本指南记录了 2025 年 3 月 13 日发布的全新 AWS Wickr 管理控制台。有关经典版 AWS Wickr 管理控制台的文档，请参阅[经典管理指南](https://docs.aws.amazon.com/wickr/latest/adminguide-classic/what-is-wickr.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在 AWS 服务中使用数据保留的 IAM 政策
<a name="data-retention-aws-services"></a>

如果您计划在 Wickr 数据保留机器人中使用其他 AWS 服务，则必须确保主机具有相应的 AWS Identity and Access Management (IAM) 角色和策略来访问这些服务。你可以将数据保留机器人配置为使用 Secrets Manager、Amazon S3、 CloudWatch、Amazon SNS 和。 AWS KMS以下 IAM policy授予这些服务的特定操作所需的访问权限。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "secretsmanager:GetSecretValue",
                "sns:Publish",
                "cloudwatch:PutMetricData",
                "kms:GenerateDataKey"
            ],
            "Resource": "*"
        }
    ]
}
```

------

您可以通过识别您希望允许主机上的容器访问的每项服务的特定对象来创建更严格的 IAM policy。移除您不打算使用的 AWS 服务的操作。例如，如果您打算仅使用 Amazon S3 存储桶，则使用以下策略，该策略会删除 `secretsmanager:GetSecretValue`、`sns:Publish`、`kms:GenerateDataKey` 和 `cloudwatch:PutMetricData` 操作。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "s3:PutObject",
            "Resource": "*"
        }
    ]
}
```

------

如果您使用 Amazon Elastic Compute Cloud (Amazon EC2) 实例来托管您的数据留存机器人，请使用亚马逊 Amazon EC2 常见案例创建 IAM 角色并使用上面的策略定义分配策略。