为亚马逊设置 IAM 服务角色 GameLift - 亚马逊 GameLift
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为亚马逊设置 IAM 服务角色 GameLift

某些亚马逊 GameLift 功能要求您扩展对Amazon资源的有限访问权限。您可以通过创建Amazon Identity and Access Management (IAM) 服务角色来做到这一点。服务角色是由一项服务担任、代表您执行操作的 IAM 角色。IAM 管理员可以在 IAM 中创建、修改和删除服务角色。有关更多信息,请参阅 IAM 用户指南中的创建向 Amazon Web Service 委派权限的角色

本主题涵盖亚马逊 GameLift 托管的解决方案。如果您使用 Amazon GameLift FleetIQ 优化亚马逊Elastic Compute Cloud (Amazon EC2) 实例上的游戏托管,请参阅为 Amazon GameLift FleetIQ 设置您的Amazon Web Services 账户游戏。

对于以下步骤,请使用以下权限策略:

  • GameLift 允许亚马逊担任服务角色的权限

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "gamelift.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  • 访问默认情况下未启用的Amazon区域的权限

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "gamelift.amazonaws.com",
          "gamelift.ap-east-1.amazonaws.com",
          "gamelift.me-south-1.amazonaws.com",
          "gamelift.af-south-1.amazonaws.com",
          "gamelift.eu-south-1.amazonaws.com" 
        ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
创建用于 Amazon Web Service 的角色(IAM 控制台)

  1. 登录Amazon Web Services Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在 IAM 控制台的导航窗格中,选择 Roles,然后选择 Create role

  3. 选择 Amazon Web Service 角色名称。

  4. 选择用于您的服务的使用案例。使用案例由服务定义以包含服务要求的信任策略。

  5. 选择下一步

  6. 如果可能,选择要用于权限策略的策略。否则,请选择 Create policy(创建策略)以打开新的浏览器选项卡并从头开始创建新策略。有关更多信息,请参阅 IAM 用户指南 中的创建 IAM policy

  7. 在您创建策略后,关闭该选项卡并返回到您的原始选项卡。选中您希望服务具有的权限策略旁边的复选框。

    根据您选择的使用案例,服务可能让您执行以下任意操作:

    • 不执行任何操作,因为该服务为角色定义了权限。

    • 从一组有限的权限中进行选择。

    • 从任何权限中进行选择。

    • 此时不选择任何策略。但是,您可以稍后创建策略,然后将这些策略附加到角色。

  8. (可选)设置权限边界。这是一项高级功能,可用于服务角色,但不可用于服务相关角色。

    展开 Permissions boundary(权限边界)部分,然后选择 Use a permissions boundary to control the maximum role permissions(使用权限边界控制最大角色权限)。IAM 包括您的账户中的 Amazon 托管策略和客户托管策略的列表。选择要用于权限边界的策略,或选择创建策略以打开新的浏览器选项卡并从头开始创建新策略。有关更多信息,请参阅 IAM 用户指南 中的创建 IAM policy。在您创建策略后,关闭该选项卡并返回到您的原始选项卡,以选择要用于权限边界的策略。

  9. 选择下一步

  10. 对于 Role name (角色名称),角色名称自定义的程度由服务定义。如果服务定义角色的名称,则此选项不可编辑。在其他情况下,服务可能定义角色的前缀并让您输入可选的后缀。某些服务让您指定角色的整个名称。

    如果可能,输入有助于识别该角色的作用的角色名称或角色名称后缀。角色名称在您的 Amazon Web Services 账户 内必须是唯一的。由于角色名不区分大小写,因此您无法创建名为 PRODROLEprodrole 两者的角色。各种实体可能会引用该角色。因此,角色创建完毕后无法编辑角色名称。

  11. (可选)对于 Description(描述),输入新角色的描述。

  12. Step 1: Select trusted entities(步骤 1:选择可信实体)或 Step 2: Select permissions(步骤 2:选择权限)部分中的 Edit(编辑),以编辑角色的用户案例和权限。

  13. (可选) 通过以键值对的形式附加标签来向用户添加元数据。有关在 IAM 中使用标签的更多信息,请参阅《IAM 用户指南》中的标记 IAM 资源

  14. 检查该角色,然后选择创建角色