Configuration de la conservation des données - AWS Wickr
PrérequisMot de passeOptions de stockageVariables d’environnementLes valeurs de Secrets ManagerPolitique IAM d'utilisation des services AWS

Ce guide fournit de la documentation pour la AWS version de Wickr. Si vous utilisez la version locale de Wickr, consultez le Guide d'administration de l'entreprise.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de la conservation des données

Pour configurer la conservation des données pour votre réseau AWS Wickr, vous devez déployer l'image Docker du bot de conservation des données dans un conteneur sur un hôte, tel qu'un ordinateur local ou une instance dans Amazon Elastic Compute Cloud (Amazon EC2). Une fois le bot déployé, vous pouvez le configurer pour stocker les données localement ou dans un bucket Amazon Simple Storage Service (Amazon S3). Vous pouvez également configurer le bot de conservation des données pour utiliser d'autres AWS services tels que AWS Secrets Manager (Secrets Manager), Amazon CloudWatch (CloudWatch), Amazon Simple Notification Service (Amazon SNS) et (). AWS Key Management Service AWS KMS Les rubriques suivantes décrivent comment configurer et exécuter le bot de conservation des données pour votre réseau Wickr.

Rubriques

Conditions préalables à la configuration de la conservation des données

Avant de commencer, vous devez obtenir le nom du bot de conservation des données (étiqueté comme nom d'utilisateur) et le mot de passe initial auprès de AWS Management Console for Wickr. Vous devez spécifier ces deux valeurs la première fois que vous démarrez le bot de conservation des données. Vous devez également activer la conservation des données dans la console. Pour plus d’informations, consultez Afficher les détails relatifs à la conservation des données.

Mot de passe

La première fois que vous démarrez le bot de conservation des données, vous spécifiez le mot de passe initial à l'aide de l'une des options suivantes :

  • La variable d'WICKRIO_BOT_PASSWORDenvironnement. Les variables d'environnement du bot de conservation des données sont décrites dans la Variables d’environnement section suivante de ce guide.

  • La valeur du mot de passe dans Secrets Manager identifiée par la variable d'AWS_SECRET_NAMEenvironnement. Les valeurs de Secrets Manager pour le bot de conservation des données sont décrites dans la Les valeurs de Secrets Manager section suivante de ce guide.

  • Entrez le mot de passe lorsque le bot de conservation des données vous le demande. Vous devrez exécuter le bot de conservation des données avec un accès TTY interactif à l'aide de l'-tioption.

Un nouveau mot de passe sera généré lorsque vous configurerez le bot de conservation des données pour la première fois. Si vous devez réinstaller le bot de conservation des données, vous devez utiliser le mot de passe généré. Le mot de passe initial n'est pas valide après l'installation initiale du bot de conservation des données.

Le nouveau mot de passe généré sera affiché comme indiqué dans l'exemple suivant.

Important

Conservez le mot de passe en lieu sûr. Si vous perdez le mot de passe, vous ne pourrez pas réinstaller le bot de conservation des données. Ne partagez pas ce mot de passe. Il permet de démarrer la conservation des données pour votre réseau Wickr.

********************************************************************
**** GENERATED PASSWORD
**** DO NOT LOSE THIS PASSWORD, YOU WILL NEED TO ENTER IT EVERY TIME
**** TO START THE BOT
 "HuEXAMPLERAW4lGgEXAMPLEn"
 ********************************************************************

Options de stockage

Une fois la conservation des données activée et le bot de conservation des données configuré pour votre réseau Wickr, il capturera tous les messages et fichiers envoyés sur votre réseau. Les messages sont enregistrés dans des fichiers limités à une taille ou à une limite de temps spécifiques qui peuvent être configurées à l'aide d'une variable d'environnement. Pour plus d’informations, consultez Variables d’environnement.

Vous pouvez configurer l'une des options suivantes pour stocker ces données :

  • Stockez tous les messages et fichiers capturés localement. Il s’agit de l’option par défaut. Il est de votre responsabilité de déplacer les fichiers locaux vers un autre système pour un stockage à long terme et de vous assurer que le disque hôte ne manque pas de mémoire ou d'espace.

  • Stockez tous les messages et fichiers capturés dans un compartiment Amazon S3. Le bot de conservation des données enregistre tous les messages et fichiers déchiffrés dans le compartiment Amazon S3 que vous spécifiez. Les messages et fichiers capturés sont supprimés de la machine hôte une fois qu'ils ont été correctement enregistrés dans le compartiment.

  • Stockez tous les messages et fichiers capturés chiffrés dans un compartiment Amazon S3. Le bot de conservation des données chiffre à nouveau tous les messages et fichiers capturés à l'aide d'une clé que vous fournissez et les enregistre dans le compartiment Amazon S3 que vous spécifiez. Les messages et fichiers capturés sont supprimés de la machine hôte une fois qu'ils ont été correctement rechiffrés et enregistrés dans le compartiment. Vous aurez besoin d'un logiciel pour déchiffrer les messages et les fichiers.

    Pour plus d'informations sur la création d'un compartiment Amazon S3 à utiliser avec votre bot de conservation des données, consultez la section Création d'un compartiment dans le guide de l'utilisateur Amazon S3

Variables d’environnement

Vous pouvez utiliser les variables d'environnement suivantes pour configurer le bot de conservation des données. Vous définissez ces variables d'environnement à l'aide de l'-eoption lorsque vous exécutez l'image Docker du bot de conservation des données. Pour plus d’informations, consultez Démarrez le bot de conservation des données.

Note

Ces variables d'environnement sont facultatives, sauf indication contraire.

Utilisez les variables d'environnement suivantes pour spécifier les informations d'identification du bot de conservation des données :

  • WICKRIO_BOT_NAME— Le nom du bot de conservation des données. Cette variable est obligatoire lorsque vous exécutez l'image Docker du bot de conservation des données.

  • WICKRIO_BOT_PASSWORD— Le mot de passe initial du bot de conservation des données. Pour plus d’informations, consultez Conditions préalables à la configuration de la conservation des données. Cette variable est obligatoire si vous ne prévoyez pas de démarrer le bot de conservation des données en demandant un mot de passe ou si vous ne prévoyez pas d'utiliser Secrets Manager pour stocker les informations d'identification du bot de conservation des données.

Utilisez les variables d'environnement suivantes pour configurer les fonctionnalités de streaming de conservation des données par défaut :

  • WICKRIO_COMP_MESGDEST— Le nom du chemin d'accès au répertoire dans lequel les messages seront diffusés. La valeur par défaut est /tmp/<botname>/compliance/messages.

  • WICKRIO_COMP_FILEDEST— Le nom du chemin d'accès au répertoire dans lequel les fichiers seront diffusés. La valeur par défaut est /tmp/<botname>/compliance/attachments.

  • WICKRIO_COMP_BASENAME— Le nom de base des fichiers de messages reçus. La valeur par défaut est receivedMessages.

  • WICKRIO_COMP_FILESIZE— La taille maximale d'un fichier de messages reçus en kibioctet (KiB). Un nouveau fichier est lancé lorsque la taille maximale est atteinte. La valeur par défaut est1000000000, comme dans 1024 GiB.

  • WICKRIO_COMP_TIMEROTATE— Durée, en minutes, pendant laquelle le bot de conservation des données insère les messages reçus dans un fichier de messages reçus. Un nouveau fichier est lancé lorsque le délai est atteint. Vous ne pouvez utiliser la taille ou la durée du fichier que pour limiter la taille du fichier des messages reçus. La valeur par défaut est0, comme dans aucune limite.

Utilisez la variable d'environnement suivante pour définir la valeur par défaut Région AWS à utiliser.

  • AWS_DEFAULT_REGION— La valeur par défaut Région AWS à utiliser pour AWS des services tels que Secrets Manager (non utilisée pour Amazon S3 ouAWS KMS). La us-east-1 région est utilisée par défaut si cette variable d'environnement n'est pas définie.

Utilisez les variables d'environnement suivantes pour spécifier le secret Secrets Manager à utiliser lorsque vous choisissez d'utiliser Secrets Manager pour stocker les informations d'identification et les informations de AWS service du bot de conservation des données. Pour plus d'informations sur les valeurs que vous pouvez stocker dans Secrets Manager, consultezLes valeurs de Secrets Manager.

  • AWS_SECRET_NAME— Le nom du secret Secrets Manager qui contient les informations d'identification et AWS de service nécessaires au bot de conservation des données.

  • AWS_SECRET_REGION— L'Région AWSendroit où se trouve le AWS secret. Si vous utilisez des AWS secrets et que cette valeur n'est pas définie, la AWS_DEFAULT_REGION valeur sera utilisée.

Note

Vous pouvez stocker toutes les variables d'environnement suivantes sous forme de valeurs dans Secrets Manager. Si vous choisissez d'utiliser Secrets Manager et que vous y stockez ces valeurs, vous n'avez pas besoin de les spécifier en tant que variables d'environnement lorsque vous exécutez l'image Docker du bot de conservation des données. Il vous suffit de spécifier la variable d'AWS_SECRET_NAMEenvironnement décrite plus haut dans ce guide. Pour plus d’informations, consultez Les valeurs de Secrets Manager.

Utilisez les variables d'environnement suivantes pour spécifier le compartiment Amazon S3 lorsque vous choisissez de stocker des messages et des fichiers dans un compartiment.

  • WICKRIO_S3_BUCKET_NAME— Le nom du compartiment Amazon S3 dans lequel les messages et les fichiers seront stockés.

  • WICKRIO_S3_REGION— La AWS région du compartiment Amazon S3 dans laquelle les messages et les fichiers seront stockés.

  • WICKRIO_S3_FOLDER_NAME— Le nom du dossier facultatif dans le compartiment Amazon S3 où les messages et les fichiers seront stockés. Ce nom de dossier sera précédé de la clé pour les messages et les fichiers enregistrés dans le compartiment Amazon S3.

Utilisez les variables d'environnement suivantes pour spécifier les AWS KMS détails lorsque vous choisissez d'utiliser le chiffrement côté client pour rechiffrer les fichiers lorsque vous les enregistrez dans un compartiment Amazon S3.

  • WICKRIO_KMS_MSTRKEY_ARN— Le nom de ressource Amazon (ARN) de la clé AWS KMS principale utilisée pour rechiffrer les fichiers de messages et les fichiers sur le bot de conservation des données avant qu'ils ne soient enregistrés dans le compartiment Amazon S3.

  • WICKRIO_KMS_REGION— La AWS région où se trouve la clé AWS KMS principale.

Utilisez la variable d'environnement suivante pour spécifier les détails d'Amazon SNS lorsque vous choisissez d'envoyer des événements de rétention de données à une rubrique Amazon SNS. Les événements envoyés incluent le démarrage, l'arrêt, ainsi que les conditions d'erreur.

  • WICKRIO_SNS_TOPIC_ARN— L'ARN de la rubrique Amazon SNS à laquelle vous souhaitez que les événements de conservation des données soient envoyés.

Utilisez la variable d'environnement suivante pour envoyer les métriques de conservation des données à CloudWatch. Si cela est spécifié, les métriques seront générées toutes les 60 secondes.

  • WICKRIO_METRICS_TYPE— Définissez la valeur de cette variable d'environnement cloudwatch à laquelle envoyer les métriques CloudWatch.

Les valeurs de Secrets Manager

Vous pouvez utiliser Secrets Manager pour stocker les informations d'identification du bot de conservation des données et les informations AWS de service. Pour plus d'informations sur la création d'un secret Secrets Manager, voir Création d'un AWS Secrets Manager secret dans le Guide de l'utilisateur de Secrets Manager.

Le secret Secrets Manager peut avoir les valeurs suivantes :

  • password— Le mot de passe du bot de conservation des données.

  • s3_bucket_name— Le nom du compartiment Amazon S3 dans lequel les messages et les fichiers seront stockés. Si ce n'est pas le cas, le streaming de fichiers par défaut sera utilisé.

  • s3_region— La AWS région du compartiment Amazon S3 dans laquelle les messages et les fichiers seront stockés.

  • s3_folder_name— Le nom du dossier facultatif dans le compartiment Amazon S3 où les messages et les fichiers seront stockés. Ce nom de dossier sera précédé de la clé pour les messages et les fichiers enregistrés dans le compartiment Amazon S3.

  • kms_master_key_arn— L'ARN de la clé AWS KMS principale utilisée pour rechiffrer les fichiers de messages et les fichiers sur le bot de conservation des données avant qu'ils ne soient enregistrés dans le compartiment Amazon S3.

  • kms_region— La AWS région où se trouve la clé AWS KMS principale.

  • sns_topic_arn— L'ARN de la rubrique Amazon SNS à laquelle vous souhaitez que les événements de conservation des données soient envoyés.

Politique IAM pour utiliser la conservation des données avec les services AWS

Si vous envisagez d'utiliser d'autres AWS services avec le bot de conservation des données Wickr, vous devez vous assurer que l'hôte dispose du rôle et de la politique AWS Identity and Access Management (IAM) appropriés pour y accéder. Vous pouvez configurer le bot de conservation des données pour utiliser Secrets Manager, Amazon S3 CloudWatch, Amazon SNS et. AWS KMS La politique IAM suivante permet d'accéder à des actions spécifiques pour ces services.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "secretsmanager:GetSecretValue",
                "sns:Publish",
                "cloudwatch:PutMetricData",
                "kms:GenerateDataKey"
            ],
            "Resource": "*"
        }
    ]
}

Vous pouvez créer une politique IAM plus stricte en identifiant les objets spécifiques pour chaque service auxquels vous souhaitez autoriser les conteneurs de votre hôte à accéder. Supprimez les actions relatives aux AWS services que vous n'avez pas l'intention d'utiliser. Par exemple, si vous avez l'intention de n'utiliser qu'un compartiment Amazon S3, appliquez la politique suivante, qui supprime les cloudwatch:PutMetricData actions secretsmanager:GetSecretValue sns:Publishkms:GenerateDataKey,, et.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "s3:PutObject",
            "Resource": "*"
        }
    ]
}

Si vous utilisez une instance Amazon Elastic Compute Cloud (Amazon EC2) pour héberger votre bot de conservation des données, créez un rôle IAM en utilisant le cas courant Amazon EC2 et attribuez une politique en utilisant la définition de politique ci-dessus.