本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
GameLift 基于身份的策略示例
默认情况下, IAM 用户和角色没有创建或修改权限 GameLift 资源。他们也不能使用 AWS 管理控制台, AWS CLI,或 AWS API。一个 IAM 管理员必须创建 IAM 授予用户和角色权限的策略,以便在所需的指定资源上执行特定API操作。然后,管理员必须将这些策略附加到需要这些权限的 IAM 用户或组。
学习如何创建 IAM 基于身份的策略使用这些示例JSON策略文档,请参阅 在JSON选项卡上创建策略 在 IAM 用户指南.
策略最佳实践
基于身份的策略非常强大。它们确定某个人是否可以创建、访问或删除您账户中的 GameLift 资源。这些操作可能会使 AWS 账户产生成本。创建或编辑基于身份的策略时,请遵循以下准则和建议:
-
开始使用 AWS 托管策略 – 要快速开始使用 GameLift,请使用 AWS 托管策略,为您的员工授予他们所需的权限。这些策略已在您的账户中提供,并由 AWS 维护和更新。有关更多信息,请参阅 IAM 用户指南 中的利用 AWS 托管策略开始使用权限。
-
授予最低权限 – 创建自定义策略时,仅授予执行任务所需的许可。最开始只授予最低权限,然后根据需要授予其他权限。这样做比起一开始就授予过于宽松的权限而后再尝试收紧权限来说更为安全。有关更多信息,请参阅 IAM 用户指南 中的授予最小权限。
-
为敏感操作启用 MFA – 为增强安全性,要求 IAM 用户使用多重身份验证 (MFA) 来访问敏感资源或 API 操作。有关更多信息,请参阅 IAM 用户指南 中的在 AWS 中使用多重身份验证 (MFA)。
-
使用策略条件来增强安全性 – 在切实可行的范围内,定义基于身份的策略在哪些情况下允许访问资源。例如,您可编写条件来指定请求必须来自允许的 IP 地址范围。您也可以编写条件,以便仅允许指定日期或时间范围内的请求,或者要求使用 SSL 或 MFA。有关更多信息,请参阅 IAM 用户指南 中的 IAM JSON 策略元素:Condition。
使用 GameLift 控制台
要访问 GameLift 控制台,您必须拥有一组最低的权限。这些权限必须允许您列出并查看有关 GameLift 资源 AWS 账户。如果创建比必需的最低权限更为严格的基于身份的策略,对于附加了该策略的实体(IAM 用户或角色),控制台将无法按预期正常运行。
要确保这些实体仍然可以使用 GameLift 控制台,请使用以下策略语法向用户和组添加内联策略。有关详细信息,请参阅 向用户添加权限 在 IAM 用户指南. 您不需要允许仅将调用呼叫的用户的最低控制台权限 AWS CLI 或 AWS API,比如使用Game客户的玩家。相反,只允许访问与您尝试执行的 API 操作相匹配的操作。
-
使用所有权限所需的权限 GameLift 控制台功能:请参阅管理员的内联策略语法 适用于 GameLift 的 IAM 策略示例.
允许用户查看他们自己的权限
此示例显示您可以如何创建策略,以便允许 IAM 用户查看附加到其用户身份的内联和托管策略。此策略包括在控制台上完成此操作或者以编程方式使用 AWS CLI 或 AWS API 所需的权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws-cn:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
允许玩家访问游戏会话
您希望授予游戏客户端(或用于管理来自游戏客户端的请求的客户端服务)所需的访问权限,以便在可用游戏会话中创建新的游戏会话并请求玩家放置。您的游戏可以通过多种方式完成此任务,包括使用带队列的游戏会话放置、对战或手动放置。要查看这些场景的策略示例,请参阅 中玩家的内联策略语法。适用于 GameLift 的 IAM 策略示例.
允许访问一个 GameLift 队列
在本示例中,您希望授予 IAM 用户在您的 AWS 帐户访问您的 GameLift 队列, gamesessionqueue/examplequeue123,包括添加、更新和删除队列目标的能力。
本政策向用户授予以下操作的权限: gamelift:UpdateGameSessionQueue, gamelift:DeleteGameSessionQueue,和 gamelift:DescribeGameSessionQueues...如图所示,此策略使用资源元素来限制对单个队列的访问。
{ "Version":"2012-10-17", "Statement":[ { "Sid":"ViewSpecificQueueInfo", "Effect":"Allow", "Action":[ "gamelift:DescribeGameSessionQueues" ], "Resource":"arn:aws-cn:gamelift:::gamesessionqueue/examplequeue123" }, { "Sid":"ManageSpecificQueue", "Effect":"Allow", "Action":[ "gamelift:UpdateGameSessionQueue", "gamelift:DeleteGameSessionQueue" ], "Resource":"arn:aws-cn:gamelift:::gamesessionqueue/examplequeue123" } ] }
根据标签查看 GameLift 队组
您可以在基于身份的策略中使用条件,以便基于标签控制对 GameLift 资源的访问。该示例说明了如何创建策略以允许查看队组。不过,只有在队组标签 Owner 具有该用户的用户名称值时,才会授予权限。此策略还授予在控制台上完成此操作的必要权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ListFleetsInConsole", "Effect": "Allow", "Action": "gamelift:ListFleets", "Resource": "*" }, { "Sid": "ViewFleetIfOwner", "Effect": "Allow", "Action": "gamelift:DescribeFleetAttributes", "Resource": "arn:aws-cn:gamelift:*:*:fleet/*", "Condition": { "StringEquals": {"gamelift:ResourceTag/Owner": "${aws:username}"} } } ] }
您可以将此策略附加到您账户中的 IAM 用户。如果用户名为 richard-roe 尝试查看 GameLift 车队,车队必须标记 Owner=richard-roe 或 owner=richard-roe...否则,拒绝访问。条件标签键 Owner 同时匹配 Owner 和 owner 因为条件密钥名称不区分大小写。有关详细信息,请参阅 IAM JSON政策要素: 条件 在 IAM 用户指南.