本指南記載於 2025 年 3 月 13 日發行的新 AWS Wickr 管理主控台。如需 AWS Wickr 管理主控台傳統版本的文件,請參閱[傳統管理指南](https://docs.aws.amazon.com/wickr/latest/adminguide-classic/what-is-wickr.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定 AWS Wickr 的資料保留
若要設定 AWS Wickr 網路的資料保留,您必須將資料保留機器人 Docker 映像部署到主機上的容器,例如本機電腦或 Amazon Elastic Compute Cloud (Amazon EC2) 中的執行個體。部署機器人之後,您可以將其設定為在本機或 Amazon Simple Storage Service (Amazon S3) 儲存貯體中存放資料。您也可以將資料保留機器人設定為使用其他服務, AWS 例如 AWS Secrets Manager (Secrets Manager)、Amazon CloudWatch (CloudWatch)、Amazon Simple Notification Service (Amazon SNS) 和 AWS Key Management Service ()AWS KMS。下列主題說明如何設定和執行 Wickr 網路的資料保留機器人。
**Topics**
+ [設定 AWS Wickr 資料保留的先決條件](#data-retention-prerequisites)
+ [AWS Wickr 中資料保留機器人的密碼](data-retention-password.md)
+ [AWS Wickr 網路的儲存選項](data-retention-storage-options.md)
+ [在 AWS Wickr 中設定資料保留機器人的環境變數](data-retention-bot-env-variables.md)
+ [AWS Wickr 的 Secrets Manager 值](data-retention-aws-secret-values.md)
+ [搭配 AWS 服務使用資料保留的 IAM 政策](data-retention-aws-services.md)
+ [啟動 Wickr 網路的資料保留機器人](starting-data-retention-bot.md)
+ [停止 Wickr 網路的資料保留機器人](stopping-data-retention-bot.md)
## 設定 AWS Wickr 資料保留的先決條件
開始使用之前,您必須從適用於 Wickr AWS 管理主控台 的 取得資料保留機器人名稱 (標記為**使用者名稱**) 和初始密碼。您必須在第一次啟動資料保留機器人時指定這兩個值。您還必須在 主控台中啟用資料保留。如需詳細資訊,請參閱[在 AWS Wickr 中檢視資料保留詳細資訊](view-data-retention-details.md)。
# AWS Wickr 中資料保留機器人的密碼
第一次啟動資料保留機器人時,您可以使用下列其中一個選項來指定初始密碼:
+ `WICKRIO_BOT_PASSWORD` 環境變數。本指南稍後的 [在 AWS Wickr 中設定資料保留機器人的環境變數](data-retention-bot-env-variables.md)一節概述了資料保留機器人環境變數。
+ `AWS_SECRET_NAME` 環境變數在 Secrets Manager 中識別**的密碼**值。本指南稍後的 [AWS Wickr 的 Secrets Manager 值](data-retention-aws-secret-values.md)一節概述了資料保留機器人的 Secrets Manager 值。
+ 在資料保留機器人提示時輸入密碼。您將需要使用 `-ti`選項搭配互動式 TTY 存取來執行資料保留機器人。
第一次設定資料保留機器人時,會產生新密碼。如果您需要重新安裝資料保留機器人,請使用產生的密碼。初始密碼在初始安裝資料保留機器人之後無效。
新產生的密碼會顯示如下範例所示。
**重要**
將密碼儲存於安全處。如果您遺失密碼,您將無法重新安裝資料保留機器人。請勿共用此密碼。它可讓您開始 Wickr 網路的資料保留。
```
********************************************************************
**** GENERATED PASSWORD
**** DO NOT LOSE THIS PASSWORD, YOU WILL NEED TO ENTER IT EVERY TIME
**** TO START THE BOT
"HuEXAMPLERAW4lGgEXAMPLEn"
********************************************************************
```
# AWS Wickr 網路的儲存選項
啟用資料保留並為您的 Wickr 網路設定資料保留機器人後,它會擷取網路內傳送的所有訊息和檔案。訊息會儲存在檔案內,這些檔案僅限於可使用 環境變數設定的特定大小或時間限制。如需詳細資訊,請參閱[在 AWS Wickr 中設定資料保留機器人的環境變數](data-retention-bot-env-variables.md)。
您可以設定下列其中一個選項來存放此資料:
+ 將所有擷取的訊息和檔案儲存在本機。此為預設選項。您有責任將本機檔案移至另一個系統以進行長期儲存,並確保主機磁碟不會用盡記憶體或空間。
+ 將所有擷取的訊息和檔案儲存在 Amazon S3 儲存貯體中。資料保留機器人會將所有解密的訊息和檔案儲存至您指定的 Amazon S3 儲存貯體。擷取的訊息和檔案在成功儲存到儲存貯體後,會從主機機器中移除。
+ 將所有擷取的訊息和檔案儲存在 Amazon S3 儲存貯體中加密。資料保留機器人將使用您提供的金鑰重新加密所有擷取的訊息和檔案,並將其儲存至您指定的 Amazon S3 儲存貯體。擷取的訊息和檔案成功重新加密並儲存到儲存貯體後,就會從主機機器中移除。您需要軟體來解密訊息和檔案。
如需建立 Amazon S3 儲存貯體以搭配資料保留機器人使用的詳細資訊,請參閱《*Amazon S3 使用者指南*》中的[建立儲存貯體](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html)
# 在 AWS Wickr 中設定資料保留機器人的環境變數
您可以使用下列環境變數來設定資料保留機器人。當您執行資料保留機器人 Docker 映像時,您可以使用 `-e`選項來設定這些環境變數。如需詳細資訊,請參閱[啟動 Wickr 網路的資料保留機器人](starting-data-retention-bot.md)。
**注意**
除非另有指定,否則這些環境變數為選用。
使用下列環境變數來指定資料保留機器人登入資料:
+ `WICKRIO_BOT_NAME` — 資料保留機器人的名稱。當您執行資料保留機器人 Docker 映像時,*需要*此變數。
+ `WICKRIO_BOT_PASSWORD` — 資料保留機器人的初始密碼。如需詳細資訊,請參閱[設定 AWS Wickr 資料保留的先決條件](configure-data-retention.md#data-retention-prerequisites)。** 如果您不打算使用密碼提示啟動資料保留機器人,或者不打算使用 Secrets Manager 來存放資料保留機器人憑證,則需要此變數。
使用下列環境變數來設定預設資料保留串流功能:
+ `WICKRIO_COMP_MESGDEST` – 要串流訊息的目錄路徑名稱。預設值為 `/tmp//compliance/messages`。
+ `WICKRIO_COMP_FILEDEST` – 要串流檔案的目錄路徑名稱。預設值為 `/tmp//compliance/attachments`。
+ `WICKRIO_COMP_BASENAME` – 接收的訊息檔案的基本名稱。預設值為 `receivedMessages`。
+ `WICKRIO_COMP_FILESIZE` – 所接收訊息檔案的檔案大小上限,以 KB (KiB) 為單位。達到大小上限時,就會啟動新檔案。預設值為 `1000000000`,如 1024 GiB 所示。
+ `WICKRIO_COMP_TIMEROTATE` – 資料保留機器人將接收訊息放入接收訊息檔案中的時間,以分鐘為單位。達到時間限制時,就會啟動新檔案。您只能使用檔案大小或時間來限制接收訊息檔案的大小。預設值為 `0`,無限制。
使用下列環境變數來定義 AWS 區域 要使用的預設值。
+ `AWS_DEFAULT_REGION` – AWS 區域 用於 Secrets Manager 等 AWS 服務的預設值 (不適用於 Amazon S3 或 AWS KMS)。如果未定義此環境變數,則預設會使用 `us-east-1`區域。
當您選擇使用 Secrets Manager 來存放資料保留機器人憑證 AWS 和服務資訊時,請使用下列環境變數來指定要使用的 Secrets Manager 秘密。如需您可以在 Secrets Manager 中存放之值的詳細資訊,請參閱 [AWS Wickr 的 Secrets Manager 值](data-retention-aws-secret-values.md)。
+ `AWS_SECRET_NAME` – Secrets Manager 秘密的名稱,其中包含資料保留機器人所需的登入 AWS 資料和服務資訊。
+ `AWS_SECRET_REGION` – AWS 區域 AWS 秘密所在的 。如果您使用的是 AWS 秘密,但未定義此值,則會使用該`AWS_DEFAULT_REGION`值。
**注意**
您可以將下列所有環境變數儲存為 Secrets Manager 中的值。如果您選擇使用 Secrets Manager,並將這些值存放在該處,則不需要在執行資料保留機器人 Docker 映像時將其指定為環境變數。您只需要指定本指南先前所述的`AWS_SECRET_NAME`環境變數。如需詳細資訊,請參閱[AWS Wickr 的 Secrets Manager 值](data-retention-aws-secret-values.md)。
當您選擇將訊息和檔案儲存至儲存貯體時,請使用下列環境變數來指定 Amazon S3 儲存貯體。
+ `WICKRIO_S3_BUCKET_NAME` – 存放訊息和檔案的 Amazon S3 儲存貯體名稱。
+ `WICKRIO_S3_REGION` – 存放訊息和檔案的 Amazon S3 儲存貯體 AWS 區域。
+ `WICKRIO_S3_FOLDER_NAME` – Amazon S3 儲存貯體中儲存訊息和檔案的選用資料夾名稱。此資料夾名稱前面會加上 金鑰,用於儲存到 Amazon S3 儲存貯體的訊息和檔案。
當您選擇使用用戶端加密將檔案儲存至 Amazon S3 儲存貯體時,請使用下列環境變數來指定 AWS KMS 詳細資訊。
+ `WICKRIO_KMS_MSTRKEY_ARN` – AWS KMS 主金鑰的 Amazon Resource Name (ARN),用於在儲存到 Amazon S3 儲存貯體之前,重新加密資料保留機器人上的訊息檔案和檔案。
+ `WICKRIO_KMS_REGION` – 主金鑰所在的 AWS 區域 AWS KMS 。
當您選擇將資料保留事件傳送至 Amazon SNS 主題時,請使用下列環境變數來指定 Amazon SNS 詳細資訊。傳送的事件包括啟動、關閉以及錯誤條件。
+ `WICKRIO_SNS_TOPIC_ARN` – 您希望資料保留事件傳送至的 Amazon SNS 主題 ARN。
使用下列環境變數將資料保留指標傳送至 CloudWatch。如果指定,則會每 60 秒產生一次指標。
+ `WICKRIO_METRICS_TYPE` – 將此環境變數的值設定為 `cloudwatch`,以將指標傳送至 CloudWatch。
# AWS Wickr 的 Secrets Manager 值
您可以使用 Secrets Manager 來存放資料保留機器人登入資料 AWS 和服務資訊。如需建立 Secrets Manager 秘密的詳細資訊,請參閱《[AWS Secrets Manager Secrets Manager 使用者指南》中的建立](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create_secret.html)*秘密*。
Secrets Manager 秘密可以有下列值:
+ `password` – 資料保留機器人密碼。
+ `s3_bucket_name` – 存放訊息和檔案的 Amazon S3 儲存貯體名稱。如果未設定,則會使用預設檔案串流。
+ `s3_region` – 存放訊息和檔案的 Amazon S3 儲存貯體 AWS 區域。
+ `s3_folder_name` – Amazon S3 儲存貯體中儲存訊息和檔案的選用資料夾名稱。此資料夾名稱前面會加上 金鑰,用於儲存到 Amazon S3 儲存貯體的訊息和檔案。
+ `kms_master_key_arn` – AWS KMS 主金鑰的 ARN,用於在儲存到 Amazon S3 儲存貯體之前,重新加密資料保留機器人上的訊息檔案和檔案。
+ `kms_region` – AWS KMS 主金鑰所在的 AWS 區域。
+ `sns_topic_arn` – 您希望資料保留事件傳送至的 Amazon SNS 主題 ARN。
# 搭配 AWS 服務使用資料保留的 IAM 政策
如果您計劃 AWS 搭配 Wickr 資料保留機器人使用其他服務,您必須確保主機具有適當的 AWS Identity and Access Management (IAM) 角色和政策來存取它們。您可以設定資料保留機器人來使用 Secrets Manager、Amazon S3、CloudWatch、Amazon SNS 和 AWS KMS。下列 IAM 政策允許存取這些服務的特定動作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"secretsmanager:GetSecretValue",
"sns:Publish",
"cloudwatch:PutMetricData",
"kms:GenerateDataKey"
],
"Resource": "*"
}
]
}
```
------
您可以透過識別您要允許主機上容器存取之每個服務的特定物件,來建立更嚴格的 IAM 政策。移除您不打算使用之 AWS 服務的 動作。例如,如果您打算僅使用 Amazon S3 儲存貯體,請使用下列政策,這會移除 `secretsmanager:GetSecretValue`、`sns:Publish`、 `kms:GenerateDataKey`和 `cloudwatch:PutMetricData`動作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "*"
}
]
}
```
------
如果您使用 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體託管資料保留機器人,請使用 Amazon EC2 常見案例建立 IAM 角色,並使用上述政策定義指派政策。
# 啟動 Wickr 網路的資料保留機器人
在執行資料保留機器人之前,您應該決定如何設定它。如果您計劃在符合下列條件的主機上執行機器人:
+ 無法存取 AWS 服務,則您的選項會受到限制。在這種情況下,您將使用預設訊息串流選項。您應該決定要將擷取的訊息檔案大小限制為特定大小或時間間隔。如需詳細資訊,請參閱[在 AWS Wickr 中設定資料保留機器人的環境變數](data-retention-bot-env-variables.md)。
+ 將可存取 AWS 服務,然後您應該建立 Secrets Manager 秘密來存放機器人登入 AWS 資料和服務組態詳細資訊。設定 AWS 服務之後,您可以繼續啟動資料保留機器人 Docker 映像。如需可存放在 Secrets Manager 秘密中詳細資訊的詳細資訊,請參閱 [AWS Wickr 的 Secrets Manager 值](data-retention-aws-secret-values.md)
下列各節顯示執行資料保留機器人 Docker 映像的範例命令。在每個範例命令中,將下列範例值取代為您自己的值:
+ `compliance_1234567890_bot` 資料保留機器人的名稱。
+ `password` 資料保留機器人的密碼。
+ `wickr/data/retention/bot` 包含要與資料保留機器人搭配使用的 Secrets Manager 秘密名稱。
+ `bucket-name` 儲存訊息和檔案的 Amazon S3 儲存貯體名稱。
+ `folder-name` Amazon S3 儲存貯體中存放訊息和檔案的資料夾名稱。
+ `us-east-1` 您指定之資源 AWS 的區域。例如, AWS KMS 主金鑰的區域或 Amazon S3 儲存貯體的區域。
+ `arn:aws:kms:us-east-1:111122223333:key/12345678-1234-abcde-a617-abababababab` 使用 AWS KMS 主金鑰的 Amazon Resource Name (ARN) 來重新加密訊息檔案和檔案。
# 使用密碼環境變數啟動機器人 (無 AWS 服務)
下列 Docker 命令會啟動資料保留機器人。密碼是使用 `WICKRIO_BOT_PASSWORD`環境變數來指定。機器人開始使用預設檔案串流,並使用本指南 [在 AWS Wickr 中設定資料保留機器人的環境變數](data-retention-bot-env-variables.md)區段中定義的預設值。
```
docker run -v /opt/compliance_1234567890_bot:/tmp/compliance_1234567890_bot \
-d --restart on-failure:5 --name="compliance_1234567890_bot" -ti \
-e WICKRIO_BOT_NAME='compliance_1234567890_bot' \
-e WICKRIO_BOT_PASSWORD='password' \
wickr/bot-compliance-cloud:latest
```
# 使用密碼提示啟動機器人 (無 AWS 服務)
下列 Docker 命令會啟動資料保留機器人。當資料保留機器人提示時,會輸入密碼。它會使用本指南 [在 AWS Wickr 中設定資料保留機器人的環境變數](data-retention-bot-env-variables.md)區段中定義的預設值,開始使用預設檔案串流。
```
docker run -v /opt/compliance_1234567890_bot:/tmp/compliance_1234567890_bot \
-d --restart on-failure:5 --name="compliance_1234567890_bot" -ti \
-e WICKRIO_BOT_NAME='compliance_1234567890_bot' \
wickr/bot-compliance-cloud:latest
docker attach compliance_1234567890_bot
.
.
.
Enter the password:************
Re-enter the password:************
```
使用 `-ti`選項執行機器人,以接收密碼提示。您也應該在啟動 docker 映像後立即執行`docker attach `命令,以取得密碼提示。您應該在指令碼中執行這兩個命令。如果您連接到 Docker 影像,但未看到提示,請按 **Enter**,您會看到提示。
# 以 15 分鐘的訊息檔案輪換啟動機器人 (無 AWS 服務)
下列 Docker 命令會使用環境變數啟動資料保留機器人。它也會將其設定為將接收的訊息檔案輪換為 15 分鐘。
```
docker run -v /opt/compliance_1234567890_bot:/tmp/compliance_1234567890_bot --network=host \
-d --restart on-failure:5 --name="compliance_1234567890_bot" -ti \
-e WICKRIO_BOT_NAME='compliance_1234567890_bot' \
-e WICKRIO_BOT_PASSWORD='password' \
-e WICKRIO_COMP_TIMEROTATE=15 \
wickr/bot-compliance-cloud:latest
```
# 啟動機器人並使用 Secrets Manager 指定初始密碼
您可以使用 Secrets Manager 來識別資料保留機器人的密碼。啟動資料保留機器人時,您需要設定環境變數,指定存放此資訊的 Secrets Manager。
```
docker run -v /opt/compliance_1234567890_bot:/tmp/compliance_1234567890_bot --network=host \
-d --restart on-failure:5 --name="compliance_1234567890_bot" -ti \
-e WICKRIO_BOT_NAME='compliance_1234567890_bot' \
-e AWS_SECRET_NAME='wickrpro/alpha/new-3-bot' \
wickr/bot-compliance-cloud:latest
```
`wickrpro/compliance/compliance_1234567890_bot` 秘密中的秘密值如下,顯示為純文字。
```
{
"password":"password"
}
```
# 啟動機器人並使用 Secrets Manager 設定 Amazon S3
您可以使用 Secrets Manager 來託管登入資料和 Amazon S3 儲存貯體資訊。啟動資料保留機器人時,您需要設定環境變數,指定存放此資訊的 Secrets Manager。
```
docker run -v /opt/compliance_1234567890_bot:/tmp/compliance_1234567890_bot --network=host \
-d --restart on-failure:5 --name="compliance_1234567890_bot" -ti \
-e WICKRIO_BOT_NAME='compliance_1234567890_bot' \
-e AWS_SECRET_NAME='wickrpro/alpha/compliance_1234567890_bot' \
wickr/bot-compliance-cloud:latest
```
`wickrpro/compliance/compliance_1234567890_bot` 秘密中的秘密值如下,顯示為純文字。
```
{
"password":"password",
"s3_bucket_name":"bucket-name",
"s3_region":"us-east-1",
"s3_folder_name":"folder-name"
}
```
機器人收到的訊息和檔案會放入名為 的資料夾中的 `bot-compliance`儲存貯體`network1234567890`。
# 啟動機器人並使用 AWS KMS Secrets Manager 設定 Amazon S3 和
您可以使用 Secrets Manager 來託管登入資料、Amazon S3 儲存貯體和 AWS KMS 主金鑰資訊。啟動資料保留機器人時,您需要設定環境變數,指定存放此資訊的 Secrets Manager。
```
docker run -v /opt/compliance_1234567890_bot:/tmp/compliance_1234567890_bot --network=host \
-d --restart on-failure:5 --name="compliance_1234567890_bot" -ti \
-e WICKRIO_BOT_NAME='compliance_1234567890_bot' \
-e AWS_SECRET_NAME='wickrpro/alpha/compliance_1234567890_bot' \
wickr/bot-compliance-cloud:latest
```
`wickrpro/compliance/compliance_1234567890_bot` 秘密中的秘密值如下,顯示為純文字。
```
{
"password":"password",
"s3_bucket_name":"bucket-name",
"s3_region":"us-east-1",
"s3_folder_name":"folder-name",
"kms_master_key_arn":"arn:aws:kms:us-east-1:111122223333:key/12345678-1234-abcde-a617-abababababab",
"kms_region":"us-east-1"
}
```
機器人收到的訊息和檔案將使用 ARN 值識別的 KMS 金鑰加密,然後放入名為「network1234567890」的資料夾中的「機器人合規」儲存貯體。請確定您已設定適當的 IAM 政策。
# 啟動機器人並使用環境變數設定 Amazon S3
如果您不想使用 Secrets Manager 託管資料保留機器人登入資料,您可以使用下列環境變數啟動資料保留機器人 Docker 映像。您必須使用 `WICKRIO_BOT_NAME`環境變數來識別資料保留機器人的名稱。
```
docker run -v /opt/compliance_1234567890_bot:/tmp/compliance_1234567890_bot --network=host \
-d --restart on-failure:5 --name="compliance_1234567890_bot" -ti \
-e WICKRIO_BOT_NAME='compliance_1234567890_bot' \
-e WICKRIO_BOT_PASSWORD='password' \
-e WICKRIO_S3_BUCKET_NAME='bot-compliance' \
-e WICKRIO_S3_FOLDER_NAME='network1234567890' \
-e WICKRIO_S3_REGION='us-east-1' \
wickr/bot-compliance-cloud:latest
```
您可以使用環境值來識別資料保留機器人的登入資料、Amazon S3 儲存貯體的相關資訊,以及預設檔案串流的組態資訊。
# 停止 Wickr 網路的資料保留機器人
在資料保留機器人上執行的軟體會擷取`SIGTERM`訊號並正常關閉。使用 `docker stop `命令,如下列範例所示,向資料保留機器人 Docker 映像發出 `SIGTERM`命令。
```
docker stop compliance_1234567890_bot
```