本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为 Amazon 设置IAM服务角色 GameLift
Amazon 的某些 GameLift 功能要求您将有限的访问权限扩展到您拥有的其他 Amazon 资源。你可以通过创建 Amazon Identity and Access Management (IAM) 角色来做到这一点。IAM角色是您可以在自己的账户中创建的具有特定权限的IAM身份。IAM角色与IAM用户的相似之处在于,它是一个 Amazon 身份,其权限策略决定了该身份可以做什么和不能做什么 Amazon。但是,角色旨在让需要它的任何人代入,而不是唯一地与某个人员关联。此外,角色没有关联的标准长期凭证(如密码或访问密钥)。相反,当您代入角色时,它会为您提供角色会话的临时安全凭证。
本主题介绍如何创建可用于 Amazon GameLift 托管车队的角色。如果您使用亚马逊 GameLift FleetiQ 来优化亚马逊弹性计算云 (亚马逊) 实例上的游戏托管,请参阅为EC2亚马逊 FleetiQ 进行设置 Amazon Web Services 账户。 GameLift
在以下步骤中,使用自定义权限策略和允许 Amazon 担任该角色 GameLift 的信任策略创建一个角色。
创建自定义 IAM 角色
步骤 1:创建权限策略。
使用JSON策略编辑器创建策略
登录 Amazon Web Services Management Console 并打开IAM控制台,网址为https://console.aws.amazon.com/iam/
。 -
在左侧的导航窗格中,选择策略。
如果这是您首次选择策略,则会显示欢迎访问托管式策略页面。选择开始使用。
-
在页面的顶部,选择 Create Policy(创建策略)。
-
在 “策略编辑器” 部分中,选择JSON选项。
-
输入或粘贴JSON政策文档。有关IAM政策语言的详细信息,请参阅IAMJSON政策参考。
-
解决策略验证过程中生成的任何安全警告、错误或常规警告,然后选择下一步。
注意
您可以随时在 “可视化” 和 “JSON编辑器” 选项之间切换。但是,如果您进行更改或在可视化编辑器中选择 “下一步”,则IAM可能会重构您的策略以针对可视化编辑器对其进行优化。有关更多信息,请参阅《IAM用户指南》中的策略重组。
-
(可选)在中创建或编辑策略时 Amazon Web Services Management Console,可以生成可在模板中使用的JSON或YAML策略 Amazon CloudFormation 模板。
为此,请在策略编辑器中选择操作,然后选择生成 CloudFormation模板。要了解更多信息 Amazon CloudFormation,请参阅Amazon CloudFormation 用户指南中的Amazon Identity and Access Management 资源类型参考。
-
向策略添加完权限后,选择下一步。
-
在查看并创建页面上,为您要创建的策略键入策略名称和描述(可选)。查看此策略中定义的权限以查看策略授予的权限。
-
(可选)通过以密钥值对的形式附加标签来向策略添加元数据。有关在中使用标签的更多信息IAM,请参阅《IAM用户指南》中的为IAM资源添加标签。
-
选择创建策略可保存您的新策略。
步骤 2:创建 Amazon GameLift 可以代入的角色。
创建 IAM 角色
在IAM控制台的导航窗格中,选择角色,然后选择创建角色。
在选择可信实体页面上,选择自定义信任策略选项。此选项将打开自定义信任策略编辑器。
-
将默认JSON语法替换为以下语法,然后选择 “下一步” 继续。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "gamelift.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
-
在添加权限页面上,找到并选择您在步骤 1 中创建的权限策略。选择下一步以继续。
-
在名称、查看并创建页面上,为您要创建的角色输入角色名称和描述(可选)。查看信任实体和已添加权限。
-
选择创建角色以保存您的新角色。
权限策略语法
-
Amazon GameLift 担任服务角色的权限
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "gamelift.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
-
访问默认情况下未启用的 Amazon 区域的权限
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "gamelift.amazonaws.com", "gamelift.ap-east-1.amazonaws.com", "gamelift.me-south-1.amazonaws.com", "gamelift.af-south-1.amazonaws.com", "gamelift.eu-south-1.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }