本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
管理亚马逊 GameLift FleetIQ 的用户权限
根据需要创建其他用户或将 Amazon GameLift FleetIQ 访问权限扩展到现有用户。使用亚马逊 GameLift FleetIQ 游戏服务器组以及相关的 Amazon EC2 和 Auto Scaling 服务的用户必须拥有访问这些服务的权限。
作为最佳实践(IAM 中的安全最佳实践),对所有用户应用最低权限权限。您可以为各个用户或用户组设置权限,并按服务、操作或资源限制用户访问权限。
根据您管理Amazon账户中用户的方式,按照以下说明设置用户权限。如果您使用 IAM 用户,则最佳做法是始终向角色或用户组授予权限,而不是向个人用户授予权限。
要提供访问权限,请为您的用户、组或角色添加权限:
-
通过身份提供商在 IAM 中托管的用户:
创建适用于身份联合验证的角色。按照《IAM 用户指南》中为第三方身份提供商创建角色(联合身份验证)的说明进行操作。
-
IAM 用户:
-
创建您的用户可以担任的角色。按照《IAM 用户指南》中为 IAM 用户创建角色的说明进行操作。
-
(不推荐使用)将策略直接附加到用户或将用户添加到用户组。按照《IAM 用户指南》中向用户添加权限(控制台)中的说明进行操作。
-
亚马逊 GameLift Fleetiq_Policy
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "iam:PassRole" ], "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "gamelift.amazonaws.com" } } }, { "Action": [ "iam:CreateServiceLinkedRole" ], "Effect": "Allow", "Resource": "arn:*:iam::*:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling" }, { "Action": [ "autoscaling:CreateAutoScalingGroup", "autoscaling:CreateOrUpdateTags", "autoscaling:DescribeAutoScalingGroups", "autoscaling:ExitStandby", "autoscaling:PutLifecycleHook", "autoscaling:PutScalingPolicy", "autoscaling:ResumeProcesses", "autoscaling:SetInstanceProtection", "autoscaling:UpdateAutoScalingGroup", "autoscaling:DeleteAutoScalingGroup" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "ec2:DescribeAvailabilityZones", "ec2:DescribeSubnets", "ec2:RunInstances", "ec2:CreateTags" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "events:PutRule", "events:PutTargets" ], "Effect": "Allow", "Resource": "*" } ] }
的额外权限 Amazon CloudFormation
如果您Amazon CloudFormation用于管理游戏托管资源,请将权Amazon CloudFormation限添加到策略语法中。
{ "Action": [ "autoscaling:DescribeLifecycleHooks", "autoscaling:DescribeNotificationConfigurations", "ec2:DescribeLaunchTemplateVersions" ] "Effect": "Allow", "Resource": "*" }
为用户设置编程访问权限
如果用户需要在 Amazon Web Services Management Console 之外与 Amazon 交互,则需要编程式访问权限。Amazon API 和 Amazon Command Line Interface 需要访问密钥。可能的话,创建临时凭证,该凭证由一个访问密钥 ID、一个秘密访问密钥和一个指示凭证何时到期的安全令牌组成。
要向用户授予编程式访问权限,请选择以下选项之一。
哪个用户需要编程式访问权限? | 目的 | 方式 |
---|---|---|
IAM | 使用短期凭证签署对 Amazon CLI 或 Amazon API 的编程式请求(直接或使用 Amazon SDK)。 | 按照《IAM 用户指南》中将临时凭证用于 Amazon 资源中的说明进行操作。 |
IAM | (不推荐使用) 使用长期凭证签署对 Amazon CLI 或 Amazon API 的编程式请求(直接或使用 Amazon SDK)。 |
按照《IAM 用户指南》中管理 IAM 用户的访问密钥中的说明进行操作。 |
如果您使用访问密钥,请参阅管理Amazon访问密钥的最佳实践。