN des Amazon SNS-Themas, an das Datenaufbewahrungsereignisse gesendet werden sollen.

Verwenden Sie die folgende Umgebungsvariable, um Datenaufbewahrungsmetriken an zu senden CloudWatch. Wenn angegeben, werden die Metriken alle 60 Sekunden generiert.

  • WICKRIO_METRICS_TYPE – Legen Sie den Wert dieser Umgebungsvariablen auf festcloudwatch, um Metriken an zu senden CloudWatch.

Secrets-Manager-Werte

Sie können Secrets Manager verwenden, um die Anmeldeinformationen und AWS Serviceinformationen des Datenaufbewahrungsbots zu speichern. Weitere Informationen zum Erstellen eines Secrets-Manager-Secrets finden Sie unter Erstellen eines AWS Secrets Manager-Secrets im Secrets-Manager-Benutzerhandbuch.

Das Secrets-Manager-Secret kann die folgenden Werte haben:

  • password – Das Bot-Passwort für die Datenaufbewahrung.

  • s3_bucket_name – Der Name des Amazon S3-Buckets, in dem Nachrichten und Dateien gespeichert werden. Wenn nicht festgelegt, wird das Standard-Dateistreaming verwendet.

  • s3_region – Die AWS Region des Amazon S3-Buckets, in der Nachrichten und Dateien gespeichert werden.

  • s3_folder_name – Der optionale Ordnername im Amazon S3-Bucket, in dem Nachrichten und Dateien gespeichert werden. Dem Ordnernamen wird der Schlüssel für Nachrichten und Dateien vorangestellt, die im Amazon S3-Bucket gespeichert sind.

  • kms_master_key_arn – Der ARN des AWS KMS Masterschlüssels, der zum erneuten Verschlüsseln der Nachrichtendateien und Dateien auf dem Datenaufbewahrungs-Bot verwendet wird, bevor sie im Amazon S3-Bucket gespeichert werden.

  • kms_region – Die AWS Region, in der sich der AWS KMS Masterschlüssel befindet.

  • sns_topic_arn – Der ARN des Amazon SNS-Themas, an das Datenaufbewahrungsereignisse gesendet werden sollen.

IAM-Richtlinie zur Verwendung der Datenaufbewahrung mit -AWSServices

Wenn Sie andere -AWSServices mit dem Wickr-Bot zur Datenaufbewahrung verwenden möchten, müssen Sie sicherstellen, dass der Host über die entsprechende AWS Identity and Access Management (IAM)-Rolle und -Richtlinie verfügt, um darauf zuzugreifen. Sie können den Datenaufbewahrungs-Bot für die Verwendung von Secrets Manager, Amazon S3, CloudWatch Amazon SNS und konfigurierenAWS KMS. Die folgende IAM-Richtlinie erlaubt den Zugriff auf bestimmte Aktionen für diese Services.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "secretsmanager:GetSecretValue",
                "sns:Publish",
                "cloudwatch:PutMetricData",
                "kms:GenerateDataKey"
            ],
            "Resource": "*"
        }
    ]
}

Sie können eine IAM-Richtlinie erstellen, die strenger ist, indem Sie die spezifischen Objekte für jeden Service identifizieren, dem die Container auf Ihrem Host Zugriff gewähren sollen. Entfernen Sie die Aktionen für die AWS Services, die Sie nicht verwenden möchten. Wenn Sie beispielsweise nur einen Amazon S3-Bucket verwenden möchten, verwenden Sie die folgende Richtlinie, die die cloudwatch:PutMetricData Aktionen secretsmanager:GetSecretValue, sns:Publishkms:GenerateDataKey, und entfernt.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "s3:PutObject",
            "Resource": "*"
        }
    ]
}

Wenn Sie eine Amazon Elastic Compute Cloud (Amazon EC2)-Instance zum Hosten Ihres Datenaufbewahrungs-Bots verwenden, erstellen Sie eine IAM-Rolle mit dem Amazon EC2-Häufigfall und weisen Sie eine Richtlinie mit der oben genannten Richtliniendefinition zu.