Panduan ini menyediakan dokumentasi untuk AWS versi Wickr. Jika Anda menggunakan versi lokal Wickr, lihat Panduan Administrasi Perusahaan.
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Konfigurasikan retensi data
Untuk mengonfigurasi retensi data untuk jaringan AWS Wickr, Anda harus menerapkan image bot Docker penyimpanan data ke container di host, seperti komputer lokal atau instans di Amazon Elastic Compute Cloud (Amazon EC2). Setelah bot di-deploy, Anda dapat mengonfigurasinya untuk menyimpan data secara lokal atau di bucket Amazon Simple Storage Service (Amazon S3). Anda juga dapat mengonfigurasi bot retensi data untuk menggunakan AWS layanan lain seperti AWS Secrets Manager (Secrets Manager), Amazon CloudWatch (CloudWatch), Amazon Simple Notification Service (Amazon SNS), AWS Key Management Service dan (). AWS KMS Topik berikut menjelaskan cara mengkonfigurasi dan menjalankan bot retensi data untuk jaringan Wickr Anda.
Topik
Prasyarat untuk mengonfigurasi retensi data
Sebelum memulai, Anda harus mendapatkan nama bot retensi data (diberi label sebagai Nama Pengguna) dan kata sandi awal dari AWS Management Console untuk Wickr. Anda harus menentukan kedua nilai ini saat pertama kali memulai bot retensi data. Anda juga harus mengaktifkan retensi data di konsol. Untuk informasi selengkapnya, lihat Lihat detail retensi data.
Kata sandi
Pertama kali Anda memulai bot retensi data, Anda menentukan kata sandi awal menggunakan salah satu opsi berikut:
-
Variabel
WICKRIO_BOT_PASSWORDlingkungan. Variabel lingkungan bot retensi data diuraikan di Variabel-variabel lingkungan bagian nanti dalam panduan ini. -
Nilai kata sandi di Secrets Manager diidentifikasi oleh variabel
AWS_SECRET_NAMElingkungan. Nilai Secrets Manager untuk bot retensi data diuraikan di Nilai Secrets Manager bagian nanti dalam panduan ini. -
Masukkan kata sandi saat diminta oleh bot retensi data. Anda harus menjalankan bot retensi data dengan akses TTY interaktif menggunakan
-tiopsi.
Kata sandi baru akan dihasilkan saat Anda mengonfigurasi bot retensi data untuk pertama kalinya. Jika Anda perlu menginstal ulang bot retensi data, Anda menggunakan kata sandi yang dihasilkan. Kata sandi awal tidak valid setelah instalasi awal bot retensi data.
Kata sandi yang baru dihasilkan akan ditampilkan seperti yang ditunjukkan pada contoh berikut.
penting
Simpan sandi di tempat yang aman. Jika Anda kehilangan kata sandi, Anda tidak akan dapat menginstal ulang bot retensi data. Jangan bagikan kata sandi ini. Ini memberikan kemampuan untuk memulai retensi data untuk jaringan Wickr Anda.
******************************************************************** **** GENERATED PASSWORD **** DO NOT LOSE THIS PASSWORD, YOU WILL NEED TO ENTER IT EVERY TIME **** TO START THE BOT "HuEXAMPLERAW4lGgEXAMPLEn" ********************************************************************
Opsi penyimpanan
Setelah retensi data diaktifkan dan bot retensi data dikonfigurasi untuk jaringan Wickr Anda, itu akan menangkap semua pesan dan file yang dikirim dalam jaringan Anda. Pesan disimpan dalam file yang terbatas pada ukuran atau batas waktu tertentu yang dapat dikonfigurasi menggunakan variabel lingkungan. Untuk informasi selengkapnya, lihat Variabel-variabel lingkungan.
Anda dapat mengonfigurasi salah satu opsi berikut untuk menyimpan data ini:
-
Simpan semua pesan dan file yang diambil secara lokal. Ini adalah pilihan default. Anda bertanggung jawab untuk memindahkan file lokal ke sistem lain untuk penyimpanan jangka panjang, dan memastikan disk host tidak kehabisan memori atau ruang.
-
Simpan semua pesan dan file yang diambil dalam bucket Amazon S3. Bot retensi data akan menyimpan semua pesan dan file yang didekripsi ke bucket Amazon S3 yang Anda tentukan. Pesan dan file yang diambil dihapus dari mesin host setelah berhasil disimpan ke ember.
-
Simpan semua pesan dan file yang diambil yang dienkripsi dalam bucket Amazon S3. Bot retensi data akan mengenkripsi ulang semua pesan dan file yang diambil menggunakan kunci yang Anda berikan dan menyimpannya ke bucket Amazon S3 yang Anda tentukan. Pesan dan file yang diambil dihapus dari mesin host setelah berhasil dienkripsi ulang dan disimpan ke ember. Anda akan memerlukan perangkat lunak untuk mendekripsi pesan dan file.
Untuk informasi selengkapnya tentang membuat bucket Amazon S3 untuk digunakan dengan bot retensi data, lihat Membuat bucket di Panduan Pengguna Amazon S3
Variabel-variabel lingkungan
Anda dapat menggunakan variabel lingkungan berikut untuk mengonfigurasi bot retensi data. Anda mengatur variabel lingkungan ini menggunakan -e opsi saat Anda menjalankan image bot Docker retensi data. Untuk informasi selengkapnya, lihat Mulai bot retensi data.
catatan
Variabel lingkungan ini opsional kecuali ditentukan lain.
Gunakan variabel lingkungan berikut untuk menentukan kredensi bot retensi data:
-
WICKRIO_BOT_NAME— Nama bot retensi data. Variabel ini diperlukan saat Anda menjalankan image bot Docker retensi data. -
WICKRIO_BOT_PASSWORD— Kata sandi awal untuk bot retensi data. Untuk informasi selengkapnya, lihat Prasyarat untuk mengonfigurasi retensi data. Variabel ini diperlukan jika Anda tidak berencana untuk memulai bot retensi data dengan prompt kata sandi atau Anda tidak berencana menggunakan Secrets Manager untuk menyimpan kredenal bot retensi data.
Gunakan variabel lingkungan berikut untuk mengonfigurasi kemampuan streaming retensi data default:
-
WICKRIO_COMP_MESGDEST— Nama jalur ke direktori tempat pesan akan dialirkan. Nilai default-nya adalah/tmp/.<botname>/compliance/messages -
WICKRIO_COMP_FILEDEST— Nama jalur ke direktori tempat file akan dialirkan. Nilai default-nya adalah/tmp/.<botname>/compliance/attachments -
WICKRIO_COMP_BASENAME— Nama dasar untuk file pesan yang diterima. Nilai default-nya adalahreceivedMessages. -
WICKRIO_COMP_FILESIZE— Ukuran file maksimum untuk file pesan yang diterima dalam kibibyte (KiB). File baru dimulai ketika ukuran maksimal tercapai. Nilai defaultnya adalah1000000000, seperti pada 1024 GiB. -
WICKRIO_COMP_TIMEROTATE— Jumlah waktu, dalam hitungan menit, di mana bot retensi data akan memasukkan pesan yang diterima ke dalam file pesan yang diterima. File baru dimulai ketika batas waktu tercapai. Anda hanya dapat menggunakan ukuran file atau waktu untuk membatasi ukuran file pesan yang diterima. Nilai defaultnya adalah0, seperti tanpa batas.
Gunakan variabel lingkungan berikut untuk menentukan default yang Wilayah AWS akan digunakan.
-
AWS_DEFAULT_REGION— Default Wilayah AWS untuk digunakan untuk AWS layanan seperti Secrets Manager (tidak digunakan untuk Amazon S3 atauAWS KMS).us-east-1Region digunakan secara default jika variabel lingkungan ini tidak didefinisikan.
Gunakan variabel lingkungan berikut untuk menentukan rahasia Secrets Manager yang akan digunakan saat Anda memilih untuk menggunakan Secrets Manager untuk menyimpan kredensi bot retensi data dan informasi AWS layanan. Untuk informasi selengkapnya tentang nilai yang dapat Anda simpan di Secrets Manager, lihatNilai Secrets Manager.
-
AWS_SECRET_NAME— Nama rahasia Secrets Manager yang berisi kredensil dan informasi AWS layanan yang dibutuhkan oleh bot retensi data. -
AWS_SECRET_REGION— Wilayah AWS AWS Rahasianya terletak di. Jika Anda menggunakan AWS rahasia dan nilai ini tidak ditentukanAWS_DEFAULT_REGIONnilainya akan digunakan.
catatan
Anda dapat menyimpan semua variabel lingkungan berikut sebagai nilai di Secrets Manager. Jika Anda memilih untuk menggunakan Secrets Manager, dan Anda menyimpan nilai-nilai ini di sana, maka Anda tidak perlu menentukannya sebagai variabel lingkungan saat Anda menjalankan image bot Docker retensi data. Anda hanya perlu menentukan variabel AWS_SECRET_NAME lingkungan yang dijelaskan sebelumnya dalam panduan ini. Untuk informasi selengkapnya, lihat Nilai Secrets Manager.
Gunakan variabel lingkungan berikut untuk menentukan bucket Amazon S3 saat Anda memilih untuk menyimpan pesan dan file ke bucket.
-
WICKRIO_S3_BUCKET_NAME— Nama bucket Amazon S3 tempat pesan dan file akan disimpan. -
WICKRIO_S3_REGION— AWS Wilayah bucket Amazon S3 tempat pesan dan file akan disimpan. -
WICKRIO_S3_FOLDER_NAME— Nama folder opsional di bucket Amazon S3 tempat pesan dan file akan disimpan. Nama folder ini akan didahului dengan kunci untuk pesan dan file yang disimpan ke bucket Amazon S3.
Gunakan variabel lingkungan berikut untuk menentukan AWS KMS detail saat Anda memilih untuk menggunakan enkripsi sisi klien untuk mengenkripsi ulang file saat menyimpannya ke bucket Amazon S3.
-
WICKRIO_KMS_MSTRKEY_ARN— Nama Sumber Daya Amazon (ARN) dari kunci AWS KMS master yang digunakan untuk mengenkripsi ulang file pesan dan file pada bot retensi data sebelum disimpan ke bucket Amazon S3. -
WICKRIO_KMS_REGION— AWS Wilayah tempat kunci AWS KMS utama berada.
Gunakan variabel lingkungan berikut untuk menentukan detail Amazon SNS saat Anda memilih untuk mengirim peristiwa penyimpanan data ke topik Amazon SNS. Peristiwa yang dikirim termasuk startup, shutdown, serta kondisi kesalahan.
-
WICKRIO_SNS_TOPIC_ARN— ARN dari topik Amazon SNS yang ingin Anda kirimkan ke acara penyimpanan data.
Gunakan variabel lingkungan berikut untuk mengirim metrik retensi data ke CloudWatch. Jika ditentukan, metrik akan dihasilkan setiap 60 detik.
-
WICKRIO_METRICS_TYPE— Tetapkan nilai variabel lingkungan inicloudwatchuntuk mengirim metrik ke CloudWatch.
Nilai Secrets Manager
Anda dapat menggunakan Secrets Manager untuk menyimpan kredensi bot retensi data dan informasi AWS layanan. Untuk informasi selengkapnya tentang membuat rahasia Secrets Manager, lihat Membuat AWS Secrets Manager rahasia di Panduan Pengguna Secrets Manager.
Rahasia Secrets Manager dapat memiliki nilai-nilai berikut:
-
password— Kata sandi bot retensi data. -
s3_bucket_name— Nama bucket Amazon S3 tempat pesan dan file akan disimpan. Jika tidak diatur, streaming file default akan digunakan. -
s3_region— AWS Wilayah bucket Amazon S3 tempat pesan dan file akan disimpan. -
s3_folder_name— Nama folder opsional di bucket Amazon S3 tempat pesan dan file akan disimpan. Nama folder ini akan didahului dengan kunci untuk pesan dan file yang disimpan ke bucket Amazon S3. -
kms_master_key_arn— ARN dari kunci AWS KMS master digunakan untuk mengenkripsi ulang file pesan dan file pada bot retensi data sebelum disimpan ke bucket Amazon S3. -
kms_region— AWS Wilayah tempat kunci AWS KMS utama berada. -
sns_topic_arn— ARN dari topik Amazon SNS yang ingin Anda kirimkan ke acara penyimpanan data.
Kebijakan IAM untuk menggunakan penyimpanan data dengan layanan AWS
Jika Anda berencana untuk menggunakan AWS layanan lain dengan bot retensi data Wickr, Anda harus memastikan host memiliki peran dan kebijakan AWS Identity and Access Management (IAM) yang sesuai untuk mengaksesnya. Anda dapat mengonfigurasi bot retensi data untuk menggunakan Secrets Manager, Amazon S3, Amazon SNS CloudWatch, dan. AWS KMS Kebijakan IAM berikut memungkinkan akses ke tindakan spesifik untuk layanan ini.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "s3:PutObject", "secretsmanager:GetSecretValue", "sns:Publish", "cloudwatch:PutMetricData", "kms:GenerateDataKey" ], "Resource": "*" } ] }
Anda dapat membuat kebijakan IAM yang lebih ketat dengan mengidentifikasi objek tertentu untuk setiap layanan yang ingin Anda izinkan untuk diakses oleh container di host Anda. Hapus tindakan untuk AWS layanan yang tidak ingin Anda gunakan. Misalnya, jika Anda bermaksud hanya menggunakan bucket Amazon S3, gunakan kebijakan berikut, yang menghapus, sns:Publishkms:GenerateDataKey, secretsmanager:GetSecretValue cloudwatch:PutMetricData dan tindakan.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "s3:PutObject", "Resource": "*" } ] }
Jika Anda menggunakan instans Amazon Elastic Compute Cloud (Amazon EC2) untuk meng-host bot penyimpanan data Anda, buat peran IAM menggunakan kasus umum Amazon EC2 dan tetapkan kebijakan menggunakan definisi kebijakan dari atas.
