本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon GameLift Servers 中的数据保护
<a name="data-protection"></a>

如果您将亚马逊Amazon GameLift ServersFleetIQ作为独立功能使用 EC2，请参阅《亚马逊* EC2 用户指南》 EC2中的 “亚马逊*[安全](https://docs.amazonaws.cn/AWSEC2/latest/UserGuide/ec2-security.html)”。

分 Amazon [分担责任模型](https://www.amazonaws.cn/compliance/shared-responsibility-model/)适用于中的数据保护Amazon GameLift Servers。如本模型所述 Amazon ，负责保护运行所有内容的全球基础架构 Amazon Web Services 云。您负责维护对托管在此基础结构上的内容的控制。您还负责您所使用的 Amazon Web Services 服务 的安全配置和管理任务。有关数据隐私的更多信息，请参阅[数据隐私常见问题](https://www.amazonaws.cn/compliance/data-privacy-faq/)。

出于数据保护目的，我们建议您保护 Amazon Web Services 账户 凭证并使用 Amazon IAM Identity Center 或 Amazon Identity and Access Management (IAM) 设置个人用户。这样，每个用户只获得履行其工作职责所需的权限。还建议您通过以下方式保护数据：
+ 对每个账户使用多重身份验证（MFA）。
+ 用于 SSL/TLS 与 Amazon 资源通信。我们要求使用 TLS 1.2，建议使用 TLS 1.3。
+ 使用设置 API 和用户活动日志 Amazon CloudTrail。有关使用 CloudTrail 跟踪捕获 Amazon 活动的信息，请参阅《*Amazon CloudTrail 用户指南》*中的[使用跟 CloudTrail 踪](https://docs.amazonaws.cn/awscloudtrail/latest/userguide/cloudtrail-trails.html)。
+ 使用 Amazon 加密解决方案以及其中的所有默认安全控件 Amazon Web Services 服务。
+ 使用高级托管安全服务（例如 Amazon Macie），它有助于发现和保护存储在 Amazon S3 中的敏感数据。
+ 如果您在 Amazon 通过命令行界面或 API 进行访问时需要经过 FIPS 140-3 验证的加密模块，请使用 FIPS 端点。有关可用的 FIPS 端点的更多信息，请参阅《美国联邦信息处理标准（FIPS）第 140-3 版》[https://www.amazonaws.cn/compliance/fips/](https://www.amazonaws.cn/compliance/fips/)。

强烈建议您切勿将机密信息或敏感信息（如您客户的电子邮件地址）放入标签或自由格式文本字段（如**名称**字段）。这包括您使用控制台、API Amazon GameLift Servers 或以其他 Amazon Web Services 服务 方式使用控制台 Amazon CLI、API 或时 Amazon SDKs。在用于名称的标签或自由格式文本字段中输入的任何数据都可能会用于计费或诊断日志。如果您向外部服务器提供 URL，强烈建议您不要在网址中包含凭证信息来验证对该服务器的请求。

Amazon GameLift Servers 特定数据的处理方式如下：
+ 您上传到 Amazon GameLift Servers 的游戏服务器生成包和脚本存储在 Amazon S3 中。上传此数据后，客户无法直接访问此数据。授权用户可以获得临时访问权限来上传文件，但无法直接查看或更新 Amazon S3 中的文件。要删除脚本和版本，请使用 Amazon GameLift Servers 控制台或服务 API。
+ 游戏会话日志数据会在游戏会话完成后在 Amazon S3 中存储一段有限的时间。授权用户可以通过 Amazon GameLift Servers 控制台中的链接或者通过调用服务 API 来访问日志数据。
+ 指标和事件数据存储在 Amazon GameLift Servers 中，可以通过 Amazon GameLift Servers 控制台或者通过调用服务 API 进行访问。可以在实例集、实例、游戏会话放置、对战票证、游戏会话和玩家会话中检索数据。也可以通过 Amazon CloudWatch 和 Ev CloudWatch ents 访问数据。
+ 客户提供的数据存储在 Amazon GameLift Servers 中。授权用户可以通过调用服务 API 来访问数据。潜在的敏感数据可能包括玩家数据、玩家会话和游戏会话数据（包括连接信息）、对战构建器数据等。
**注意**  
如果您在请求 IDs 中提供了自定义玩家，则这些值应该是匿名的， UUIDs 并且不包含任何可识别玩家的信息。

有关数据保护的更多信息，请参阅《Amazon 安全性博客》**上的 [Amazon 责任共担模式和 GDPR](https://www.amazonaws.cn/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 博客文章。

## 静态加密
<a name="encryption-at-rest"></a>

Amazon GameLift Servers 特定数据的静态加密处理方式如下：
+ 游戏服务器构建和脚本存储在具有服务器端加密的 Amazon S3 存储桶中。
+ 客户提供的数据以加密格式存储在 Amazon GameLift Servers 中。

## 传输中加密
<a name="encryption-in-transit"></a>

与的Amazon GameLift Servers APIs 连接通过安全 (SSL) 连接建立，并使用[Amazon 签名版本 4](https://docs.amazonaws.cn/general/latest/gr/signature-version-4.html) 进行身份验证（通过 Amazon CLI 或 Amazon SDK 连接时，会自动处理签名）。使用用于建立连接的安全凭证的 IAM 定义访问策略来管理身份验证。

游戏客户端和游戏服务器之间的直接通信如下：
+ 对于在 Amazon GameLift Servers 资源上托管的自定义游戏服务器，通信不涉及该 Amazon GameLift Servers 服务。客户须自行负责对此通信进行加密。您可以使用启用 TLS 的实例集，让游戏客户端在连接时在游戏服务器上进行身份验证，并对游戏客户端和游戏服务器之间的所有通信进行加密。
+ 启用 TLS 的车队的证书与车队同时创建，其到期日期基于舰队的创建日期。
+ 对于启用了 TLS 证书生成功能的 Amazon GameLift Servers Realtime，游戏客户端与使用 Realtime 客户端开发工具包的 Realtime 服务器之间的流量在传输时会进行加密。TCP 流量使用 TLS 1.2 进行加密，而 UDP 流量使用 DTLS 1.2 进行加密。

**注意**  
Amazon GameLift Servers将调整配置为生成证书的队列的最大证书有效期。证书有效期从创建队列时开始，并将按以下时间表进行更改：  
在 2026 年 3 月 11 日之前，颁发的 TLS 证书的最长有效期为 398 天。
自 2026 年 3 月 1 日起，颁发的 TLS 证书的最长有效期为 200 天。
自 2027 年 3 月 1 日起，颁发的 TLS 证书的最长有效期为 100 天。
自 2029 年 3 月 1 日起，颁发的 TLS 证书的最长有效期为 47 天。
为了确保您的证书得到续订并维护 up-to-date游戏服务器的运行时环境，Amazon GameLift Servers建议您定期更换游戏服务器舰队。

## 互联网络流量隐私
<a name="inter-network-traffic-privacy"></a>

您可以安全地远程访问您的 Amazon GameLift Servers 实例。对于使用 Linux 的实例，SSH 为远程访问提供了一个安全的通信通道。对于运行 Windows 的实例，请使用远程桌面协议 (RDP) 客户端。使用 Amazon GameLift ServersFleetIQ，使用 S Amazon ystems Manager 会话管理器和运行命令对实例的远程访问使用 TLS 1.2 进行加密，创建连接的请求使用 Sigv4 进行签名。有关连接到托管 Amazon GameLift Servers 实例的帮助，请参阅[Connect 连接到舰队实例](fleets-remote-access.md)。