Configure a retenção de dados - AWS Wickr
Pré-requisitosSenhaOpções de armazenamentoVariáveis de ambienteValores do Secrets ManagerPolítica do IAM para usar serviços AWS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configure a retenção de dados

Para configurar a retenção de dados para sua rede AWS Wickr, você deve implantar a imagem do Docker do bot de retenção de dados em um contêiner em um host, como um computador local ou uma instância no Amazon Elastic Compute Cloud (Amazon EC2). Depois que o bot for implantado, você poderá configurá-lo para armazenar dados localmente ou em um bucket do Amazon Simple Storage Service (Amazon S3). Você também pode configurar o bot de retenção de dados para usar outros AWS serviços como AWS Secrets Manager (Secrets Manager), Amazon CloudWatch (CloudWatch), Amazon Simple Notification Service (Amazon SNS) e (). AWS Key Management Service AWS KMS Os tópicos a seguir descrevem como configurar e executar o bot de retenção de dados para sua rede do Wickr.

Tópicos

Pré-requisitos para configurar a retenção de dados

Antes de começar, você deve obter o nome do bot de retenção de dados (rotulado como Nome do usuário) e a senha inicial do AWS Management Console para Wickr. Você deve especificar esses dois valores na primeira vez em que iniciar o bot de retenção de dados. Você também deve ativar a retenção de dados no console. Para ter mais informações, consulte Visualizar detalhes da retenção de dados.

Senha

Na primeira vez que você inicia o bot de retenção de dados, você deve especificar a senha inicial usando uma das seguintes opções:

  • A variável de ambiente WICKRIO_BOT_PASSWORD. As variáveis de ambiente do bot de retenção de dados são descritas na seção Variáveis de ambiente, mais para frente neste guia.

  • O valor da senha no Secrets Manager identificado pela variável de ambiente AWS_SECRET_NAME. Os valores do Secrets Manager para o bot de retenção de dados estão descritos na seção Valores do Secrets Manager, mais para frente neste guia.

  • Digite a senha quando solicitado pelo bot de retenção de dados. Você precisará executar o bot de retenção de dados com acesso TTY interativo usando a opção -ti.

Uma nova senha será gerada quando você configurar o bot de retenção de dados pela primeira vez. Se precisar reinstalar o bot de retenção de dados, use a senha gerada. A senha inicial não é válida após a instalação inicial do bot de retenção de dados.

A nova senha gerada será exibida conforme mostrado no exemplo a seguir.

Importante

Salve a senha em um lugar seguro. Se você perder a senha, você não poderá reinstalar o bot de retenção de dados. Não compartilhe essa senha. Ela fornece a capacidade de iniciar a retenção de dados para sua rede do Wickr.

********************************************************************
**** GENERATED PASSWORD
**** DO NOT LOSE THIS PASSWORD, YOU WILL NEED TO ENTER IT EVERY TIME
**** TO START THE BOT
 "HuEXAMPLERAW4lGgEXAMPLEn"
 ********************************************************************

Opções de armazenamento

Depois que a retenção de dados for ativada e o bot de retenção de dados estiver configurado para sua rede do Wickr, ele capturará todas as mensagens e arquivos enviados dentro de sua rede. As mensagens são salvas em arquivos limitados a um tamanho ou limite de tempo específicos que podem ser configurados usando uma variável de ambiente. Para ter mais informações, consulte Variáveis de ambiente.

Você pode configurar uma das seguintes opções para armazenar esses dados:

  • Armazene todas as mensagens e arquivos capturados localmente. Esta é a opção padrão. É sua responsabilidade mover os arquivos locais para outro sistema para armazenamento a longo prazo e garantir que o disco do host não fique sem memória ou espaço.

  • Armazene todas as mensagens e arquivos capturados em um bucket do Amazon S3. O bot de retenção de dados salvará todas as mensagens e arquivos descriptografados no bucket do Amazon S3 que você especificar. As mensagens e os arquivos capturados são removidos da máquina do host após serem salvos com sucesso no bucket.

  • Armazene todas as mensagens e arquivos capturados criptografados em um bucket do Amazon S3. O bot de retenção de dados irá recriptografar todas as mensagens e arquivos capturados usando uma chave fornecida por você e os salvará no bucket do Amazon S3 que você especificar. As mensagens e os arquivos capturados são removidos da máquina do host depois de serem recriptografados com sucesso e salvos no bucket. Você precisará de um software para descriptografar as mensagens e os arquivos.

    Para obter mais informações sobre como criar buckets do Amazon S3 para usar com seu bot de retenção de dados, consulte Criando um bucket, no Guia do usuário do Amazon S3

Variáveis de ambiente

É possível usar as seguintes variáveis de ambiente para definir o bot de retenção de dados. Você define essas variáveis de ambiente usando a opção -e ao executar a imagem do Docker do bot de retenção de dados. Para ter mais informações, consulte Inicie o bot de retenção de dados.

nota

Essas variáveis de ambiente são opcionais, a menos que especificado de outra forma.

Use as seguintes variáveis de ambiente para especificar as credenciais do bot de retenção de dados:

  • WICKRIO_BOT_NAME — o nome do bot de retenção de dados. Essa variável é necessária quando você executa a imagem do Docker do bot de retenção de dados.

  • WICKRIO_BOT_PASSWORD — a senha inicial do bot de retenção de dados. Para ter mais informações, consulte Pré-requisitos para configurar a retenção de dados. Essa variável é necessária se você não planeja iniciar o bot de retenção de dados com uma solicitação de senha ou não planeja usar o Secrets Manager para armazenar as credenciais do bot de retenção de dados.

Use as seguintes variáveis de ambiente para configurar os recursos de streaming de retenção de dados padrão:

  • WICKRIO_COMP_MESGDEST — o nome do caminho até o diretório onde as mensagens serão transmitidas. O valor padrão é /tmp/<botname>/compliance/messages.

  • WICKRIO_COMP_FILEDEST — o nome do caminho até o diretório em que os arquivos serão transmitidos. O valor padrão é /tmp/<botname>/compliance/attachments.

  • WICKRIO_COMP_BASENAME — o nome base dos arquivos de mensagens recebidas. O valor padrão é receivedMessages.

  • WICKRIO_COMP_FILESIZE — o tamanho máximo de arquivo de mensagens recebidas em kibibytes (Kib). Um novo arquivo é iniciado quando o tamanho máximo é atingido. O valor padrão é 1000000000, como em 1024 GiB.

  • WICKRIO_COMP_TIMEROTATE — a quantidade de tempo, em minutos, durante a qual o bot de retenção de dados colocará as mensagens recebidas em um arquivo de mensagens recebidas. Um novo arquivo é iniciado quando o limite de tempo é atingido. Você só pode usar o tamanho do arquivo ou o tempo para limitar o tamanho do arquivo de mensagens recebidas. O valor padrão é 0, como em “sem limite”.

Usar a seguinte variável de ambiente para definir o padrão Região da AWS a ser usado.

  • AWS_DEFAULT_REGION — o padrão Região da AWS a ser usado para serviços AWS como o Secrets Manager (não usado para Amazon S3 ou AWS KMS). A Região us-east-1 é usada por padrão, se essa variável de ambiente não estiver definida.

Use as seguintes variáveis de ambiente para especificar o segredo do Secrets Manager a ser usado quando você optar por usar o Secrets Manager para armazenar as credenciais do bot de retenção de dados e as informações do serviço AWS. Para obter mais informações sobre os valores que você pode armazenar no Secrets Manager, consulte Valores do Secrets Manager.

  • AWS_SECRET_NAME — o nome do segredo do Secrets Manager que contém as credenciais e as informações de serviço AWS necessárias para o bot de retenção de dados.

  • AWS_SECRET_REGION — o Região da AWS no qual o segredo AWS está localizado. Se você estiver usando AWS segredos e esse valor não estiver definido, o valor AWS_DEFAULT_REGION será usado.

nota

Você pode armazenar todas as seguintes variáveis de ambiente como valores no Secrets Manager. Se você optar por usar o Secrets Manager e armazenar esses valores lá, não precisará especificá-los como variáveis de ambiente ao executar a imagem do Docker do bot de retenção de dados. Basta especificar a variável de ambiente AWS_SECRET_NAME descrita anteriormente neste guia. Para ter mais informações, consulte Valores do Secrets Manager.

Use as seguintes variáveis de ambiente para especificar o bucket do Amazon S3 ao optar por armazenar mensagens e arquivos em um bucket.

  • WICKRIO_S3_BUCKET_NAME – o nome do bucket do Amazon S3 onde as mensagens e arquivos serão armazenados.

  • WICKRIO_S3_REGION – a Região AWS do bucket do Amazon S3 onde as mensagens e arquivos serão armazenados.

  • WICKRIO_S3_FOLDER_NAME – o nome da pasta opcional no bucket do Amazon S3 onde as mensagens e arquivos serão armazenados. O nome da pasta será precedido pela chave para as mensagens e arquivos salvos no bucket do Amazon S3.

Use as seguintes variáveis de ambiente para especificar os detalhes AWS KMS ao optar por usar a criptografia do lado do cliente para recriptografar os arquivos ao salvá-los em um bucket do Amazon S3.

  • WICKRIO_KMS_MSTRKEY_ARN — o nome do recurso da Amazon (ARN) da chave mestra AWS KMS usada para recriptografar os arquivos de mensagens e os arquivos no bot de retenção de dados antes de serem salvos no bucket do Amazon S3.

  • WICKRIO_KMS_REGION — a Região AWS onde a chave mestra AWS KMS está localizada.

Use a seguinte variável de ambiente para especificar os detalhes do Amazon SNS ao optar por enviar eventos de retenção de dados para um tópico do Amazon SNS. Os eventos enviados incluem startup, desligamento e condições de erro.

  • WICKRIO_SNS_TOPIC_ARN – o ARN do tópico do Amazon SNS para o qual você deseja enviar eventos de retenção de dados.

Use a variável de ambiente a seguir para enviar métricas de retenção de dados para CloudWatch. Se especificado, as métricas serão geradas a cada 60 segundos.

  • WICKRIO_METRICS_TYPE— Defina o valor dessa variável de ambiente como cloudwatch para a qual enviar métricas CloudWatch.

Valores do Secrets Manager

Você pode usar o Secrets Manager para armazenar as credenciais do bot de retenção de dados e as informações do serviço AWS. Para obter mais informações sobre a criação de segredos do Secrets Manager, consulte Crie um segredo AWS Secrets Manager no Manual do usuário do Secrets Manager.

O segredo do Secrets Manager pode ter os seguintes valores:

  • password – a senha do bot de retenção de dados.

  • s3_bucket_name – o nome do bucket do Amazon S3 onde as mensagens e arquivos serão armazenados. Se não for definido, o streaming de arquivos padrão será usado.

  • s3_region – a Região AWS do bucket do Amazon S3 onde as mensagens e arquivos serão armazenados.

  • s3_folder_name – o nome da pasta opcional no bucket do Amazon S3 onde as mensagens e arquivos serão armazenados. O nome da pasta será precedido pela chave para as mensagens e arquivos salvos no bucket do Amazon S3.

  • kms_master_key_arn – o ARN da chave mestra AWS KMS usada para recriptografar os arquivos de mensagens e arquivos no bot de retenção de dados antes de serem salvos no bucket do Amazon S3.

  • kms_region – a Região AWS onde a chave mestra AWS KMS está localizada.

  • sns_topic_arn – o ARN do tópico do Amazon SNS para o qual você deseja enviar eventos de retenção de dados.

Política do IAM para usar a retenção de dados com serviços AWS

Se você planeja usar outros serviços AWS com o bot de retenção de dados do Wickr, você deve garantir que o host tenha o perfil e a política (IAM) AWS Identity and Access Management apropriados para acessá-los. Você pode configurar o bot de retenção de dados para usar o Secrets Manager, Amazon S3 CloudWatch, Amazon SNS e. AWS KMS A política do IAM a seguir possibilita o acesso a ações específicas para esses serviços.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "secretsmanager:GetSecretValue",
                "sns:Publish",
                "cloudwatch:PutMetricData",
                "kms:GenerateDataKey"
            ],
            "Resource": "*"
        }
    ]
}

Você pode criar uma política do IAM mais rígida identificando os objetos específicos de cada serviço que você deseja permitir que os contêineres do seu host acessem. Remova as ações dos serviços AWS que você não pretende utilizar. Por exemplo, se você pretende usar somente um bucket do Amazon S3, use a política a seguir, que remove as ações secretsmanager:GetSecretValue, sns:Publish, kms:GenerateDataKey e cloudwatch:PutMetricData.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "s3:PutObject",
            "Resource": "*"
        }
    ]
}

Se você estiver usando uma instância do Amazon Elastic Compute Cloud (Amazon EC2) para hospedar seu bot de retenção de dados, crie um perfil do IAM usando o caso comum do Amazon EC2 e atribua uma política usando a definição de política acima.