データ保持を設定する

AWS Wickr ネットワークのデータ保持を設定するには、データ保持ボット Docker イメージを、ローカルコンピュータや Amazon Elastic Compute Cloud (Amazon EC2) 内のインスタンスなどのホスト上のコンテナにデプロイする必要があります。ボットをデプロイしたら、データをローカルまたは Amazon Simple Storage Service (Amazon S3) バケットに格納するように設定できます。(Secrets Manager)、Amazon AWS Secrets Manager ()、Amazon Simple Notification Service (Amazon SNS CloudWatch CloudWatch）、 AWS Key Management Service () などの他の AWSサービスを使用するようにデータ保持ボットを設定することもできますAWS KMS。 Amazon SNS 以下のトピックでは、Wickr ネットワークのデータ保持ボットを設定して実行する方法について説明します。

トピック

• データ保持を設定するための前提条件
• パスワード
• ストレージのオプション
• 環境変数
• Secrets Manager の価値観
• AWS サービスでデータ保持を使用するための IAM ポリシー
• データ保持ボットを起動する
• データ保持ボットを停止する

データ保持を設定するための前提条件

開始する前に、AWS Management Console Wickr からデータ保持ボット名 (ユーザー名 というラベルが付いている) と初期パスワードを取得する必要があります。データ保持ボットを初めて起動するときは、これらの値の両方を指定する必要があります。また、コンソールでデータ保持を有効にする必要があります。詳細については、「データ保持の詳細を表示する」を参照してください。

パスワード

データ保持ボットを初めて起動するときは、次のいずれかのオプションを使用して初期パスワードを指定します。

• WICKRIO_BOT_PASSWORD 環境変数。データ保持ボットの環境変数については、環境変数 本ガイドの後のセクションで概説しています。

• AWS_SECRET_NAME 環境変数によって識別される Secrets Manager の パスワード 値。データ保持ボットの Secrets Manager の値については、Secrets Manager の価値観 このガイドの後のセクションで概説されています。

• データ保持ボットのプロンプトが表示されたら、パスワードを入力します。-ti オプションを使用してインタラクティブな TTY アクセスでデータ保持ボットを実行する必要があります。

データ保持ボットを初めて設定すると、新しいパスワードが生成されます。データ保持ボットを再インストールする必要がある場合は、生成されたパスワードを使用します。データ保持ボットを初めてインストールした後は、初期パスワードは無効になります。

新しく生成されたパスワードは、次の例のように表示されます。

重要

パスワードを安全な場所に保存します。パスワードを紛失した場合、データ保持ボットを再インストールすることはできません。このパスワードは共有しないでください。Wickr ネットワークのデータ保持を開始できるようになります。

********************************************************************
**** GENERATED PASSWORD
**** DO NOT LOSE THIS PASSWORD, YOU WILL NEED TO ENTER IT EVERY TIME
**** TO START THE BOT
 "HuEXAMPLERAW4lGgEXAMPLEn"
 ********************************************************************

ストレージのオプション

データ保持が有効になり、データ保持ボットが Wickr ネットワークに設定されると、ネットワーク内で送信されるすべてのメッセージとファイルがキャプチャされます。メッセージは、環境変数を使用して設定できる特定のサイズまたは時間制限に制限されたファイルに保存されます。詳細については、「環境変数」を参照してください。

このデータを保存するには、次のオプションのいずれかを設定できます。

• キャプチャしたメッセージとファイルをすべてローカルに保存します。これがデフォルトのオプションです。ローカルファイルを別のシステムに移動して長期保存し、ホストディスクのメモリやスペースが不足しないようにするのはユーザーの責任です。

• キャプチャしたすべてのメッセージとファイルを Amazon S3 バケットに格納します。データ保持ボットは、復号されたすべてのメッセージとファイルを、指定した Amazon S3 バケットに保存します。キャプチャされたメッセージとファイルは、バケットに正常に保存されるとホストマシンから削除されます。

• キャプチャしたすべてのメッセージとファイルを Amazon S3 バケットに暗号化して保存します。データ保持ボットは、キャプチャされたすべてのメッセージとファイルを指定したキーを使用して再暗号化し、指定した Amazon S3 バケットに保存します。キャプチャされたメッセージとファイルは、再暗号化に成功してバケットに保存されると、ホストマシンから削除されます。メッセージとファイルを復号化するにはソフトウェアが必要です。

  Amazon S3 バケットの作成の詳細については、Amazon S3 ユーザーガイドの「バケットの作成」を参照してください。

環境変数

次の環境変数を使用して、データ保持ボットを構成できます。これらの環境変数は、データ保持ボットの Docker イメージを実行するときの -e オプションを使用して設定します。詳細については、「データ保持ボットを起動する」を参照してください。

注記

これらの環境変数は、特に指定がない限りオプションです。

以下の環境変数を使用して、データ保持ボットの認証情報を指定します。

• WICKRIO_BOT_NAME — データ保持ボットの名前。この変数は、データ保持ボットの Docker イメージを実行する場合に 必要 です。

• WICKRIO_BOT_PASSWORD — データ保持ボットの初期パスワード。詳細については、「データ保持を設定するための前提条件」を参照してください。この変数は、パスワードプロンプトでデータ保持ボットを起動する予定がない場合や、Secrets Manager を使用してデータ保持ボットの認証情報を保存する予定がない場合に 必要 です。

次の環境変数を使用して、デフォルトのデータ保持ストリーミング機能を設定します。

• WICKRIO_COMP_MESGDEST — メッセージがストリーミングされるディレクトリへのパス名。デフォルト値は、/tmp/<botname>/compliance/messagesです。

• WICKRIO_COMP_FILEDEST — ファイルがストリーミングされるディレクトリへのパス名。デフォルト値は、/tmp/<botname>/compliance/attachmentsです。

• WICKRIO_COMP_BASENAME — 受信したメッセージファイルのベース名。デフォルト値は、receivedMessagesです。

• WICKRIO_COMP_FILESIZE — 受信メッセージファイルの最大ファイルサイズ (KiB)。最大サイズに達すると、新しいファイルが開始されます。デフォルト値は 1000000000 (1024 GiB など) です。

• WICKRIO_COMP_TIMEROTATE — データ保持ボットが受信したメッセージを受信メッセージファイルに保存する時間 (分単位)。制限時間に達すると、新しいファイルが開始されます。受信メッセージファイルのサイズを制限できるのは、ファイルサイズまたは時間だけです。デフォルト値は 0 (制限なし) です。

次の環境変数を使用して、使用するデフォルト AWS リージョン を定義します。

• AWS_DEFAULT_REGION — Secrets Manager などの AWS サービスに使用するデフォルトの AWS リージョン (Amazon S3 や AWS KMS には使用されません)。この環境変数が定義されていない場合、デフォルトでは us-east-1 リージョンが使用されます。

以下の環境変数を使用して、Secrets Manager を使用してデータ保持ボットの認証情報と AWS サービス情報を保存することを選択したときに使用する Secrets Manager シークレットを指定します。Secrets Manager に保存できる値の詳細については、Secrets Manager の価値観 を参照してください。

• AWS_SECRET_NAME— データ保持ボットが必要とする認証情報と AWS サービス情報を含む Secrets Manager シークレットの名前。

• AWS_SECRET_REGION— AWS シークレットが存在する AWS リージョン。AWS シークレットを使用していて、この値が定義されていない場合は、AWS_DEFAULT_REGION 値が使用されます。

注記

以下の環境変数はすべて、Secrets Manager に値として保存できます。Secrets Manager を使用してこれらの値をそこに保存する場合、データ保持ボットの Dockerイメージを実行するときに、それらを環境変数として指定する必要はありません。指定する必要があるのは、このガイドで前述した AWS_SECRET_NAME 環境変数だけです。詳細については、「Secrets Manager の価値観」を参照してください。

メッセージとファイルをバケットに保存する場合は、以下の環境変数を使用して Amazon S3 バケットを指定します。

• WICKRIO_S3_BUCKET_NAME— メッセージとファイルが保存される Amazon S3 バケットの名前。

• WICKRIO_S3_REGION— メッセージとファイルが保存される Amazon S3 バケットの AWS リージョン。

• WICKRIO_S3_FOLDER_NAME— メッセージとファイルが保存される Amazon S3 バケットのオプションのフォルダ名。このフォルダ名の前には、Amazon S3 バケットに保存されるメッセージとファイルのキーが先頭に付けられます。

ファイルを Amazon S3 バケットに保存するときに、クライアント側の暗号化を使用してファイルを再暗号化する場合に、次の環境変数を使用して AWS KMS 詳細を指定します。

• WICKRIO_KMS_MSTRKEY_ARN— メッセージファイルとデータ保持ボット上のファイルを Amazon S3 バケットに保存する前に再暗号化するために使用される AWS KMS マスターキーの Amazon リソースネーム (ARN)。

• WICKRIO_KMS_REGION — AWS KMS マスターキーが置かれている AWS リージョン。

Amazon SNS トピックにデータ保持イベントを送信することを選択した場合、次の環境変数を使用して Amazon SNS の詳細を指定します。送信されるイベントには、スタートアップ、シャットダウン、エラー状態が含まれます。

• WICKRIO_SNS_TOPIC_ARN— データ保持イベントの送信先の Amazon SNS トピックの ARN。

次の環境変数を使用して、データ保持メトリクスを に送信します CloudWatch。指定した場合、メトリクスは 60 秒ごとに生成されます。

• WICKRIO_METRICS_TYPE - この環境変数の値を に設定cloudwatchして、メトリクスを に送信します CloudWatch。

Secrets Manager の価値観

Secrets Manager を使用して、データ保持ボットの認証情報と AWS サービス情報を保存できます。シークレットの作成と保存については、 Secrets Manager ユーザーガイド の「基本的なAWS Secrets Managerシークレットを作成する」を参照してください。

Secrets Manager のシークレットには、次の値を含めることができます。

• password— データ保持ボットのパスワード。

• s3_bucket_name— メッセージとファイルが保存される Amazon S3 バケットの名前。設定しない場合、デフォルトのファイルストリーミングが使用されます。

• s3_region— メッセージとファイルが保存される Amazon S3 バケットの AWS リージョン。

• s3_folder_name— メッセージとファイルが保存される Amazon S3 バケットのオプションのフォルダ名。このフォルダ名の前には、Amazon S3 バケットに保存されるメッセージとファイルのキーが先頭に付けられます。

• kms_master_key_arn— メッセージファイルとデータ保持ボット上のファイルを Amazon S3 バケットに保存する前に再暗号化するために使用される AWS KMS マスターキーの ARN。

• kms_region — AWS KMS マスターキーが置かれている AWS リージョン。

• sns_topic_arn— データ保持イベントの送信先の Amazon SNS トピックの ARN。

AWS サービスでデータ保持を使用するための IAM ポリシー

Wickr データ保持ボットで他の AWS サービスを使用する予定がある場合は、そのサービスにアクセスするための適切な AWS Identity and Access Management (IAM) ロールとポリシーがホストにあることを確認する必要があります。Secrets Manager、Amazon S3、Amazon SNS CloudWatch、および を使用するようにデータ保持ボットを設定できますAWS KMS。次の IAM ポリシーでは、これらのサービスの特定のアクションへのアクセスを許可します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "secretsmanager:GetSecretValue",
                "sns:Publish",
                "cloudwatch:PutMetricData",
                "kms:GenerateDataKey"
            ],
            "Resource": "*"
        }
    ]
}

ホスト上のコンテナにアクセスを許可したい各サービスの特定のオブジェクトを指定することで、より厳密な IAM ポリシーを作成できます。使用しない AWS サービスのアクションを削除します。たとえば、Amazon S3 バケットのみを使用する場合は、、secretsmanager:GetSecretValue、sns:Publish、kms:GenerateDataKey、および cloudwatch:PutMetricData アクションを削除する次のポリシーを使用してください。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "s3:PutObject",
            "Resource": "*"
        }
    ]
}

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを使用してデータ保持ボットをホストする場合は、Amazon EC2 の一般的なケースを使用して IAM ロールを作成し、上記のポリシー定義を使用してポリシーを割り当てます。