本指南记录了 2025 年 3 月 13 日发布的全新 AWS Wickr 管理控制台。有关经典版 AWS Wickr 管理控制台的文档，请参阅[经典管理指南](https://docs.aws.amazon.com/wickr/latest/adminguide-classic/what-is-wickr.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 管理 AWS Wickr 网络
<a name="managing-network"></a>

在 f AWS 管理控制台 or Wickr 中，你可以管理你的 Wickr 网络名称、安全组、SSO 配置和数据保留设置。

**Topics**
+ [AWS Wickr 的网络详情](network-profile.md)
+ [AWS Wickr 的安全组](security-groups.md)
+ [AWS Wickr 的单点登录配置](sso-configuration.md)
+ [AWS Wickr 的网络标签](network-tags.md)
+ [阅读 AWS Wickr 的收据](read-receipts.md)
+ [管理 AWS Wickr 的网络计划](manage-plan.md)
+ [AWS Wickr 的数据保留](data-retention.md)
+ [什么是 ATAK？](what-is-atak.md)
+ [允许列出 Wickr 网络的端口和域名](allow-list-ports-domains.md)
+ [GovCloud 跨界分类和联合](govcloud-cross-boundary.md)
+ [AWS Wickr 的文件预览](file-preview.md)

# AWS Wickr 的网络详情
<a name="network-profile"></a>

您可以在 for Wickr 的 “网络**详情” 部分中编辑 Wickr 网络**名称并查看您的网络 ID。 AWS 管理控制台 

**Topics**
+ [在 AWS Wickr 中查看网络详情](view-network-profile.md)
+ [在 AWS Wickr 中编辑网络名称](edit-network-name.md)
+ [在 AWS Wickr 中删除网络](delete-network.md)

# 在 AWS Wickr 中查看网络详情
<a name="view-network-profile"></a>

您可以查看 Wickr 网络的详细信息，包括您的网络名称和网络 ID。

完成以下过程以查看 Wickr 网络配置文件和网络 ID。

1. 在 f AWS 管理控制台 or Wickr 上[https://console.aws.amazon.com/wickr/](https://console.aws.amazon.com/wickr/)打开。

1. 在 “**网络**” 页面上，找到要查看的网络。

1. 在要查看的网络的右侧，选择垂直省略号图标（三个点），然后选择**查看**详细信息。

   **网络主页**在 “网络**详情” 部分中显示您的 Wickr 网络名称和网络** ID。您可以使用网络 ID 来配置联合身份验证。

# 在 AWS Wickr 中编辑网络名称
<a name="edit-network-name"></a>

您可以编辑 Wickr 网络的名称。

完成以下过程以编辑 Wickr 网络名称。

1. 在 f AWS 管理控制台 or Wickr 上[https://console.aws.amazon.com/wickr/](https://console.aws.amazon.com/wickr/)打开。

1. 在 “**网络**” 页面上，选择网络名称以导航到该网络的 Wickr 管理控制台。

1. 在**网络主页**的**网络详细信息**部分，选择**编辑**。

1. 在**网络名称**文本框中输入新的网络名称。

1. 选择 “**保存**” 以保存您的新网络名称。

# 在 AWS Wickr 中删除网络
<a name="delete-network"></a>

您可以删除您的 AWS Wickr 网络。

**注意**  
如果您删除了付费免费试用网络，则将无法再创建一个。

**要在 Networks 主页上删除您的 Wickr 网络，请完成以下步骤**。

1. 在 f AWS 管理控制台 or Wickr 上[https://console.aws.amazon.com/wickr/](https://console.aws.amazon.com/wickr/)打开。

1. 在 “**网络**” 页面上，找到要删除的网络。

1. 在要删除的网络的右侧，选择垂直省略号图标（三个点），然后选择**删除**网络。

1. 在弹出窗口中键入**确认**，然后选择**删除**。

   网络可能需要几分钟才能删除。

**要在网络中删除您的 Wickr 网络，请完成以下步骤**。

1. 在 f AWS 管理控制台 or Wickr 上[https://console.aws.amazon.com/wickr/](https://console.aws.amazon.com/wickr/)打开。

1. 在 “**网络**” 页面上，选择要删除的网络。

1. 在**网络主页**右上角附近，选择**删除网络**。

1. 在弹出窗口中键入**确认**，然后选择**删除**。

   网络可能需要几分钟才能删除。
**注意**  
删除网络时，您的数据保留配置（如果启用）保留的数据不会被删除。有关更多信息，请参阅 [AWS Wickr 的数据保留](https://docs.aws.amazon.com//wickr/latest/adminguide/data-retention.html)。

# AWS Wickr 的安全组
<a name="security-groups"></a>

在 for Wickr AWS 管理控制台 的 “**安全组**” 部分，您可以管理安全组及其设置，例如密码复杂性策略、消息首选项、呼叫功能、安全功能和网络联合。

**Topics**
+ [在 AWS Wickr 中查看安全组](view-security-groups.md)
+ [在 AWS Wickr 中创建安全组](create-security-group.md)
+ [在 AWS Wickr 中编辑安全组](edit-security-group.md)
+ [在 AWS Wickr 中删除安全组](delete-security-group.md)

# 在 AWS Wickr 中查看安全组
<a name="view-security-groups"></a>

您可以查看 Wickr 安全组的详细信息。

完成以下过程以查看安全组。

1. 在 f AWS 管理控制台 or Wickr 上[https://console.aws.amazon.com/wickr/](https://console.aws.amazon.com/wickr/)打开。

1. 在 “**网络**” 页面上，选择要导航到该网络的网络名称。

1. 在导航窗格中，选择**安全组**。

   **安全组**页面显示您当前的 Wickr 安全组，并允许您选择创建新组。

   在**安全组**页面上，选择要查看的安全组。该页面将显示该安全组的当前详细信息。

# 在 AWS Wickr 中创建安全组
<a name="create-security-group"></a>

您可以创建新的 Wickr 安全组。

完成以下过程以创建安全组。

1. 在 f AWS 管理控制台 or Wickr 上[https://console.aws.amazon.com/wickr/](https://console.aws.amazon.com/wickr/)打开。

1. 在 “**网络**” 页面上，选择要导航到该网络的网络名称。

1. 在导航窗格中，选择**安全组**。

1. 在**安全组**页面上，选择**创建安全组**以创建新的安全组。
**注意**  
具有默认名称的新安全组将自动添加到安全组列表。

1. 在**创建安全组**页面上，输入您的安全组的名称。

1. 选择**创建安全组**。

   有关编辑新安全组的更多信息，请参阅 [在 AWS Wickr 中编辑安全组](edit-security-group.md)。

# 在 AWS Wickr 中编辑安全组
<a name="edit-security-group"></a>

您可以编辑 Wickr 安全组的详细信息。

完成以下过程以编辑安全组。

1. 在 f AWS 管理控制台 or Wickr 上[https://console.aws.amazon.com/wickr/](https://console.aws.amazon.com/wickr/)打开。

1. 在 “**网络**” 页面上，选择要导航到该网络的网络名称。

1. 在导航窗格中，选择**安全组**。

1. 选择要编辑的安全组的名称。

   安全组详细信息页面在不同的选项卡中显示安全组的设置。

1. 以下选项卡和相应的设置可用：
   + **安全组详细信息**-在**安全组详细信息**部分选择**编辑**以编辑名称。
   + **消息** — 管理群组成员的消息传递功能。
     + **B urn-on-read** — 控制用户可以在 Wickr 客户端中为其 burn-on-read计时器设置的最大值。有关更多信息，请参阅[在 Wickr 客户端中设置消息到期时间和刻录计时器](https://docs.aws.amazon.com//wickr/latest/userguide/message-timers.html)。
     + **过期计时器** — 控制用户可以在 Wickr 客户端中为消息过期计时器设置的最大值。有关更多信息，请参阅[在 Wickr 客户端中设置消息到期时间和刻录计时器](https://docs.aws.amazon.com//wickr/latest/userguide/message-timers.html)。
     + **消息转发**-控制用户是否可以在其 Wickr 客户端中转发消息。有关更多信息，请参阅在 [Wickr 客户端中转发消息](https://docs.aws.amazon.com//wickr/latest/userguide/message-forwarding.html)。
     + **快速回复**-设置快速回复列表，供用户回复消息。
     + **安全碎纸机强度**-为用户配置安全碎纸机控件的运行频率。有关更多信息，请参阅[消息](https://docs.aws.amazon.com//wickr/latest/enterpriseadminguide/messaging.html)。
   + **通话** — 管理群组成员的呼叫功能。
     + **启用音频通话**-用户可以发起音频通话。
     + **启用视频通话和屏幕共享**-用户可以在通话期间开始视频通话或共享屏幕。
     + **TCP 呼叫** — 当组织的 IT 或安全部门不允许使用标准 VoIP UDP 端口时，通常使用启用（或强制）TCP 呼叫。如果 TCP 调用被禁用，并且无法使用 UDP 端口，Wickr 客户端将首先尝试 UDP，然后回退到 TCP。
   + **媒体和链接**-为群组成员管理与媒体和链接相关的设置。

     **文件下载大小**-选择 “**最佳质量传输**”，允许用户以原始加密形式传输文件和附件。如果您选择**低带宽传输**，Wickr 文件传输服务将压缩用户在 Wickr 中发送的文件附件。
   + **位置**-管理群组成员的位置共享设置。

     **位置共享** — 用户可以使用支持 GPS 的设备共享其位置。此功能根据设备的操作系统默认值显示可视地图。用户可以选择禁用地图视图并共享包含其 GPS 坐标的链接。
   + **安全** — 为群组配置其他安全功能。
     + **启用账户接管保护**-当用户向其账户添加新设备时，强制执行双重身份验证。要验证新设备，用户可以从其旧设备生成 Wickr 代码，或者执行电子邮件验证。这是一层额外的安全保护，可防止未经授权访问 AWS Wickr 账户。
     + **启用始终重新身份验证**-强制用户在重新进入应用程序时始终重新进行身份验证。
     + **主恢复密钥**-创建账户时创建主恢复密钥。如果没有其他设备可用，用户可以批准在其帐户中添加新设备。
   + **通知和可见性**-为群组成员配置通知和可见性设置，例如通知中的消息预览。
   + **Wickr 开放访问权限** — 为群组成员配置 Wickr 开放访问设置。
     + **启用 Wickr 开放访问** — 启用 Wickr 开放访问将掩盖流量，以保护受限和受监控网络上的数据。根据地理位置，Wickr开放访问将连接到各种全球代理服务器，这些代理服务器为流量混淆提供了最佳路径和协议。
     + **强制 Wickr 开放访问** — 在所有设备上自动启用和强制执行 Wickr 开放访问。
   + **联邦** — 控制您的用户与其他 Wickr 网络通信的能力。
     + **本地联**合-能够与同一区域内其他网络中的 AWS 用户联合。例如，如果 AWS 加拿大（中部）地区有两个网络启用了本地联合，则它们将能够相互通信。
     + **全球联**合 — 能够与 Wickr Enterprise AWS 用户或不同网络中属于其他区域的用户进行联合。例如， AWS 加拿大（中部）地区的 Wickr 网络上的用户和 AWS 欧洲（伦敦）区域的网络中的一个用户在两个网络**上**都开启了全球联合后，将能够相互通信。
     + **受限联合 — 允许列出用户可以联合**的特定 AWS Wickr 或 Wickr Enterprise 网络。配置后，用户只能在允许列出的网络中与外部用户通信。两个网络都必须允许相互列出才能使用受限联合。

       有关访客联合的信息，请参阅在 [AWS Wickr 网络中启用或禁用访客用户](https://docs.aws.amazon.com//wickr/latest/adminguide/guest-users-enable-disable.html)。
   + **ATAK 插件配置** — 有关启用 ATAK 的更多信息，请参阅[什么是](https://docs.aws.amazon.com//wickr/latest/adminguide/what-is-atak.html) ATAK？ 。

1. 选择 “**保**存” 以保存您对安全组详细信息所做的编辑。

# 在 AWS Wickr 中删除安全组
<a name="delete-security-group"></a>

您可以删除您的 Wickr 安全组。

完成以下过程以删除安全组。

1. 在 f AWS 管理控制台 or Wickr 上[https://console.aws.amazon.com/wickr/](https://console.aws.amazon.com/wickr/)打开。

1. 在 “**网络**” 页面上，选择要导航到该网络的网络名称。

1. 在导航窗格中，选择**安全组**。

1. 在**安全组**页面上，找到要删除的安全组。

1. **在要删除的安全组的右侧，选择垂直省略号图标（三个点），然后选择删除。**

1. 在弹出窗口中键入**确认**，然后选择**删除**。

   删除已分配用户的安全组时，这些用户会自动添加到默认安全组。要修改分配给用户的安全组，请参阅[在 AWS Wickr 网络中编辑用户](edit-users.md)。

# AWS Wickr 的单点登录配置
<a name="sso-configuration"></a>

在 f AWS 管理控制台 or Wickr 中，您可以将 Wickr 配置为使用单点登录系统进行身份验证。SSO 与适当的多重身份验证（MFA）系统配对时可提供一层额外的安全。Wickr 仅支持使用 OpenID Connect (OIDC) 的 SSO 提供者。不支持使用安全断言标记语言 (SAML) 的提供商。

**Topics**
+ [在 AWS Wickr 中查看 SSO 详情](view-sso-details.md)
+ [在 AWS Wickr 中配置 SSO](configure-sso.md)
+ [令牌刷新的宽限期](token-refresh.md)

# 在 AWS Wickr 中查看 SSO 详情
<a name="view-sso-details"></a>

您可以查看 Wickr 网络和网络端点的单点登录配置的详细信息。

完成以下过程以查看 Wickr 网络的当前单点登录配置（若有）。

1. 在 f AWS 管理控制台 or Wickr 上[https://console.aws.amazon.com/wickr/](https://console.aws.amazon.com/wickr/)打开。

1. 在 “**网络**” 页面上，选择要导航到该网络的网络名称。

1. 在导航窗格中，选择**用户管理**。

   在 “**用户管理**” 页面上，“**单点登录**” 部分显示您的 Wickr 网络端点和当前的 SSO 配置。

# 在 AWS Wickr 中配置 SSO
<a name="configure-sso"></a>

为确保安全访问您的 Wickr 网络，您可以设置当前的单点登录配置。详细的指南可帮助您完成此过程。

**重要**  
配置 SSO 时，需要为 Wickr 网络指定一个公司 ID。请务必记录此公司 ID。在发送邀请电子邮件时，您必须将其提供给最终用户。最终用户在注册您的 Wickr 网络时必须指定该公司 ID。
2025 年 9 月，AWS Wickr 推出了经过改进、更安全的单点登录连接系统。要利用这些安全增强功能，使用 SSO 的组织必须在 2026 年 3 月 9 日之前迁移到新的重定向 URI。有关迁移说明，请参阅以下 AWS re:Post 文章：[迁移到 AWS Wickr 的新 SSO 重定向 URI](https://repost.aws/articles/ARwG2sEMHkShKNn77mc8pc8Q/migrating-to-the-new-sso-redirect-uri-for-aws-wickr)。

有关配置 SSO 的更多信息，请参阅以下指南：
+ [使用微软 Entra (Azure AD) 设置 AWS Wickr 单点登录 (SSO)](https://docs.aws.amazon.com/wickr/latest/adminguide/entra-ad-sso.html)
+ [使用 Okta 设置 AWS Wickr 单点登录 (SSO)](https://repost.aws/articles/ARqcPJ8MctR02Om4APlBEANw/aws-wickr-single-sign-on-sso-setup-with-okta)
+ [使用 Amazon Cognito 设置 AWS Wickr 单点登录 (SSO)](https://repost.aws/articles/ARIOjROyJDTfutje_DJW9wWg/aws-wickr-single-sign-on-sso-setup-with-amazon-cognito)

# 使用微软 Entra (Azure AD) 单点登录配置 AWS Wickr
<a name="entra-ad-sso"></a>

AWS Wickr 可以配置为使用微软 Entra (Azure AD) 作为身份提供商。为此，请在 Microsoft Entra 和 AWS Wickr 管理控制台中完成以下程序。

**警告**  
在网络上启用 SSO 后，它将让活跃用户退出 Wickr，并强制他们使用 SSO 提供商重新进行身份验证。

## 第 1 步：在 Microsoft Entra 中将 AWS Wickr 注册为应用程序
<a name="step-1-entra-wickr-application"></a>

完成以下步骤，在 Microsoft Entra 中将 AWS Wickr 注册为应用程序。

**注意**  
有关详细的屏幕截图和疑难解答，请参阅 Microsoft Entra 文档。有关更多信息，请参阅[在 Microsoft 身份平台上注册应用程序](https://learn.microsoft.com/en-us/entra/identity-platform/quickstart-register-app)

1. 在导航窗格中，选择 “**应用程序**”，然后选择 “**应用程序注册**”。

1. 在 “**应用程序注册**” 页面上，选择 “**注册应用程序**”，然后输入应用程序名称。

1. 仅选择**此组织目录中的帐户（仅限默认目录-单租户）**。

1. 在 “**重定向 URI**” 下，选择 **Web**，然后在 W AWS ickr 管理员控制台中输入 SSO 配置设置中可用的重定向 URI

1. 选择**注册**。

1. 注册后， copy/save 将生成应用程序（客户端）ID。  
![\[客户端应用程序 ID 图像。\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/images/application-client-id.png)

1. 选择 “**端点**” 选项卡，记下以下内容：

   1. Oauth 2.0 授权端点 (v2)：例如：`https://login.microsoftonline.com/1ce43025-e4b1-462d-a39f-337f20f1f4e1/oauth2/v2.0/authorize`

   1. 编辑此值以删除 “oauth2/” 和 “授权”。例如，固定网址将如下所示：`https://login.microsoftonline.com/1ce43025-e4b1-462d-a39f-337f20f1f4e1/v2.0/`

   1. 这将被称为 **SSO 发行者**。

## 步骤 2：设置身份验证
<a name="step-2-entra-setup-authentication"></a>

完成以下步骤以在 Microsoft Entra 中设置身份验证。

1. 在导航窗格中，选择 “**身份验证**”。

1. 在**身份验证**页面上，确保 **Web 重定向 URI** 与之前输入的相同（在将 *AWS Wickr 注册为应用程序*中）。  
![\[客户端身份验证镜像。\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/images/authentication.png)

1. 选择**用于隐式流程的访问令**牌和**用于隐式和混合流程的 ID 令牌**。

1. 选择**保存**。  
![\[索取访问令牌图片。\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/images/access-tokens.png)

## 第 3 步：设置证书和密钥
<a name="step-3-entra-setup-certificates"></a>

完成以下步骤在 Microsoft Entra 中设置证书和密钥。

1. 在导航窗格中，选择 “**证书和机密**”。

1. 在 “**证书和密钥**” 页面上，选择 “**客户机密**” 选项卡。

1. 在 “**客户机密钥**” 选项卡下，选择 “**新建客户机密**”。

1. 输入描述并选择密钥的到期时间。

1. 选择**添加**。  
![\[添加客户机密图片。\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/images/entra-create-client-secret.png)

1. 创建证书后，复制**客户机密值**。  
![\[客户机密值的示例。\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/images/entra-client-secret-value.png)
**注意**  
您的客户端应用程序代码将需要客户端密钥值（不是密钥 ID）。离开此页面后，您可能无法查看或复制密钥值。如果您现在不复制，则必须返回创建新的客户机密钥。

## 步骤 4：设置令牌配置
<a name="step-4-entra-setup-token"></a>

完成以下步骤在 Microsoft Entra 中设置令牌配置。

1. 在导航窗格中，选择**令牌配置**。

1. 在**令牌配置**页面上，选择**添加可选声明**。

1. 在 “**可选声明**” 下，选择**令牌类型**作为 **ID**。

1. 选择 **ID** 后，在 “**声明**” 下，选择 “**电子邮件**” 和 “**upn**”。

1. 选择**添加**。  
![\[代币类型图片。\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/images/entra-token-type.png)

## 第 5 步：设置 API 权限
<a name="step-5-entra-setup-api-permissions"></a>

完成以下步骤，在 Microsoft Entra 中设置 API 权限。

1. 在导航窗格中，选择 **API permissions**（API 权限）。

1. 在 **API 权限**页面上，选择**添加权限**。  
![\[添加权限图片。\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/images/entra-api-permissions.png)

1. 选择 **Microsoft Graph**，然后选择**委派权限**。

1. **选中**电子邮件**、O **ffline\$1access、o **pen** id、个人资料**的复选框。**

1. 选择**添加权限**。

## 第 6 步：公开 API
<a name="step-6-entra-expose-api"></a>

完成以下步骤，在 Microsoft Entra 中为 4 个作用域中的每个作用域公开一个 API。

1. 在导航窗格中，选择 “**公开 API**”。

1. 在 “**公开 API**” 页面上，选择 “**添加范围**”。  
![\[公开 API 镜像。\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/images/entra-expose-an-api.png)

   **应用程序 ID URI** 应自动填充，URI 后面的 ID 应与**应用程序 ID** 相匹配（在将 *AWS Wickr 注册为应用程序*中创建）。  
![\[添加示波器图像。\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/images/entra-add-scope.png)

1. 选择 **保存并继续**。

1. 选择 “**管理员和用户**” 标签，然后将范围名称输入为 o **ff** line\$1access。

1. 选择 “**状态**”，然后选择 “**启用**”。

1. 选择 “**添加范围**”。

1. **重复本节的步骤 1-6，添加以下范围：**电子邮件**、**openid** 和个人资料。**  
![\[添加瞄准镜图片。\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/images/entra-scopes-api.png)

1. 在 “**授权的客户端应用程序**” 下，选择 “**添加客户端应用程序**”。

1. 选择在上一步中创建的所有四个作用域。

1. 输入或验证**应用程序（客户端）ID**。

1. 选择**添加应用程序**。

## 第 7 步：AWS Wickr 单点登录配置
<a name="step-7-wickr-sso-configuration"></a>

在 AWS Wickr 控制台中完成以下配置过程。

1. 在 f AWS 管理控制台 or Wickr 上[https://console.aws.amazon.com/wickr/](https://console.aws.amazon.com/wickr/)打开。

1. 在 “**网络” 页面**上，选择要导航到该网络的网络名称。

1. 在导航窗格中，选择**用户管理**，然后选择**配置 SSO**。

1. 输入以下详细信息：
   + **颁发者**-这是之前修改过的端点（例如`https://login.microsoftonline.com/1ce43025-e4b1-462d-a39f-337f20f1f4e1/v2.0/`）。
   + **客户端 ID**-这是 “**概览**” 窗格中的**应用程序（客户端）ID**。
   + **客户机密钥（可选）**-这是**证书和**密钥窗格中的客户**机密钥**。
   + **范围** — 这些是 “公开 **API” 窗格上显示的**范围名称。**输入**电子邮件**、**个人资料**、**离线访问权限和 openID**。**
   + **自定义用户名范围（可选）**-输入 **upn。**
   + **公司 ID** — 这可以是一个唯一的文本值，包括字母数字和下划线字符。这句话是您的用户在新设备上注册时要输入的内容。

   *其他字段是可选的。*

1. 选择**下一步**。

1. 在 “**查看并保存**” 页面中验证详细信息，然后选择 “**保存更改**”。

SSO 配置已完成。要进行验证，您现在可以在 Microsoft Entra 中将用户添加到应用程序中，然后使用 SSO 和公司 ID 使用该用户登录。

有关如何邀请和加入用户的更多信息，请参阅[创建和邀请用户](https://docs.aws.amazon.com/wickr/latest/adminguide/getting-started.html#getting-started-step3)。

## 问题排查
<a name="troubleshooting"></a>

以下是您可能遇到的常见问题以及解决这些问题的建议。
+ SSO 连接测试失败或没有响应：
  + 确保按预期配置 **SSO 颁发者**。
  + 确保按预期设置**配置的 SSO** 中的必填字段。
+ 连接测试成功，但用户无法登录：
  + 确保用户已添加到你在 Microsoft Entra 中注册的 Wickr 应用程序中。
  + 确保用户使用正确的公司 ID，包括前缀。*例如 UE1-DemoNetwork w\$1drqtva。*
  + 在 **AWS Wickr SSO** 配置中可能未正确设置**客户端密钥**。通过在 Microsoft Entra 中创建另一个**客户端密钥**来重置它，然后在 Wic **kr** SSO 配置中设置新的**客户端密钥**。

# 令牌刷新的宽限期
<a name="token-refresh"></a>

有时，身份提供商可能会遇到临时或长期中断的情况，这可能会导致用户因客户端会话刷新令牌失败而意外被注销。为防止出现此问题，您可以设置一个允许用户保持登录状态的宽限期，即使他们的客户端刷新令牌在此类中断期间失败。

以下是宽限期的可用选项：
+ 无宽限期（默认）：刷新令牌失败后，用户将立即被系统退出。
+ 30 分钟宽限期：刷新令牌失败后，用户最多可以保持登录状态 30 分钟。
+ 60 分钟宽限期：刷新令牌失败后，用户最多可以保持登录状态 60 分钟。

# AWS Wickr 的网络标签
<a name="network-tags"></a>

您可以将标签应用到 Wickr 网络。然后，您可以使用这些标签来搜索和筛选您的 Wickr 网络或跟踪您的 AWS 费用。您可以在 Wickr 的 “**网络” 主页**上配置网络标记。 AWS 管理控制台 

标签是应用于资源的[键值对](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html)，用于保存有关该资源的元数据。每个标签都是由一个键和一个值组成的。有关标签的更多信息，另请参阅[什么是标签？](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/what-are-tags.html)以及[标签添加用例](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-use-cases.html)。

**Topics**
+ [在 AWS Wickr 中管理网络标签](manage-tags.md)
+ [在 AWS Wickr 中添加网络标签](add-tag.md)
+ [在 AWS Wickr 中编辑网络标签](edit-tag.md)
+ [在 AWS Wickr 中移除网络标签](remove-tag.md)

# 在 AWS Wickr 中管理网络标签
<a name="manage-tags"></a>

您可以管理 Wickr 网络的网络标签。

完成以下过程以管理 Wickr 网络的网络标签。

1. 在 f AWS 管理控制台 or Wickr 上[https://console.aws.amazon.com/wickr/](https://console.aws.amazon.com/wickr/)打开。

1. 在 “**网络**” 页面上，选择要导航到该网络的网络名称。

1. 在**网络主页**的**标签**部分，选择**管理标签**。

1. 在**管理标签**页面上，您可以完成以下选项之一：
   + **添加新标签** — 以键值对的形式输入新标签。选择**添加新标签**以添加多个键值对。标签区分大小写。有关更多信息，请参阅 [在 AWS Wickr 中添加网络标签](add-tag.md)。
   + **编辑现有标签** — 为现有标签选择键或值文本，然后在文本框中输入修改内容。有关更多信息，请参阅 [在 AWS Wickr 中编辑网络标签](edit-tag.md)。
   + **移除现有标签** — 选择要删除的标签旁边列出的**移除**按钮。有关更多信息，请参阅 [在 AWS Wickr 中移除网络标签](remove-tag.md)。

# 在 AWS Wickr 中添加网络标签
<a name="add-tag"></a>

你可以为你的 Wickr 网络添加网络标签。

完成以下过程以将标签添加到 Wickr 网络。有关管理标签的更多信息，请参阅 [在 AWS Wickr 中管理网络标签](manage-tags.md)。

1. 在**网络主页**的**标签**部分，选择**添加新标签**。

1. 在**添加标签**页面上，选择**添加标签**。

1. 在出现的空白**键**和**值**字段中，输入新的标签键和值。

1. 选择**保存更改**以保存新标签。

# 在 AWS Wickr 中编辑网络标签
<a name="edit-tag"></a>

您可以编辑您的 Wickr 网络的网络标签。

完成以下过程以编辑与 Wickr 网络关联的标签。有关管理标签的更多信息，请参阅 [在 AWS Wickr 中管理网络标签](manage-tags.md)。

1. 在**管理标签**页面上，编辑标签的值。
**注意**  
无法编辑标签的键。相反，可以移除键值对和使用新键添加新标签。

1. 选择**保存更改**以保存您的编辑。

# 在 AWS Wickr 中移除网络标签
<a name="remove-tag"></a>

您可以移除 Wickr 网络的网络标签。

完成以下过程以从 Wickr 网络中移除标签。有关管理标签的更多信息，请参阅 [在 AWS Wickr 中管理网络标签](manage-tags.md)。

1. 在**管理标签**页面上，选择要删除的标签旁的**删除**。

1. 选择**保存更改**以保存您的编辑。

# 阅读 AWS Wickr 的收据
<a name="read-receipts"></a>

AWS Wickr 的已读回执是发送给发件人的通知，用于显示他们的消息何时被读取。这些回执可在 one-on-one对话中找到。已发送的邮件将出现一个复选标记，已读邮件将出现一个带有复选标记的实心圆圈。要在外部对话期间查看消息的已读回执，两个网络都应启用已读回执。

管理员可以在管理员面板中启用或禁用已读回执。此设置将应用于整个网络。

完成以下步骤以启用或禁用已读回执。

1. 在 f AWS 管理控制台 or Wickr 上[https://console.aws.amazon.com/wickr/](https://console.aws.amazon.com/wickr/)打开。

1. 在 “**网络**” 页面上，选择要导航到该网络的网络名称。

1. 在导航窗格中，选择**网络策略**。

1. 在 “**网络策略**” 页面的 “**消息**” 部分，选择 “**编辑”**。

1. 选中 “**启用**或**禁用**已读回执” 复选框。

1. 选择**保存更改**。

# 管理 AWS Wickr 的网络计划
<a name="manage-plan"></a>

在 f AWS 管理控制台 or Wickr 中，您可以根据业务需求管理您的网络计划。

要管理您的网络计划，请完成以下步骤。

1. 在 f AWS 管理控制台 or Wickr 上[https://console.aws.amazon.com/wickr/](https://console.aws.amazon.com/wickr/)打开。

1. 在 “**网络**” 页面上，选择要导航到该网络的网络名称。

1. 在**网络主页**的**网络详细信息**部分，选择**编辑**。

1. 在**编辑网络详细信息**页面上，选择所需的网络计划。您可以通过选择以下选项之一来修改当前的网络计划：
   + **标准-** 适用于需要管理控制和灵活性的小型和大型企业团队。
   + **高级版**或**高级版免费试用 —** 适用于需要最高功能限制、精细管理控制和数据保留的企业。

     管理员可以选择高级免费试用版，该试用版最多可供30个用户使用，有效期为三个月。对于 AWS WickrGov，高级免费试用选项最多允许 50 名用户，并且持续三个月。此优惠适用于新的和标准的计划。在高级版免费试用期内，管理员可以升级或降级到高级版或标准版套餐
**注意**  
要停止在您的网络上使用和计费，请从您的网络中移除所有用户，包括所有已暂停的用户。

## 高级免费试用限制
<a name="premium-free-trial-limitations"></a>

以下限制适用于高级免费试用：
+ 如果某个计划之前注册过高级免费试用，则该计划将没有资格再试一次。
+ 每个 AWS 账户只能注册一个网络参加高级免费试用。
+ 在高级免费试用期间，访客用户功能不可用。
+ 如果标准网络有超过 30 个用户（超过 50 个用户 AWS WickrGov），则无法升级到高级免费试用版。

# AWS Wickr 的数据保留
<a name="data-retention"></a>

AWS Wickr 数据留存可以保留网络中的所有对话。这包括网络内（内部）成员和您的网络与之进行联合身份验证的其他团队（外部）成员之间的直接消息对话以及群组或会议室中的对话。数据留存功能仅适用于选择保留数据的 AWS Wickr Premium 计划用户和企业客户。有关 Premium 计划的更多信息，请参阅 [Wickr](https://aws.amazon.com/wickr/pricing/) 定价。

当网络管理员为其网络配置和激活数据留存功能时，其网络中共享的所有消息和文件都将根据组织的合规政策保留。网络管理员可以在外部位置（例如：本地存储、Amazon S3 存储桶或用户选择的任何其他存储）访问这些 .txt 文件输出，可以从那里对其进行分析、擦除或传输。

**注意**  
Wickr 永远不会访问您的消息和文件。因此，您有责任配置数据留存系统。

**Topics**
+ [在 AWS Wickr 中查看数据保留详情](view-data-retention-details.md)
+ [为 AWS Wickr 配置数据保留](configure-data-retention.md)
+ [获取 Wickr 网络的数据保留日志](getting-data-retention-logs.md)
+ [Wickr 网络的数据保留指标和事件](metrics-events.md)

# 在 AWS Wickr 中查看数据保留详情
<a name="view-data-retention-details"></a>

完成以下过程以查看 Wickr 网络的数据留存详细信息。您还可以启用或禁用 Wickr 网络的数据留存功能。

1. 在 f AWS 管理控制台 or Wickr 上[https://console.aws.amazon.com/wickr/](https://console.aws.amazon.com/wickr/)打开。

1. 在 “**网络**” 页面上，选择要导航到该网络的网络名称。

1. 在导航窗格中，选择**网络策略**。

1. **网络策略**页面显示设置数据保留的步骤以及激活或停用数据保留功能的选项。有关配置数据留存的更多信息，请参阅 [为 AWS Wickr 配置数据保留](configure-data-retention.md)。

**注意**  
数据留存功能激活后，网络中所有用户都会看到一条**数据留存已开启**的消息，告知他们启用了保留功能的网络。

# 为 AWS Wickr 配置数据保留
<a name="configure-data-retention"></a>

要为您的 AWS Wickr 网络配置数据留存，您必须将数据留存机器人 Docker 映像部署到主机上的容器，例如本地计算机或 Amazon Elastic Compute Cloud (Amazon EC2) 中的实例。部署机器人后，您可以将其配置为将数据存储在 Amazon Simple Storage Service (Amazon S3) 存储桶中。您还可以将数据保留机器人配置为使用其他 AWS 服务，例如 AWS Secrets Manager (Secrets Manager)、亚马逊 ()、亚马逊简单通知服务 CloudWatch (Amazon SNSCloudWatch) Simple Notification Service 和 ()。 AWS Key Management Service AWS KMS以下主题介绍如何为您的 Wickr 网络配置和运行数据留存机器人。

**Topics**
+ [为 AWS Wickr 配置数据保留的先决条件](#data-retention-prerequisites)
+ [AWS Wickr 中数据保留机器人的密码](data-retention-password.md)
+ [AWS Wickr 网络的存储选项](data-retention-storage-options.md)
+ [在 AWS Wickr 中配置数据保留机器人的环境变量](data-retention-bot-env-variables.md)
+ [AWS Wickr 的 Secrets Manager 值](data-retention-aws-secret-values.md)
+ [在 AWS 服务中使用数据保留的 IAM 政策](data-retention-aws-services.md)
+ [为你的 Wickr 网络启动数据保留机器人](starting-data-retention-bot.md)
+ [停止你的 Wickr 网络的数据保留机器人](stopping-data-retention-bot.md)

## 为 AWS Wickr 配置数据保留的先决条件
<a name="data-retention-prerequisites"></a>

在开始之前，必须从 for Wickr 获取数据保留机器人名称（标记 AWS 管理控制台 为**用户名**）和初始密码。首次启动数据留存机器人时，必须同时指定这两个值。您还必须在控制台中启用数据留存。有关更多信息，请参阅 [在 AWS Wickr 中查看数据保留详情](view-data-retention-details.md)。

# AWS Wickr 中数据保留机器人的密码
<a name="data-retention-password"></a>

首次启动数据留存机器人时，您可以使用以下选项之一指定初始密码：
+ 环境变量 `WICKRIO_BOT_PASSWORD` 本指南后面的 [在 AWS Wickr 中配置数据保留机器人的环境变量](data-retention-bot-env-variables.md) 部分概述了数据留存机器人环境变量。
+ 由 `AWS_SECRET_NAME` 环境变量标识的 Secrets Manager 中的**密码**值。本指南后面的 [AWS Wickr 的 Secrets Manager 值](data-retention-aws-secret-values.md) 部分概述了数据留存机器人的 Secrets Manager 值。
+ 当数据留存机器人提示时，请输入密码。您需要使用 `-ti` 选项以交互式 TTY 访问权限运行数据留存机器人。

首次配置数据留存机器人时，将生成一个新密码。如果您需要重新安装数据留存机器人，则使用生成的密码。初始安装数据留存机器人后，初始密码无效。

将显示新生成的密码，如以下示例中所示。

**重要**  
将密码保存在安全的位置。如果您丢失了密码，您将无法重新安装数据留存机器人。请勿共享此密码。它提供了开始为 Wickr 网络保留数据的功能。

```
********************************************************************
**** GENERATED PASSWORD
**** DO NOT LOSE THIS PASSWORD, YOU WILL NEED TO ENTER IT EVERY TIME
**** TO START THE BOT
 "HuEXAMPLERAW4lGgEXAMPLEn"
 ********************************************************************
```

# AWS Wickr 网络的存储选项
<a name="data-retention-storage-options"></a>

启用数据留存功能并为 Wickr 网络配置数据留存机器人后，它将捕获在您的网络中发送的所有消息和文件。消息保存在文件中，这些文件受限于特定大小或时间限制，可以使用环境变量进行配置。有关更多信息，请参阅 [在 AWS Wickr 中配置数据保留机器人的环境变量](data-retention-bot-env-variables.md)。

您可以配置下列选项之一来存储这些数据：
+ 将所有捕获的消息和文件存储在本地。这是默认选项。您有责任将本地文件移动到另一个系统进行长期存储，并确保主机磁盘不会耗尽内存或空间。
+ 将所有捕获的消息和文件存储在 Amazon S3 存储桶中。数据留存机器人会将所有解密的消息和文件保存到您指定的 Amazon S3 存储桶中。成功保存到存储桶后，捕获的消息和文件将从主机中移除。
+ 将所有已捕获消息和加密文件存储在 Amazon S3 存储桶中。数据留存机器人将使用您提供的密钥对所有捕获的消息和文件进行重新加密，并将其保存到您指定的 Amazon S3 存储桶中。成功重新加密并保存到存储桶后，捕获的消息和文件将从主机上移除。您将需要软件来解密消息和文件。

  有关用您的数据留存创建要使用的 Amazon S3 存储桶的更多信息，请参阅 *Amazon Simple 用户指南*中的[创建存储桶](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html)。

# 在 AWS Wickr 中配置数据保留机器人的环境变量
<a name="data-retention-bot-env-variables"></a>

您可以使用以下环境变量来配置数据留存机器人。在运行数据留存机器人 Docker 映像时，您可以使用 `-e` 选项设置这些环境变量。有关更多信息，请参阅 [为你的 Wickr 网络启动数据保留机器人](starting-data-retention-bot.md)。

**注意**  
除非另有说明，否则这些环境变量是可选的。

使用以下环境变量来指定数据留存机器人凭证：
+ `WICKRIO_BOT_NAME`：数据留存机器人的名称。运行数据留存机器人 Docker 映像时*需要*此变量。
+ `WICKRIO_BOT_PASSWORD`：数据留存机器人的初始密码。有关更多信息，请参阅 [为 AWS Wickr 配置数据保留的先决条件](configure-data-retention.md#data-retention-prerequisites)。如果您不打算使用密码提示启动数据留存机器人，或者您不打算使用 Secrets Manager 来存储数据留存机器人凭据，则*需要*使用此变量。

使用以下环境变量来配置默认数据留存流式传输功能：
+ `WICKRIO_COMP_MESGDEST`：将要流式传输消息的目录的路径名。默认值为 `/tmp/<botname>/compliance/messages`。
+ `WICKRIO_COMP_FILEDEST`：将流式传输文件的目录的路径名。默认值为 `/tmp/<botname>/compliance/attachments`。
+ `WICKRIO_COMP_BASENAME`：收到的消息文件的基本名称。默认值为 `receivedMessages`。
+ `WICKRIO_COMP_FILESIZE`：以 kibibyte (KiB) 为单位的已接收消息文件的最大文件大小。当大小达到最大时，将启动一个新文件。默认值为 `1000000000`，如 1024 GiB。
+ `WICKRIO_COMP_TIMEROTATE`：数据留存机器人将收到的消息放入收到的消息文件的时间长度，以分钟为单位。当达到时间限制时，将启动一个新文件。您只能使用文件大小或时间来限制收到的消息文件的大小。默认值为 `0`，因为没有限制。

使用以下环境变量来定义 AWS 区域 要使用的默认值。
+ `AWS_DEFAULT_REGION`— Secrets Manager 等 AWS 服务的默认值 AWS 区域 （不用于亚马逊 S3 或 AWS KMS）。如果未定义此环境变量，则默认使用 `us-east-1` 区域。

使用以下环境变量指定在选择使用 Secrets Manager 存储数据保留机器人凭据和 AWS 服务信息时要使用的 Secrets Manager 密钥。有关可以在 Secrets Manager 中存储的值的更多信息，请参阅 [AWS Wickr 的 Secrets Manager 值](data-retention-aws-secret-values.md)。
+ `AWS_SECRET_NAME`— Secrets Manager 密钥的名称，其中包含数据保留机器人所需的凭据和 AWS 服务信息。
+ `AWS_SECRET_REGION`— AWS 秘密所在的那个。 AWS 区域 如果您使用的是 AWS 密钥但未定义此值，则将使用该`AWS_DEFAULT_REGION`值。

**注意**  
您可以将以下所有环境变量作为值存储在 Secrets Manager 中。如果您选择使用 Secrets Manager，并将这些值存储在那里，那么在运行数据留存机器人 Docker 映像时，您无需将它们指定为环境变量。您只需要指定本指南前面描述的 `AWS_SECRET_NAME` 环境变量即可。有关更多信息，请参阅 [AWS Wickr 的 Secrets Manager 值](data-retention-aws-secret-values.md)。

当您选择将消息和文件存储到存储桶时，使用以下环境变量指定 Amazon S3 存储桶。
+ `WICKRIO_S3_BUCKET_NAME`：存储消息和文件的 Amazon S3 存储桶的名称。
+ `WICKRIO_S3_REGION`— 用于存储消息和文件的 Amazon S3 存储桶 AWS 区域。
+ `WICKRIO_S3_FOLDER_NAME`：存储邮件和文件的 Amazon S3 存储桶中的可选文件夹名称。此文件夹名称前将带有保存到 Amazon S3 存储桶中的邮件和文件的密钥。

在将文件保存到 Amazon S3 存储桶时，当您选择使用客户端加密来重新加密文件时，请使用以下环境变量来指定 AWS KMS 详细信息。
+ `WICKRIO_KMS_MSTRKEY_ARN`— AWS KMS 主密钥的亚马逊资源名称 (ARN)，用于在消息文件和数据保留机器人上的文件保存到 Amazon S3 存储桶之前对其进行重新加密。
+ `WICKRIO_KMS_REGION`— AWS KMS 主密钥所在的 AWS 区域。

当您选择向 Amazon SNS 主题发送数据留存事件时，使用以下环境变量指定 Amazon SNS 的详细信息。发送的事件包括启动、关闭以及错误情况。
+ `WICKRIO_SNS_TOPIC_ARN`：要使用其发送数据留存事件的 Amazon SNS 主题的 ARN。

使用以下环境变量向发送数据保留指标 CloudWatch。如果指定，则将每 60 秒生成一次指标。
+ `WICKRIO_METRICS_TYPE`— 将此环境变量的值设置为，`cloudwatch`以向其发送指标 CloudWatch。

# AWS Wickr 的 Secrets Manager 值
<a name="data-retention-aws-secret-values"></a>

你可以使用 Secrets Manager 来存储数据保留机器人凭据和 AWS 服务信息。有关创建 Secrets Manager 密钥的更多信息，请参阅 [S AWS Secrets Manager ecrets Manager 用户指南中的创建](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create_secret.html)*密钥*。

Secrets Manager 密钥可以具有以下值：
+ `password`：数据留存机器人密码。
+ `s3_bucket_name`：存储消息和文件的 Amazon S3 存储桶的名称。如果未设置，则将使用默认文件流式传输。
+ `s3_region`— 用于存储消息和文件的 Amazon S3 存储桶 AWS 区域。
+ `s3_folder_name`：存储邮件和文件的 Amazon S3 存储桶中的可选文件夹名称。此文件夹名称前将带有保存到 Amazon S3 存储桶中的邮件和文件的密钥。
+ `kms_master_key_arn`— AWS KMS 主密钥的 ARN，用于在消息文件和数据保留机器人上的文件保存到 Amazon S3 存储桶之前对其进行重新加密。
+ `kms_region`— AWS KMS 主密钥所在的 AWS 区域。
+ `sns_topic_arn`：要使用其发送数据留存事件的 Amazon SNS 主题的 ARN。

# 在 AWS 服务中使用数据保留的 IAM 政策
<a name="data-retention-aws-services"></a>

如果您计划在 Wickr 数据保留机器人中使用其他 AWS 服务，则必须确保主机具有相应的 AWS Identity and Access Management (IAM) 角色和策略来访问这些服务。你可以将数据保留机器人配置为使用 Secrets Manager、Amazon S3、 CloudWatch、Amazon SNS 和。 AWS KMS以下 IAM policy授予这些服务的特定操作所需的访问权限。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "secretsmanager:GetSecretValue",
                "sns:Publish",
                "cloudwatch:PutMetricData",
                "kms:GenerateDataKey"
            ],
            "Resource": "*"
        }
    ]
}
```

------

您可以通过识别您希望允许主机上的容器访问的每项服务的特定对象来创建更严格的 IAM policy。删除您不打算使用的 AWS 服务的操作。例如，如果您打算仅使用 Amazon S3 存储桶，则使用以下策略，该策略会删除 `secretsmanager:GetSecretValue`、`sns:Publish`、`kms:GenerateDataKey` 和 `cloudwatch:PutMetricData` 操作。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "s3:PutObject",
            "Resource": "*"
        }
    ]
}
```

------

如果您使用 Amazon Elastic Compute Cloud (Amazon EC2) 实例来托管您的数据留存机器人，请使用亚马逊 Amazon EC2 常见案例创建 IAM 角色并使用上面的策略定义分配策略。

# 为你的 Wickr 网络启动数据保留机器人
<a name="starting-data-retention-bot"></a>

在运行数据留存机器人之前，应确定要如何对其进行配置。如果您计划在主机上运行该机器人：
+ 将无法访问 AWS 服务，那么您的选择将受到限制。在这种情况下，您将使用默认的消息流式传输选项。您应该决定是否要将捕获的消息文件的大小限制为特定的大小或时间间隔内。有关更多信息，请参阅 [在 AWS Wickr 中配置数据保留机器人的环境变量](data-retention-bot-env-variables.md)。
+ 将有权访问 AWS 服务，那么您应该创建一个 Secrets Manager 密钥来存储机器人凭据和 AWS 服务配置详细信息。配置 AWS 服务后，您可以继续启动数据留存机器人 Docker 映像。有关可以存储在 Secrets Manager 密钥中的详细信息的更多信息，请参阅 [AWS Wickr 的 Secrets Manager 值](data-retention-aws-secret-values.md)

以下各节显示了运行数据留存机器人 Docker 映像的示例命令。在每个示例命令中，将以下示例值替换为自己的值：
+ `compliance_1234567890_bot`，上面写上您的数据留存机器人的名字。
+ `password`，使用您的数据留存机器人的密码。
+ `wickr/data/retention/bot`，使用您的 Secrets Manager 密钥的名称，用于您的数据留存机器人。
+ `bucket-name`，使用存储消息和文件的 Amazon S3 存储桶的名称。
+ `folder-name`，使用存储消息和文件的 Amazon S3 存储桶中的文件夹名称。
+ `us-east-1`使用您指定的资源 AWS 区域。例如， AWS KMS 主密钥所在的区域或 Amazon S3 存储桶的区域。
+ `arn:aws:kms:us-east-1:111122223333:key/12345678-1234-abcde-a617-abababababab`使用 AWS KMS 主密钥的 Amazon 资源名称 (ARN)，用于重新加密消息文件和文件。

# 使用密码环境变量启动机器人（无 AWS 服务）
<a name="data-retention-basic-startup"></a>

以下 Docker 命令启动数据留存机器人。密码是使用 `WICKRIO_BOT_PASSWORD` 环境变量指定的。机器人开始使用默认文件流式传输，并使用本指南 [在 AWS Wickr 中配置数据保留机器人的环境变量](data-retention-bot-env-variables.md) 部分中定义的默认值。

```
docker run -v /opt/compliance_1234567890_bot:/tmp/compliance_1234567890_bot \
-d --restart on-failure:5 --name="compliance_1234567890_bot" -ti \
-e WICKRIO_BOT_NAME='compliance_1234567890_bot' \
-e WICKRIO_BOT_PASSWORD='password' \
wickr/bot-compliance-cloud:latest
```

# 使用密码提示启动机器人（无 AWS 服务）
<a name="data-retention-startup-password"></a>

以下 Docker 命令启动数据留存机器人。当数据留存机器人提示时，系统会输入密码。它将使用本指南 [在 AWS Wickr 中配置数据保留机器人的环境变量](data-retention-bot-env-variables.md) 部分中定义的默认值开始使用默认文件流式传输。

```
docker run -v /opt/compliance_1234567890_bot:/tmp/compliance_1234567890_bot \
-d --restart on-failure:5 --name="compliance_1234567890_bot" -ti \
-e WICKRIO_BOT_NAME='compliance_1234567890_bot' \
wickr/bot-compliance-cloud:latest

docker attach compliance_1234567890_bot
.
.
.
Enter the password:************
Re-enter the password:************
```

使用 `-ti` 选项运行机器人以接收密码提示。您还应该在启动 Docker 映像后立即运行 `docker attach <container ID or container name>` 命令，以便获得密码提示。您应该在脚本中运行这两个命令。如果您附加到 Docker 映像但没有看到提示，请按**输入**，您将看到提示。

# 以轮换 15 分钟消息文件的方式启动机器人（无 AWS 服务）
<a name="data-retention-startup-rotation"></a>

以下 Docker 命令使用环境变量启动数据留存机器人。它还将其配置为将收到的消息文件轮换到 15 分钟。

```
docker run -v /opt/compliance_1234567890_bot:/tmp/compliance_1234567890_bot --network=host \
-d --restart on-failure:5 --name="compliance_1234567890_bot" -ti \
-e WICKRIO_BOT_NAME='compliance_1234567890_bot' \
-e WICKRIO_BOT_PASSWORD='password' \
-e WICKRIO_COMP_TIMEROTATE=15 \
wickr/bot-compliance-cloud:latest
```

# 启动机器人并使用 Secrets Manager 指定初始密码
<a name="data-retention-startup-asm"></a>

您可以使用 Secrets Manager 来识别数据留存机器人的密码。当您启动数据留存机器人时，您需要设置一个环境变量来指定存储这些信息的 Secrets Manager。

```
docker run -v /opt/compliance_1234567890_bot:/tmp/compliance_1234567890_bot --network=host \
-d --restart on-failure:5 --name="compliance_1234567890_bot" -ti \
-e WICKRIO_BOT_NAME='compliance_1234567890_bot' \
-e AWS_SECRET_NAME='wickrpro/alpha/new-3-bot' \
wickr/bot-compliance-cloud:latest
```

`wickrpro/compliance/compliance_1234567890_bot` 密钥里面有以下秘密值，显示为纯文本。

```
{
    "password":"password"
}
```

# 启动机器人并使用 Secrets Manager 配置 Amazon S3
<a name="data-retention-startup-asm-s3"></a>

您可以使用 Secrets Manager 来托管凭据和 Amazon S3 存储桶信息。当您启动数据留存机器人时，您需要设置一个环境变量来指定存储这些信息的 Secrets Manager。

```
docker run -v /opt/compliance_1234567890_bot:/tmp/compliance_1234567890_bot --network=host \
-d --restart on-failure:5 --name="compliance_1234567890_bot" -ti \
 -e WICKRIO_BOT_NAME='compliance_1234567890_bot' \
 -e AWS_SECRET_NAME='wickrpro/alpha/compliance_1234567890_bot' \
wickr/bot-compliance-cloud:latest
```

`wickrpro/compliance/compliance_1234567890_bot` 密钥里面有以下秘密值，显示为纯文本。

```
{
    "password":"password",
    "s3_bucket_name":"bucket-name",
    "s3_region":"us-east-1",
    "s3_folder_name":"folder-name"
}
```

机器人收到的消息和文件将存放在名为 `network1234567890` 的文件夹中的 `bot-compliance` 存储桶中。

# 启动机器人并配置 Amazon S3 和 Secret AWS KMS s Manager
<a name="data-retention-startup-asm-s3-KMS"></a>

您可以使用 Secrets Manager 来托管证书、Amazon S3 存储桶和 AWS KMS 主密钥信息。当您启动数据留存机器人时，您需要设置一个环境变量来指定存储这些信息的 Secrets Manager。

```
docker run -v /opt/compliance_1234567890_bot:/tmp/compliance_1234567890_bot --network=host \
-d --restart on-failure:5 --name="compliance_1234567890_bot" -ti \
 -e WICKRIO_BOT_NAME='compliance_1234567890_bot' \
 -e AWS_SECRET_NAME='wickrpro/alpha/compliance_1234567890_bot' \
wickr/bot-compliance-cloud:latest
```

`wickrpro/compliance/compliance_1234567890_bot` 密钥里面有以下秘密值，显示为纯文本。

```
{
    "password":"password",
    "s3_bucket_name":"bucket-name",
    "s3_region":"us-east-1",
    "s3_folder_name":"folder-name",
    "kms_master_key_arn":"arn:aws:kms:us-east-1:111122223333:key/12345678-1234-abcde-a617-abababababab",
    "kms_region":"us-east-1"
}
```

机器人收到的消息和文件将使用由 ARN 值标识的 KMS 密钥进行加密，然后放入名为 “network1234567890” 的文件夹中的 “bot-compliance'” 存储桶中。确保您已设置适当的 IAM policy。

# 启动机器人并使用环境变量配置 Amazon S3
<a name="using-env-variables"></a>

如果您不想使用 Secrets Manager 来托管数据留存机器人凭据，则可以使用以下环境变量启动数据留存机器人 Docker 映像。您必须使用 `WICKRIO_BOT_NAME` 环境变量标识数据留存机器人的名称。

```
docker run -v /opt/compliance_1234567890_bot:/tmp/compliance_1234567890_bot --network=host \
-d --restart on-failure:5 --name="compliance_1234567890_bot" -ti \
-e WICKRIO_BOT_NAME='compliance_1234567890_bot' \
-e WICKRIO_BOT_PASSWORD='password' \
-e WICKRIO_S3_BUCKET_NAME='bot-compliance' \
-e WICKRIO_S3_FOLDER_NAME='network1234567890' \
-e WICKRIO_S3_REGION='us-east-1' \
wickr/bot-compliance-cloud:latest
```

您可以使用环境值来识别数据留存机器人的证书、有关 Amazon S3 存储桶的信息以及默认文件流的配置信息。

# 停止你的 Wickr 网络的数据保留机器人
<a name="stopping-data-retention-bot"></a>

在数据留存机器人上运行的软件将捕获 `SIGTERM` 信号并正常关闭。使用 `docker stop <container ID or container name>` 命令向数据留存机器人 Docker 映像发出 `SIGTERM` 命令，如以下示例中所示。

```
docker stop compliance_1234567890_bot
```

# 获取 Wickr 网络的数据保留日志
<a name="getting-data-retention-logs"></a>

在数据留存机器人 Docker 映像上运行的软件将输出到 `/tmp/<botname>/logs` 目录中的日志文件。它们将旋转到最多 5 个文件。您可以通过运行以下命令来获取日志。

```
docker logs <botname>
```

示例：

```
docker logs compliance_1234567890_bot
```

# Wickr 网络的数据保留指标和事件
<a name="metrics-events"></a>

以下是 AWS Wickr 数据保留机器人的 5.116 版本目前支持的亚马逊 CloudWatch (CloudWatch) 指标和亚马逊简单通知服务 (Amazon SNS) Simple Notification Service 事件。

**Topics**
+ [CloudWatch 你的 Wickr 网络的指标](cloudwatch-metrics.md)
+ [为你的 Wickr 网络举办的亚马逊 SNS 活动](sns-events.md)

# CloudWatch 你的 Wickr 网络的指标
<a name="cloudwatch-metrics"></a>

指标由机器人每隔 1 分钟生成一次，并传输到与运行数据保留机器人 Docker 镜像的账户关联的 CloudWatch 服务。

以下是数据留存机器人支持的现有指标。


| 指标 | 说明 | 
| --- | --- | 
|  Messages\$1Rx  |  消息收到  | 
|  Messages\$1Rx\$1Failed  |  处理收到的消息失败。  | 
|  Messages\$1Saved  |  消息保存到收到的消息文件中。  | 
|  Messages\$1Saved\$1Failed  |  将消息保存到收到的消息文件中失败。  | 
|  Files\$1Saved  |  文件已收到。  | 
|  Files\$1Saved\$1Bytes  |  已接收文件的字节数。  | 
|  Files\$1Saved\$1Failed  |  无法保存文件。  | 
|  登录名  |  登录（通常每个间隔为 1 次）。  | 
|  Login\$1Failures  |  登录失败（通常每个间隔为 1 次）。  | 
|  S3\$1Post\$1Errors  |  将消息文件和文件发布到 Amazon S3 存储桶时出错。  | 
|  Watchdog\$1Failures  |  看门狗故障。  | 
|  Watchdog\$1Warnings  |  看门狗警告。  | 

生成指标供其使用 CloudWatch。用于机器人的命名空间是 `WickrIO`。每个指标都有一个维度阵列。以下是与上述指标一起发布的维度的列表。


| 维度 | 值 | 
| --- | --- | 
|  Id  |  机器人的用户名。  | 
|  设备  |  特定机器人设备或实例的描述。在运行多个机器人设备或实例时有用。  | 
|  产品  |  机器人的产品。可以是附加了 `Alpha`、`Beta` 或 `Production` 的 `WickrPro_` 或 `WickrEnterprise_`。  | 
|  BotType  |  机器人类型。合规机器人被标记为**合规**。  | 
|  Network  |  关联网络的 ID。  | 

# 为你的 Wickr 网络举办的亚马逊 SNS 活动
<a name="sns-events"></a>

以下事件发布到由使用 `WICKRIO_SNS_TOPIC_ARN` 环境变量或 `sns_topic_arn` Secrets Manager 密钥值识别的 Amazon 资源名称（ARN）值定义的 Amazon SNS 主题。有关更多信息，请参阅[在 AWS Wickr 中配置数据保留机器人的环境变量](data-retention-bot-env-variables.md)和[AWS Wickr 的 Secrets Manager 值](data-retention-aws-secret-values.md)。

数据留存机器人生成的事件以 JSON 字符串的形式发送。从 5.116 版的数据留存机器人起，这些事件中包含以下值。


| Name | 值 | 
| --- | --- | 
|  complianceBot  |  数据留存机器人的用户名。  | 
|  dataTime  |  事件发生时的日期和时间。  | 
|  设备  |  对特定机器人设备或实例的描述。在运行多个机器人实例时很有用。  | 
|  dockerImage  |  与机器人关联的 Docker 映像。  | 
|  dockerTag  |  Docker 映像的标签或版本。  | 
|  message  |  事件消息。有关更多信息，请参阅[关键事件](#sns-critical-events)和[正常事件](#sns-normal-events)。  | 
|  notificationType  |  这个值将是 `Bot Event`。  | 
|  severity  |  事件的严重性。可以是 `normal` 或 `critical`。  | 

必须订阅 Amazon SNS 主题才能接收事件。如果您使用电子邮件地址进行订阅，则系统会向您发送一封电子邮件，其中包含与以下示例类似的信息。

```
{
"complianceBot": "compliance_1234567890_bot",
 "dateTime": "2022-10-12T13:05:39",
 "device": "Desktop 1234567890ab",
 "dockerImage": "wickr/bot-compliance-cloud",
 "dockerTag": "5.116.13.01",
 "message": "Logged in",
 "notificationType": "Bot Event",
 "severity": "normal"
}
```

## 关键事件
<a name="sns-critical-events"></a>

这些事件将导致机器人停止或重启。重启次数受到限制，以免导致其他问题。

**登录失败**

以下是机器人登录失败时可能生成的事件。每条消息都会指出登录失败的原因。


| 事件类型 | 事件消息 | 
| --- | --- | 
|  failedlogin  |  凭证不正确。检查密码。  | 
|  failedlogin  |  未找到用户。  | 
|  failedlogin  |  账户或设备已被暂停。  | 
|  预置  |  用户退出命令。  | 
|  预置  |  `config.wickr` 文件的密码不正确。  | 
|  预置  |  无法读取 `config.wickr` 文件。  | 
|  failedlogin  |  登录全部失败。  | 
|  failedlogin  |  新用户但数据库已存在。  | 

**更多关键事件**


| 事件类型 | 事件消息 | 
| --- | --- | 
|  账户暂停  |  Wickr IOClient Main:: slotAdminUser 暂停:代码 (%1): 原因:%2”  | 
|  BotDevice 已暂停  |  设备已暂停！  | 
|  WatchDog  |   SwitchBoard 系统停机时间超过 < *N* > 分钟  | 
|  S3 失败  |  无法将文件 < *file-name* ≫ 放在 S3 存储桶上。错误：< *AWS-error* >  | 
|  回退键  |  服务器提交的回退键：不是已识别客户端活跃回退键。请向桌面工程部门提交日志。  | 

## 正常事件
<a name="sns-normal-events"></a>

以下是警告您发生正常操作的事件。在特定时间段内出现过多此类事件可能是担忧的原因。

**设备已添加到账户**

此事件在向数据留存机器人账户添加新设备时生成。在某些情况下，这可能是一个重要迹象，表明有人已创建数据留存机器人实例。以下是此事件的消息。

```
A device has been added to this account!
```

**机器人已登录**

此事件在机器人已成功登录时生成。以下是此事件的消息。

```
Logged in
```

**正在关闭**

此事件在机器人正在关闭时生成。如果用户没有明确发起此操作，则可能表示存在问题。以下是此事件的消息。

```
Shutting down
```

**有更新可用**

此事件在数据留存机器人启动时生成，它表明关联的 Docker 映像有更新的版本可用。此事件在机器人启动时生成，并且每天都会生成。此事件包括用于识别可用新版本的 `versions` 数组字段。以下为此事件具体形式的示例。

```
{
  "complianceBot": "compliance_1234567890_bot",
  "dateTime": "2022-10-12T13:05:55",
  "device": "Desktop 1234567890ab",
  "dockerImage": "wickr/bot-compliance-cloud",
  "dockerTag": "5.116.13.01",
  "message": "There are updates available",
  "notificationType": "Bot Event",
  "severity": "normal",
  "versions": [
    "5.116.10.01"
  ]
}
```

# 什么是 ATAK？
<a name="what-is-atak"></a>

安卓团队感知套件（ATAK）或军用安卓战术攻击套件（ATAK），是一款智能手机地理空间基础设施和态势感知应用程序，可实现跨地域的安全协作。虽然 ATAK 最初是为在战区使用而设计，但经过调整，可承担地方、州和联邦机构的任务。

**Topics**
+ [在 Wickr 网络控制面板中启用 ATAK](#atak)
+ [有关 ATAK 的其他信息](#additional-information)
+ [安装并配对适用于 ATAK 的 Wickr 插件](install-and-pair.md)
+ [取消配对 ATAK 的 Wickr 插件](unpair.md)
+ [在 ATAK 中拨打和接听电话](dial-and-receive-call.md)
+ [在 ATAK 中发送文件](send-a-file.md)
+ [在 ATAK 中发送安全的语音留言 (Push-to-talk)](send-secure-voice-message.md)
+ [适用于 ATAK 的 Pinwheel（快速访问）](pinwheel.md)
+ [ATAK 的导航](navigation.md)

## 在 Wickr 网络控制面板中启用 ATAK
<a name="atak"></a>

AWS Wickr 支持许多使用安卓战术攻击套件 (ATAK) 的机构。但是，到目前为止，使用 Wickr 的 ATAK 操作员必须离开应用程序才能进行这些操作。为了帮助减少中断和运营风险，Wickr 开发了一种插件，该插件通过安全的通信功能增强了 ATAK。使用适用于 ATAK 的 Wickr 插件，用户可以在 ATAK 应用程序中在 Wickr 上发送消息、协作和传输文件。这消除了中断以及 ATAK 聊天功能配置的复杂性。

### 在 Wickr 网络控制面板中启用 ATAK
<a name="enable-tak"></a>

完成以下过程以在 Wickr Network Dashboard 中启用 ATAK。

1. 在 f AWS 管理控制台 or Wickr 上[https://console.aws.amazon.com/wickr/](https://console.aws.amazon.com/wickr/)打开。

1. 在 “**网络**” 页面上，选择要导航到该网络的网络名称。

1. 在导航窗格中，选择**安全组**。

1. 在**安全组**页面上，选择要为其启用 ATAK 的所需安全组。

1. 在 “**集成**” 选项卡上的 “**ATAK 插件**” 部分，选择 “**编辑”**。

1. 在 **“编辑 ATAK 插件**” 页面上，选中 “**启用 ATAK** 插件” 复选框。

1. 选择 “**添加新套餐**”

1. 在**软件包**文本框中输入软件包名称。您可以选择以下值之一，具体取决于用户将安装和使用的 ATAK 版本：
   + `com.atakmap.app.civ`：如果您的 Wickr 最终用户要在其 Android 设备上安装和使用民用版 ATAK 应用程序，请在**软件包**文本框中输入此值。
   + `com.atakmap.app.mil`：如果您的 Wickr 最终用户要在其 Android 设备上安装和使用军用版 ATAK 应用程序，请在**软件包**文本框中输入此值。

1. 选择**保存**。

   现在，已为选定的 Wickr 网络和选定的安全组启用 ATAK。您应该要求安全组中为其启用了 ATAK 功能的 Android 用户安装适用于 ATAK 的 Wickr 插件。有关更多信息，请参阅[安装并配对 Wickr ATAK 插件](https://docs.aws.amazon.com/wickr/latest/userguide/atak.html)。

## 有关 ATAK 的其他信息
<a name="additional-information"></a>

有关 ATAK 的 Wickr 插件的更多信息，请参阅以下内容：


+ [Wickr ATAK 插件概述](https://wickr.com/wp-content/uploads/2022/12/Wickr-ATAK-Plugin-Overview.pdf)
+ [其他 Wickr ATAK 插件信息](http://wickr.com/atak-plugin)

# 安装并配对适用于 ATAK 的 Wickr 插件
<a name="install-and-pair"></a>

安卓战术突击套件 (ATAK) 是美国军方、州和政府机构使用的安卓解决方案，这些机构需要态势感知能力来进行任务规划、执行和事件响应。ATAK 的插件架构能让开发者添加功能。它使用户能够使用 GPS 和地理空间地图数据进行导航，再加上对正在发生的事件的实时态势感知。在本文档中，我们将向您展示如何在安卓设备上安装适用于 ATAK 的 Wickr 插件并将其与 Wickr 客户端配对。这让您无需退出 ATAK 应用程序就能在 Wickr 上发送消息和进行协作。

## 安装 ATAK 的 Wickr 插件
<a name="install"></a>

完成以下过程以在安卓设备上安装 ATAK 用的 Wickr 插件。

1. 前往 Google Play 商店，安装 ATAK 用的 Wickr 插件。

1. 在安卓设备上打开 ATAK 应用程序。

1. 在 ATAK 应用程序中，选择屏幕右上角的菜单图标（![\[Menu icon\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/images/atak_hamburger_icon.png)），然后选择**插件**。

1. 选择**导入**。

1. 在**选择导入类型**弹出窗口中，选择**本地 SD**，然后导航到保存“适用于 ATAK 的 Wickr 插件”.apk 文件的位置。

1. 选择插件文件并按照提示进行安装。
**注意**  
如果系统要求您发送插件文件进行扫描，请选择**否**。

1. ATAK 应用程序将询问您是否要加载该插件。选择**确定**。

ATAK 的 Wickr 插件现已安装。继续按照“将 ATAK 与 Wickr 配对”一节进行操作以完成此过程。

## 将 ATAK 与 Wickr 配对
<a name="pair"></a>

成功安装用于 ATAK 的 Wickr 插件后，完成以下过程将 ATAK 应用程序与 Wickr 配对。

1. 在 ATAK 应用程序中，选择屏幕右上角的菜单图标（![\[Menu icon\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/images/atak_hamburger_icon.png)），然后选择 **Wickr 插件**。

1. 选择 **Wickr 配对**。

   将出现一条通知提示，要求您查看用于 ATAK 的 Wickr 插件的权限。如果没有出现通知提示，请打开 Wickr 客户端，转到**设置**，然后转到**已连接的应用程序**。可在屏幕的**待处理**部分下面看到这个插件。

1. 选择**批准**进行配对。

1. 选择**打开 Wickr ATAK 插件**按钮以返回到 ATAK 应用程序。

   现在，您已成功将 ATAK 插件与 Wickr 配对，而且无需退出 ATAK 应用程序便可使用该插件来发送消息和使用 Wickr 进行协作。

# 取消配对 ATAK 的 Wickr 插件
<a name="unpair"></a>

你可以取消与 ATAK 的 Wickr 插件的配对。

完成以下过程以取消 ATAK 插件与 Wickr 的配对。

1. 在本机应用程序中，选择**设置**，然后选择**连接的应用程序**。

1. 在**连接的应用程序**屏幕上，选择 **Wickr ATAK 插件**。

1. 在 **Wickr ATAK 插件**屏幕上，选择屏幕底部的**删除**。

    现在，你已经成功取消了 ATAK 的 Wickr 插件的配对。

# 在 ATAK 中拨打和接听电话
<a name="dial-and-receive-call"></a>

您可以使用适用于 ATAK 的 Wickr 插件拨打和接听电话。

完成以下过程以拨打和接听电话。

1. 打开聊天窗口。

1. 在**地图**视图中，选择要呼叫的用户图标。

1. 选择屏幕右上角的电话图标。

1. 连接后，您可以返回 ATAK 插件视图并接听电话。

# 在 ATAK 中发送文件
<a name="send-a-file"></a>

您可以使用适用于 ATAK 的 Wickr 插件发送文件。

完成以下过程以发送文件。

1. 打开聊天窗口。

1. 在**地图**视图中，搜索要向其发送文件的用户。

1. 找到要向其发送文件的用户时，请选择用户名称。

1. 在**发送文件**屏幕上，选择**选择文件**，然后导航至要发送的文件。  
![\[用户菜单窗格。\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/images/atak-choose-file.png)

1. 在浏览器窗口中，选择所需的文件。

1. 在**发送文件**屏幕上，选择**发送文件**。

   此时将显示下载图标，表示您选择的文件正在下载。

# 在 ATAK 中发送安全的语音留言 (Push-to-talk)
<a name="send-secure-voice-message"></a>

你可以在 ATAK 的 Wickr 插件中发送安全的语音消息 (Push-to-talk)。

完成以下过程以发送安全语音消息。

1. 打开聊天窗口。

1. 选择屏幕顶部的 Push-to-Talk图标，该图标由一个人说话的图标表示。  
![\[Push-to-talk 图标。\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/images/atak-wickr-push-to-talk-icon.png)

1. 选择并按住**按住按钮录制**按钮。  
![\[录制按钮。\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/images/atak-secure-voice-message.png)

1. 录制消息。

1. 录制消息后，释放按钮即可发送。

# 适用于 ATAK 的 Pinwheel（快速访问）
<a name="pinwheel"></a>

风车或快速访问功能用于 one-one-one对话或私信。

完成以下过程以使用风车。

1. 同时打开 ATAK 地图和适用于 ATAK 的 Wickr 插件分屏视图。地图会在地图视图上显示您的队友或资产。

1. 选择用户图标以打开风车。

1. 选择 Wickr 图标，查看所选用户的可用选项。  
![\[Wickr 图标。\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/images/atak-pinwheel-wickr-icon.png)

1. 在风车上，请选择下列图标之一：
   + **电话**：选择以呼叫。  
![\[风车呼叫图标。\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/images/atak-pinwheel-call.png)
   + **消息**：选择以聊天。  
![\[风车聊天图标。\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/images/atak-pinwheel-message.png)
   + **文件发送**：选择以发送文件。  
![\[风车发送文件图标。\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/images/atak-pinwheel-send.png)

# ATAK 的导航
<a name="navigation"></a>

插件 UI 包含三个插件视图，这些视图由屏幕右下角的蓝色和白色形状表示。向左和向右滑动可在不同的视图之间导航。
+ **联系人视图**：创建私信群组或房间对话。
+ **DMs 查看**：创建 one-to-one对话。聊天功能与 Wickr 本机应用程序一样。此功能允许您保留在地图视图中，并通过插件与其他人通信。
+ **房间视图**：本机应用程序中的现有房间会移植过来。插件中的任何操作都会反映在 Wickr 本机应用程序中。
**注意**  
某些功能（例如删除房间）只能在本机应用程序中手动执行，以防用户意外修改和现场设备造成干扰。

# 允许列出 Wickr 网络的端口和域名
<a name="allow-list-ports-domains"></a>

允许列出以下端口以确保 Wickr 正常运行：

**端口**
+ TCP 端口 443（用于消息和附件）
+ UDP 端口 16384-16584（用于呼叫）

## 按地区列出的允许列入许可名单的域名和地址
<a name="ip-addresses"></a>

如果您需要将所有可能的主叫域和服务器 IP 地址列入许可名单，请参阅以下 CIDRs 按地区列出的潜在主叫域和服务器 IP 地址列表。请定期查看此列表，因为它可能会发生变化。

**注意**  
注册和验证电子邮件由`no-reply@amazonaws.com`和发送`donotreply@wickr.email`。

### 美国东部（弗吉尼亚州北部）
<a name="us-east-north-virginia"></a>


|  |  | 
| --- |--- |
| 域名： | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/allow-list-ports-domains.html) | 
| 呼叫 CIDR 地址： |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/allow-list-ports-domains.html)  | 
| 呼叫 IP 地址： |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/allow-list-ports-domains.html)  | 

### 亚太地区（马来西亚）
<a name="ap-southeast-malaysia"></a>


|  |  | 
| --- |--- |
| 域名： | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/allow-list-ports-domains.html) | 
| 呼叫 CIDR 地址： |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/allow-list-ports-domains.html)  | 
| 呼叫 IP 地址： |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/allow-list-ports-domains.html)  | 

### 亚太地区（新加坡）
<a name="ap-southeast-singapore"></a>


|  |  | 
| --- |--- |
| 域: | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/allow-list-ports-domains.html) | 
| 呼叫 CIDR 地址： |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/allow-list-ports-domains.html)  | 
|  呼叫 IP 地址： |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/allow-list-ports-domains.html)  | 

### 亚太地区（悉尼）
<a name="ap-southeast-sydney"></a>


|  |  | 
| --- |--- |
| 域: | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/allow-list-ports-domains.html) | 
| 呼叫 CIDR 地址： |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/allow-list-ports-domains.html)  | 
|  呼叫 IP 地址： |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/allow-list-ports-domains.html)  | 

### 亚太地区（东京）
<a name="ap-northeast-tokyo"></a>


|  |  | 
| --- |--- |
| 域: | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/allow-list-ports-domains.html) | 
| 呼叫 CIDR 地址： |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/allow-list-ports-domains.html)  | 
|  呼叫 IP 地址： |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/allow-list-ports-domains.html)  | 

### 加拿大（中部）
<a name="ca-central-canada"></a>


|  |  | 
| --- |--- |
| 域: | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/allow-list-ports-domains.html) | 
| 呼叫 CIDR 地址： |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/allow-list-ports-domains.html)  | 
|  呼叫 IP 地址： |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/allow-list-ports-domains.html)  | 

### 欧洲地区（法兰克福）
<a name="eu-central-frankfurt"></a>


|  |  | 
| --- |--- |
| 域: | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/allow-list-ports-domains.html) | 
| 呼叫 CIDR 地址： |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/allow-list-ports-domains.html)  | 
|  呼叫 IP 地址： |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/allow-list-ports-domains.html)  | 
|  消息 IP 地址： |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/allow-list-ports-domains.html)  | 

### 欧洲地区（伦敦）
<a name="eu-west-london"></a>


|  |  | 
| --- |--- |
| 域: | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/allow-list-ports-domains.html) | 
| 呼叫 CIDR 地址： |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/allow-list-ports-domains.html)  | 
|  呼叫 IP 地址： |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/allow-list-ports-domains.html)  | 

### 欧洲地区（斯德哥尔摩）
<a name="eu-north-stockholm"></a>


|  |  | 
| --- |--- |
| 域: | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/allow-list-ports-domains.html) | 
| 呼叫 CIDR 地址： |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/allow-list-ports-domains.html)  | 
|  呼叫 IP 地址： |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/allow-list-ports-domains.html)  | 

### 欧洲（苏黎世）
<a name="eu-central-zurich"></a>


|  |  | 
| --- |--- |
| 域: | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/allow-list-ports-domains.html) | 
| 呼叫 CIDR 地址： |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/allow-list-ports-domains.html)  | 
|  呼叫 IP 地址： |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/allow-list-ports-domains.html)  | 

### AWS GovCloud （美国西部）
<a name="us-gov-west"></a>


|  |  | 
| --- |--- |
| 域: | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/allow-list-ports-domains.html) | 
| 呼叫 CIDR 地址： |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/allow-list-ports-domains.html)  | 
|  呼叫 IP 地址： |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/allow-list-ports-domains.html)  | 

# GovCloud 跨界分类和联合
<a name="govcloud-cross-boundary"></a>

AWS Wickr 提供专为 GovCloud 用户量身定制的 WickrGov 客户端。 GovCloud 联合会允许 GovCloud 用户和商业用户之间进行通信。跨界分类功能允许用户更改对话的 GovCloud 用户界面。作为 GovCloud 用户，您必须遵守有关政府定义的分类的严格指导方针。当 GovCloud 用户与商业用户（企业用户、AWS Wickr、访客用户）进行对话时，他们将看到显示以下未保密的警告：
+ 房间列表中有 U 标签 
+ 消息屏幕上显示未保密的确认
+ 对话顶部有一面未保密的横幅

![\[Messaging app interface showing rooms list, chat window, and security notice for Finance Room.\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/images/gov-cloud-cross-boundary.png)


**注意**  
只有当用户与外部 GovCloud 用户进行对话或在会议室的一部分时，才会显示这些警告。如果外部用户退出对话，它们就会消失。 GovCloud 用户之间的对话中不会显示任何警告。

# AWS Wickr 的文件预览
<a name="file-preview"></a>

使用 Wickr Premium 级别（包括高级免费试用）的组织现在可以在安全组级别管理文件下载权限。

默认情况下，安全组中的文件下载处于启用状态。管理员可以通过管理员面板启用或禁用文件下载。此设置适用于整个 Wickr 网络。

要启用或禁用文件下载，请完成以下步骤。

1. 在 f AWS 管理控制台 or Wickr 上[https://console.aws.amazon.com/wickr/](https://console.aws.amazon.com/wickr/)打开。

1. 在 “**网络**” 页面上，选择要导航到该网络的网络名称。

1. 在导航窗格中，选择**安全组**。

1. 选择要编辑的安全组的名称。

   安全组详细信息页面在不同的选项卡中显示安全组的设置。

1. 在 “**消息**” 选项卡下的 “**媒体和链接**” 部分，选择 “**编辑”**。

1. 在 **“编辑媒体和链接**” 页面上，选中或取消选中**文件下载**选项。

1. 选择**保存更改**。

为安全组启用文件下载功能后，用户可以下载私信和聊天室中共享的文件。如果禁用下载，他们只能预览这些文件并上传到 “**文件**” 选项卡，但不能下载它们。用户也被限制截取屏幕截图；尝试屏幕截图会导致黑屏。

**注意**  
禁用文件下载后，该安全组中的所有用户都必须使用 Wickr 6.54 及更高版本才能应用此文件设置。

**注意**  
在有来自不同网络（由于联合）和安全组的用户所在的房间中，每个用户预览或下载文件的能力取决于其特定的安全组设置。因此，有些用户可以在房间里下载文件，而另一些用户只能预览文件。