데이터 보존 구성 - AWS Wickr
필요 조건암호스토리지 옵션환경 변수Secrets Manager 값AWS 서비스 사용을 위한 IAM 정책

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

데이터 보존 구성

AWS Wickr 네트워크에 대한 데이터 보존을 구성하려면 데이터 보존 봇 Docker 이미지를 로컬 컴퓨터 또는 Amazon Elastic Compute Cloud(Amazon EC2)의 인스턴스와 같은 호스트의 컨테이너에 배포해야 합니다. 봇이 배포된 후, 데이터를 로컬에 저장하거나 Amazon Simple Storage Service(S3) 버킷에 저장하도록 구성할 수 있습니다. 또한 (Secrets Manager), 아마존 AWS Secrets Manager (), 아마존 심플 알림 서비스 CloudWatch (Amazon SNSCloudWatch), () AWS Key Management Service 와 AWS KMS 같은 다른 AWS 서비스를 사용하도록 데이터 보존 봇을 구성할 수 있습니다. 다음 주제에서는 Wickr 네트워크용 데이터 보존 봇을 구성하고 실행하는 방법을 설명합니다.

주제

데이터 보존 구성을 위한 필요 조건

시작하기 전에 데이터 보존 봇 이름(사용자 이름으로 레이블됨)과 Wickr용 AWS Management Console에서 초기 암호를 가져와야 합니다. 데이터 보존 봇을 처음 시작할 때는 이 두 값을 모두 지정해야 합니다. 또한 콘솔에서 데이터 보존을 활성화해야 합니다. 자세한 설명은 데이터 보존 세부 정보 보기 섹션을 참조하세요.

암호

데이터 보존 봇을 처음 시작할 때는 다음 옵션 중 하나를 사용하여 초기 암호를 지정합니다.

  • WICKRIO_BOT_PASSWORD 환경 변수. 데이터 보존 봇 환경 변수는 이 설명서의 뒷부분에 있는 환경 변수 섹션에 요약되어 있습니다.

  • Secrets Manager의 암호 값은 AWS_SECRET_NAME환경 변수에 의해 식별됩니다. 데이터 보존 봇에 대한 Secrets Manager 값은 이 설명서의 뒷부분에 있는 Secrets Manager 값 섹션에 요약되어 있습니다.

  • 데이터 보존 봇에서 프롬프트가 표시되면 암호를 입력합니다. -ti옵션을 사용하여 대화형 TTY 액세스로 데이터 보존 봇을 실행해야 합니다.

데이터 보존 봇을 처음 구성할 때 새 암호가 생성됩니다. 데이터 보존 봇을 다시 설치해야 하는 경우 생성된 암호를 사용합니다. 데이터 보존 봇을 처음 설치한 후에는 초기 암호가 유효하지 않습니다.

새로 생성된 암호가 다음 예와 같이 표시됩니다.

중요

암호를 안전한 장소에 저장합니다. 암호를 분실하면 데이터 보존 봇을 다시 설치할 수 없습니다. 이 암호를 공유하지 마세요. Wickr 네트워크의 데이터 보존을 시작할 수 있는 기능을 제공합니다.

********************************************************************
**** GENERATED PASSWORD
**** DO NOT LOSE THIS PASSWORD, YOU WILL NEED TO ENTER IT EVERY TIME
**** TO START THE BOT
 "HuEXAMPLERAW4lGgEXAMPLEn"
 ********************************************************************

스토리지 옵션

데이터 보존이 활성화되고 데이터 보존 봇이 Wickr 네트워크에 맞게 구성되면 네트워크 내에서 전송되는 모든 메시지와 파일을 캡처합니다. 메시지는 환경 변수를 사용하여 구성할 수 있는 특정 크기 또는 시간제한으로 제한되는 파일에 저장됩니다. 자세한 설명은 환경 변수 섹션을 참조하세요.

이 데이터를 저장하기 위해 다음 옵션 중 하나를 구성할 수 있습니다.

  • 캡처된 모든 메시지와 파일을 로컬에 저장합니다. 이 항목이 기본 옵션입니다. 장기 스토리지를 위해 로컬 파일을 다른 시스템으로 이동하고 호스트 디스크의 메모리 또는 스페이스가 부족하지 않은지 확인하는 것은 사용자의 책임입니다.

  • 캡처한 모든 메시지와 파일을 Amazon S3 버킷에 저장합니다. 데이터 보존 봇은 복호화된 모든 메시지와 파일을 지정한 Amazon S3 버킷에 저장합니다. 캡처된 메시지와 파일은 버킷에 성공적으로 저장되면 호스트 머신에서 제거됩니다.

  • 캡처한 모든 메시지와 파일을 암호화하여 Amazon S3 버킷에 저장합니다. 데이터 보존 봇은 사용자가 제공한 키를 사용하여 캡처한 모든 메시지와 파일을 다시 암호화하고 지정한 Amazon S3 버킷에 저장합니다. 캡처된 메시지와 파일은 성공적으로 재암호화되어 버킷에 저장되면 호스트 머신에서 제거됩니다. 메시지와 파일을 해독하려면 소프트웨어가 필요합니다.

    Amazon S3 버킷을 생성하여 데이터 보존 봇을 가지고 사용하는 것에 대한 자세한 내용은 Amazon S3 사용 설명서버킷 생성을 참조하세요.

환경 변수

다음 환경 변수를 사용하여 데이터 보존 봇을 구성할 수 있습니다. 데이터 보존 봇 Docker 이미지를 실행할 때 -e 옵션을 사용하여 이러한 환경 변수를 설정합니다. 자세한 설명은 데이터 보존 봇 시작 섹션을 참조하세요.

참고

달리 지정하지 않는 한 이러한 환경 변수는 선택 사항입니다.

다음 환경 변수를 사용하여 데이터 보존 봇 자격 증명을 지정하십시오.

  • WICKRIO_BOT_NAME— 데이터 보존 봇의 이름. 이 변수는 데이터 보존 봇 Docker 이미지를 실행할 때 필요합니다.

  • WICKRIO_BOT_PASSWORD— 데이터 보존 봇의 초기 암호입니다. 자세한 설명은 데이터 보존 구성을 위한 필요 조건 섹션을 참조하세요. 암호 프롬프트로 데이터 보존 봇을 시작하지 않거나 Secrets Manager를 사용하여 데이터 보존 봇 자격 증명을 저장할 계획이 없는 경우 이 변수가 필요합니다.

다음 환경 변수를 사용하여 기본 데이터 보존 스트리밍 기능을 구성합니다.

  • WICKRIO_COMP_MESGDEST— 메시지가 스트리밍될 디렉터리의 경로 이름입니다. 기본 값은 /tmp/<botname>/compliance/messages입니다.

  • WICKRIO_COMP_FILEDEST— 파일을 스트리밍될 디렉터리의 경로 이름입니다. 기본 값은 /tmp/<botname>/compliance/attachments입니다.

  • WICKRIO_COMP_BASENAME— 수신된 메시지 파일의 기본 이름입니다. 기본 값은 receivedMessages입니다.

  • WICKRIO_COMP_FILESIZE— 받은 메시지의 최대 파일 크기는 키비바이트(KiB)입니다. 최대 크기에 도달하면 새 파일이 시작됩니다. 기본값은 1000000000이고, 1024GiB에서와 같습니다.

  • WICKRIO_COMP_TIMEROTATE— 데이터 보존 봇이 수신된 메시지를 수신된 메시지 파일에 저장하는 시간의 합계(분). 시간제한에 도달하면 새 파일이 시작됩니다. 사용자는 파일 크기 또는 시간만 사용하여 받은 메시지 파일의 크기를 제한할 수 있습니다. 기본값은 0이고 제한은 없습니다.

다음 환경 변수를 사용하여 사용할 기본값 AWS 리전을 정의하십시오.

  • AWS_DEFAULT_REGION— 기본적으로 AWS 리전가 Secrets Manager와 같은 AWS서비스를 위해 사용됩니다 (Amazon S3 또는 AWS KMS에는 사용되지 않음). 이 환경 변수가 정의되지 않은 경우 기본적으로 us-east-1 리전이 사용됩니다.

다음 환경 변수를 사용하여 Secrets Manager를 사용하여 데이터 보존 봇 자격 증명 및 AWS 서비스 정보를 저장하도록 선택할 때 사용할 Secrets Manager 보안 암호를 지정합니다. Secrets Manager에 저장할 수 있는 값에 대한 자세한 내용은 Secrets Manager 값을 참조하십시오.

  • AWS_SECRET_NAME— 데이터 보존 봇에 필요한 자격 증명과 AWS 서비스 정보가 포함된 Secrets Manager 보안 암호의 이름입니다.

  • AWS_SECRET_REGION— AWS 리전는 AWS 보안 암호가 있는 위치입니다. AWS 보안 암호를 사용하고 있고 이 값이 정의되지 않은 경우 해당 AWS_DEFAULT_REGION 값이 사용됩니다.

참고

다음 환경 변수를 모두 Secrets Manager에 값으로 저장할 수 있습니다. Secrets Manager를 사용하기로 선택하고 이 값을 저장하면 데이터 보존 봇 Docker 이미지를 실행할 때 환경 변수로 지정할 필요가 없습니다. 이 설명서의 앞부분에서 설명한 AWS_SECRET_NAME 환경 변수만 지정하면 됩니다. 자세한 설명은 Secrets Manager 값 섹션을 참조하세요.

메시지와 파일을 버킷에 저장하도록 선택할 경우 다음 환경 변수를 사용하여 Amazon S3 버킷을 지정합니다.

  • WICKRIO_S3_BUCKET_NAME— 메시지와 파일이 저장되는 Amazon S3 버킷의 이름.

  • WICKRIO_S3_REGION— 메시지와 파일이 저장되는 Amazon S3 버킷의 AWS리전입니다.

  • WICKRIO_S3_FOLDER_NAME— 메시지 및 파일이 저장되는 Amazon S3 버킷의 선택 가능 폴더 이름입니다. 이 폴더 이름 앞에는 Amazon S3 버킷에 저장된 메시지 및 파일의 키가 표시됩니다.

Amazon S3 버킷에 파일을 저장할 때 클라이언트측 암호화를 사용하여 파일을 다시 암호화하도록 선택하는 경우, 다음 환경 변수를 사용하여 AWS KMS 세부 정보를 지정합니다.

  • WICKRIO_KMS_MSTRKEY_ARN— Amazon S3 버킷에 저장하기 전에, 데이터 보존 봇에 있는 메시지 파일 및 파일을 다시 암호화하는 데 사용되는 AWS KMS 마스터 키의 Amazon 리소스 이름(ARN)

  • WICKRIO_KMS_REGION— AWS KMS 마스터 키가 위치한 AWS 리전.

Amazon SNS 주제에 데이터 보존 이벤트를 전송하도록 선택한 경우, 다음 환경 변수를 사용하여 Amazon SNS 세부 정보를 지정합니다. 전송된 이벤트에는 시작, 종료 및 오류 상태가 포함됩니다.

  • WICKRIO_SNS_TOPIC_ARN— 데이터 보존 이벤트를 전송할 Amazon SNS 주제의 ARN입니다.

다음 환경 변수를 사용하여 데이터 보존 지표를 로 CloudWatch 전송하십시오. 지정된 경우 지표는 60초마다 생성됩니다.

  • WICKRIO_METRICS_TYPE— 메트릭을 전송할 이 환경 변수의 값을 로 설정합니다 CloudWatch. cloudwatch

Secrets Manager 값

Secrets Manager를 사용하여 데이터 보존 봇 자격 증명과 AWS 서비스 정보를 저장할 수 있습니다. Secrets Manager 보안 암호를 생성하는 방법에 대한 자세한 내용은 Secrets Manager 사용 설명서의 AWS Secrets Manager 보안 암호 생성을 참조하십시오.

Secrets Manager 보안 암호는 다음과 같은 값을 가질 수 있습니다.

  • password— 데이터 보존 봇 암호.

  • s3_bucket_name— 메시지와 파일이 저장되는 Amazon S3 버킷의 이름. 설정하지 않으면 기본 파일 스트리밍이 사용됩니다.

  • s3_region— 메시지와 파일이 저장되는 Amazon S3 버킷의 AWS리전입니다.

  • s3_folder_name— 메시지 및 파일이 저장되는 Amazon S3 버킷의 선택 가능 폴더 이름입니다. 이 폴더 이름 앞에는 Amazon S3 버킷에 저장된 메시지 및 파일의 키가 표시됩니다.

  • kms_master_key_arn— Amazon S3 버킷에 저장하기 전에 데이터 보존 봇에 있는 메시지 파일 및 파일을 다시 암호화하는 데 사용되는 AWS KMS 마스터 키의 ARN.

  • kms_region— AWS KMS 마스터 키가 위치한 AWS 리전.

  • sns_topic_arn— 데이터 보존 이벤트를 전송할 Amazon SNS 주제의 ARN입니다.

AWS 서비스와 함께 데이터 보존을 사용하기 위한 IAM 정책

Wickr 데이터 보존 봇과 함께 다른 AWS 서비스를 사용하려는 경우, 호스트에 해당 서비스에 액세스할 수 있는 적절한 AWS Identity and Access Management (IAM) 역할과 정책이 있는지 확인해야 합니다. Secrets Manager, Amazon S3 CloudWatch, Amazon SNS 등을 사용하도록 데이터 보존 봇을 구성할 수 AWS KMS 있습니다. 다음 IAM 정책은 이러한 서비스에 대한 특정 작업에 대한 액세스를 허용합니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "secretsmanager:GetSecretValue",
                "sns:Publish",
                "cloudwatch:PutMetricData",
                "kms:GenerateDataKey"
            ],
            "Resource": "*"
        }
    ]
}

사용자는 호스트의 컨테이너가 액세스하도록 허용하려는 각 서비스의 특정 객체를 식별하여 보다 엄격한 IAM 정책을 만들 수 있습니다. 사용하지 않을 AWS 서비스에 대한 작업을 제거하십시오. 예를 들어, Amazon S3 버킷만 사용하려는 경우, secretsmanager:GetSecretValue sns:Publishkms:GenerateDataKey, 및 cloudwatch:PutMetricData 작업을 제거하는 다음 정책을 사용하십시오.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "s3:PutObject",
            "Resource": "*"
        }
    ]
}

Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스를 사용하여 데이터 보존 봇을 호스팅하는 경우, Amazon EC2의 일반적인 사례를 사용하는 IAM 역할을 생성하고 위의 정책 정의를 사용하여 정책을 할당하십시오.