Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Sicherheit in Amazon GameLift Servers
Wenn Sie Amazon EC2 Amazon GameLift Servers FleetIQ als eigenständige Funktion verwenden, finden Sie weitere Informationen unter [Sicherheit in Amazon EC2 im Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security.html) *EC2-Benutzerhandbuch*.
Cloud-Sicherheit hat höchste AWS Priorität. Als AWS -Kunde profitieren Sie von Rechenzentren und Netzwerkarchitekturen, die eingerichtet wurden, um die Anforderungen der anspruchsvollsten Organisationen in puncto Sicherheit zu erfüllen.
Sicherheit ist eine gemeinsame Verantwortung zwischen Ihnen AWS und Ihnen. Das [Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) beschreibt dies als Sicherheit *der* Cloud und Sicherheit *in* der Cloud:
+ **Sicherheit der Cloud** — AWS ist verantwortlich für den Schutz der Infrastruktur, die AWS Dienste in der AWS Cloud ausführt. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Externe Prüfer testen und verifizieren regelmäßig die Wirksamkeit unserer Sicherheitsmaßnahmen im Rahmen der [AWS](https://aws.amazon.com/compliance/programs/) und . Weitere Informationen zu den Compliance-Programmen, die für geltenAmazon GameLift Servers, finden Sie unter [AWS Leistungen im Umfang nach Compliance-Programmen AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sicherheit in der Cloud** — Ihre Verantwortung richtet sich nach dem AWS Dienst, den Sie nutzen. Sie sind auch für andere Faktoren verantwortlich, darunter die Sensibilität Ihrer Daten, die Anforderungen Ihres Unternehmens AWS und die geltenden Vorschriften.
Diese Dokumentation hilft Ihnen zu verstehen, wie Sie das Modell der geteilten Verantwortung bei der Verwendung von Amazon GameLift Servers einsetzen können. Die folgenden Themen veranschaulichen, wie Sie Amazon GameLift Servers zur Erfüllung Ihrer Sicherheits- und Compliance-Ziele konfigurieren können. Sie lernen auch, wie Sie andere AWS Dienste nutzen können, die Ihnen bei der Überwachung und Sicherung Ihrer Amazon GameLift Servers Ressourcen helfen.
**Topics**
+ [Datenschutz in Amazon GameLift Servers](data-protection.md)
+ [Identity and Access Management für Amazon GameLift Servers](security-iam.md)
+ [Protokollierung und Überwachung mit Amazon GameLift Servers](logging-and-monitoring.md)
+ [Compliance-Validierung für Amazon GameLift Servers](gamelift-compliance.md)
+ [Resilienz in Amazon GameLift Servers](disaster-recovery-resiliency.md)
+ [Infrastruktursicherheit in Amazon GameLift Servers](infrastructure-security.md)
+ [Konfigurations- und Schwachstellenanalyse in Amazon GameLift Servers](vulnerability-analysis-management.md)
+ [Bewährte Methoden für die Sicherheit für Amazon GameLift Servers](security-best-practices.md)
# Datenschutz in Amazon GameLift Servers
Wenn Sie die Funktion Amazon GameLift Servers FleetIQ als eigenständige Funktion mit Amazon verwenden EC2, finden Sie weitere Informationen unter [Sicherheit bei Amazon EC2 im EC2 ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security.html) *Amazon-Benutzerhandbuch*.
Das AWS [Modell](https://aws.amazon.com/compliance/shared-responsibility-model/) der gilt für den Datenschutz inAmazon GameLift Servers. Wie in diesem Modell beschrieben, AWS ist verantwortlich für den Schutz der globalen Infrastruktur, auf der alle Systeme laufen AWS Cloud. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter [Häufig gestellte Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq/). Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag [AWS -Modell der geteilten Verantwortung und in der DSGVO](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS -Sicherheitsblog*.
Aus Datenschutzgründen empfehlen wir, dass Sie AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
+ Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
+ Wird verwendet SSL/TLS , um mit AWS Ressourcen zu kommunizieren. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein AWS CloudTrail. Informationen zur Verwendung von CloudTrail Pfaden zur Erfassung von AWS Aktivitäten finden Sie unter [Arbeiten mit CloudTrail Pfaden](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) im *AWS CloudTrail Benutzerhandbuch*.
+ Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.
+ Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.
+ Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-3-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld **Name**, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit der Konsole, der Amazon GameLift Servers API oder auf andere AWS-Services Weise arbeiten oder diese verwenden. AWS CLI AWS SDKs Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.
Amazon GameLift Servers-spezifische Daten werden wie folgt behandelt:
+ Spielserver-Builds und Skripte, auf die Sie hochladen, Amazon GameLift Servers werden in Amazon S3 gespeichert. Nach dem Hochladen ist kein direkter Zugriff des Kunden auf diese Daten mehr möglich. Ein autorisierter Benutzer kann temporären Zugriff erhalten, um Dateien hochzuladen, kann die Dateien jedoch nicht direkt in Amazon S3 anzeigen oder aktualisieren. Um Skripte und Builds zu löschen, verwenden Sie die Amazon GameLift Servers-Konsole oder die Service-API.
+ Die Protokolldaten der Spielsitzungen werden nach Abschluss der Spielsitzung für einen begrenzten Zeitraum in Amazon S3 gespeichert. Autorisierte Benutzer können auf die Protokolldaten zugreifen, indem sie sie über einen Link in der Amazon GameLift Servers-Konsole oder durch Aufrufe der Service-API herunterladen.
+ Metrik- und Ereignisdaten werden in Amazon GameLift Servers gespeichert und sind über die Amazon GameLift Servers-Konsole oder durch Aufrufe der Service-API zugänglich. Es können Daten über Flotten, Instances, Platzierungen in Spielsitzungen, Matchmaking-Tickets, Spielsitzungen und Spielersitzungen abgerufen werden. Auf Daten kann auch über Amazon CloudWatch und CloudWatch Events zugegriffen werden.
+ Vom Kunden bereitgestellte Daten werden in Amazon GameLift Servers gespeichert. Autorisierte Benutzer können über Aufrufe der Service-API darauf zugreifen. Potenziell sensible Daten sind etwa Spielerdaten, Spielersitzungs- und Spielsitzungsdaten (einschließlich Verbindungsinformationen), Matchmaker-Daten usw.
**Anmerkung**
Wenn Sie IDs in Ihren Anfragen benutzerdefinierte Spieler angeben, wird erwartet, dass diese Werte anonymisiert sind UUIDs und keine identifizierenden Spielerinformationen enthalten.
Weitere Informationen zum Datenschutz enthält der Blog-Beitrag [AWS Shared Responsibility Model and GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS -Sicherheitsblog*.
## Verschlüsselung im Ruhezustand
Die Verschlüsselung im Ruhezustand von Amazon GameLift Servers-spezifischen Daten wird wie folgt behandelt:
+ Spielserver-Builds und -Skripts werden in Amazon S3 S3-Buckets mit serverseitiger Verschlüsselung gespeichert.
+ Vom Kunden bereitgestellte Daten werden in Amazon GameLift Servers in einem verschlüsselten Format gespeichert.
## Verschlüsselung während der Übertragung
Verbindungen zu den Amazon GameLift Servers APIs werden über eine sichere (SSL) Verbindung hergestellt und mit [AWS Signature Version 4](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) authentifiziert (wenn eine Verbindung über die AWS CLI oder das AWS SDK hergestellt wird, erfolgt die Signierung automatisch). Die Authentifizierung wird mithilfe der IAM-definierten Zugriffsrichtlinien für die Sicherheitsanmeldeinformationen verwaltet, die zum Herstellen der Verbindung verwendet werden.
Die direkte Kommunikation zwischen Spiele-Clients und Spieleservern geschieht wie folgt:
+ Für benutzerdefinierte Spieleserver, die auf Amazon GameLift Servers-Ressourcen gehostet werden, ist der Amazon GameLift Servers-Service nicht an der Kommunikation beteiligt. Die Verschlüsselung dieser Kommunikation liegt in der Verantwortung des Kunden. Sie können TLS-fähige Flotten verwenden, damit Ihre Spiele-Clients den Spieleserver bei der Verbindung authentifizieren und die gesamte Kommunikation zwischen Ihrem Spiele-Client und dem Spieleserver verschlüsseln.
+ Zertifikate für TLS-fähige Flotten werden gleichzeitig mit der Flotte erstellt, und ihre Gültigkeitsdaten basieren auf dem Erstellungsdatum der Flotte.
+ Denn wenn die Amazon GameLift Servers Realtime Generierung von TLS-Zertifikaten aktiviert ist, wird der Datenverkehr zwischen dem Spielclient und den Realtime Servern, für die das Client-SDK verwendet Realtime wird, während der Übertragung verschlüsselt. TCP-Datenverkehr wird mit TLS 1.2 verschlüsselt und UDP-Datenverkehr wird mit DTLS 1.2 verschlüsselt.
**Anmerkung**
Um die Anforderungen der Zertifizierungsstelle für TLS-Zertifikate zu erfüllen, Amazon GameLift Servers passt die maximale Gültigkeitsdauer von Zertifikaten für Flotten an, die für die Generierung eines Zertifikats konfiguriert sind. Die Gültigkeitsdauer von Zertifikaten beginnt mit der Erstellung der Flotte und wird nach dem folgenden Zeitplan geändert:
Bis zum 11. März 2026 beträgt die maximale Gültigkeitsdauer für ein ausgestelltes TLS-Zertifikat 398 Tage.
Ab dem 1. März 2026 beträgt die maximale Lebensdauer eines ausgestellten TLS-Zertifikats 200 Tage.
Ab dem 1. März 2027 beträgt die maximale Lebensdauer eines ausgestellten TLS-Zertifikats 100 Tage.
Ab dem 1. März 2029 beträgt die maximale Lebensdauer eines ausgestellten TLS-Zertifikats 47 Tage.
Um sicherzustellen, dass Ihre Zertifikate erneuert werden, und um die Laufzeitumgebungen der up-to-date Spieleserver aufrechtzuerhalten, Amazon GameLift Servers empfiehlt es sich, Ihre Spieleserverflotten regelmäßig auszutauschen.
## Richtlinie für den Datenverkehr zwischen Netzwerken
Sie können aus der Ferne auf Ihre Amazon GameLift Servers-Instances zugreifen. Für Instances, die Linux verwenden, stellt SSH einen sicheren Kommunikationskanal für den Fernzugriff bereit. Verwenden Sie für Instances, auf denen Windows ausgeführt wird, einen RDP (Remote Desktop Protocol)-Client. Mit Amazon GameLift Servers FleetIQ wird der Fernzugriff auf Ihre Instances mithilfe von AWS Systems Manager Session Manager und Run Command mit TLS 1.2 verschlüsselt, und Anfragen zum Herstellen einer Verbindung werden mit Sigv4 signiert. Hilfe zum Herstellen einer Verbindung mit einer verwalteten Amazon GameLift Servers-Instance finden Sie unter [Connect zu Flotteninstanzen herstellen](fleets-remote-access.md).
# Identity and Access Management für Amazon GameLift Servers
AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf AWS Ressourcen sicher zu kontrollieren. IAM-Administratoren steuern, wer *authentifiziert* (angemeldet) und *autorisiert* (Berechtigungen besitzt) ist, um Amazon GameLift Servers Ressourcen zu nutzen. IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.
**Topics**
+ [Zielgruppe](#security_iam_audience)
+ [Authentifizierung mit Identitäten](#security_iam_authentication)
+ [Verwalten des Zugriffs mit Richtlinien](#security_iam_access-manage)
+ [Funktionsweise von Amazon GameLift Servers mit IAM](security_iam_service-with-iam.md)
+ [Beispiele für identitätsbasierte Richtlinien für Amazon GameLift Servers](security_iam_id-based-policy-examples.md)
+ [Fehlerbehebung für Amazon GameLift Servers-Identität und -Zugriff](security_iam_troubleshoot.md)
+ [AWS verwaltete Richtlinien für Amazon GameLift Servers](security-iam-awsmanpol.md)
## Zielgruppe
Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von Ihrer Rolle ab:
+ **Servicebenutzer** – Fordern Sie von Ihrem Administrator Berechtigungen an, wenn Sie nicht auf Features zugreifen können (siehe [Fehlerbehebung für Amazon GameLift Servers-Identität und -Zugriff](security_iam_troubleshoot.md)).
+ **Serviceadministrator** – Bestimmen Sie den Benutzerzugriff und stellen Sie Berechtigungsanfragen (siehe [Funktionsweise von Amazon GameLift Servers mit IAM](security_iam_service-with-iam.md)).
+ **IAM-Administrator** – Schreiben Sie Richtlinien zur Zugriffsverwaltung (siehe [Beispiele für identitätsbasierte Richtlinien für Amazon GameLift Servers](security_iam_id-based-policy-examples.md)).
## Authentifizierung mit Identitäten
Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos
Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zum Anmelden finden Sie unter [So melden Sie sich bei Ihrem AWS-Konto an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *Benutzerhandbuch für AWS-Anmeldung *.
AWS Bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter [AWS Signature Version 4 for API requests](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) im *IAM-Benutzerhandbuch*.
### AWS-Konto Root-Benutzer
Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem sogenannten AWS-Konto *Root-Benutzer*, der vollständigen Zugriff auf alle AWS-Services Ressourcen hat. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*.
### Verbundidentität
Es hat sich bewährt, dass menschliche Benutzer für den Zugriff AWS-Services mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter verwenden müssen.
Eine *föderierte Identität* ist ein Benutzer aus Ihrem Unternehmensverzeichnis, Ihrem Directory Service Web-Identitätsanbieter oder der AWS-Services mithilfe von Anmeldeinformationen aus einer Identitätsquelle zugreift. Verbundene Identitäten übernehmen Rollen, die temporäre Anmeldeinformationen bereitstellen.
Für die zentrale Zugriffsverwaltung empfehlen wir AWS IAM Identity Center. Weitere Informationen finden Sie unter [Was ist IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
### IAM-Benutzer und -Gruppen
Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erfordern, dass menschliche Benutzer den Verbund mit einem Identitätsanbieter verwenden müssen, um AWS mithilfe temporärer Anmeldeinformationen darauf zugreifen zu](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) können.
Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*.
### IAM-Rollen
Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) AWS CLI oder einen AWS API-Vorgang aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*.
IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Verwalten des Zugriffs mit Richtlinien
Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie definiert Berechtigungen, wenn sie mit einer Identität oder Ressource verknüpft sind. AWS bewertet diese Richtlinien, wenn ein Principal eine Anfrage stellt. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*.
Mit Hilfe von Richtlinien legen Administratoren fest, wer Zugriff auf was hat, indem sie definieren, welches **Prinzipal** welche **Aktionen** auf welchen **Ressourcen**und unter welchen **Bedingungen**durchführen darf.
Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator erstellt IAM-Richtlinien und fügt sie zu Rollen hinzu, die die Benutzer dann übernehmen können. IAM-Richtlinien definieren Berechtigungen unabhängig von der Methode, die zur Ausführung der Operation verwendet wird.
### Identitätsbasierte Richtlinien
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität (Benutzer, Gruppe oder Rolle) anfügen können. Diese Richtlinien steuern, welche Aktionen Identitäten für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Identitätsbasierte Richtlinien können *Inline-Richtlinien* (direkt in eine einzelne Identität eingebettet) oder *verwaltete Richtlinien* (eigenständige Richtlinien, die mit mehreren Identitäten verbunden sind) sein. Informationen dazu, wie Sie zwischen verwalteten und Inline-Richtlinien wählen, finden Sie unter [Choose between managed policies and inline policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) im *IAM-Benutzerhandbuch*.
### Ressourcenbasierte Richtlinien
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele hierfür sind *Vertrauensrichtlinien für IAM-Rollen* und Amazon S3*-Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können AWS verwaltete Richtlinien von IAM nicht in einer ressourcenbasierten Richtlinie verwenden.
### Weitere Richtlinientypen
AWS unterstützt zusätzliche Richtlinientypen, mit denen die maximalen Berechtigungen festgelegt werden können, die durch gängigere Richtlinientypen gewährt werden:
+ **Berechtigungsgrenzen** – Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *-IAM-Benutzerhandbuch*.
+ **Richtlinien zur Dienstkontrolle (SCPs)** — Geben Sie die maximalen Berechtigungen für eine Organisation oder Organisationseinheit in an AWS Organizations. Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations -Benutzerhandbuch*.
+ **Richtlinien zur Ressourcenkontrolle (RCPs)** — Legen Sie die maximal verfügbaren Berechtigungen für Ressourcen in Ihren Konten fest. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Richtlinien zur Ressourcenkontrolle (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html).
+ **Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die als Parameter übergeben werden, wenn Sie eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer erstellen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im *IAM-Benutzerhandbuch*.
### Mehrere Richtlinientypen
Wenn für eine Anfrage mehrere Arten von Richtlinien gelten, sind die daraus resultierenden Berechtigungen schwieriger zu verstehen. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.
# Funktionsweise von Amazon GameLift Servers mit IAM
Bevor Sie IAM zum Verwalten des Zugriffs auf Amazon GameLift Servers verwenden, erfahren Sie, welche IAM-Funktionen Sie mit Amazon GameLift Servers verwenden können.
**IAM-Funktionen, die Sie mit Amazon GameLift Servers verwenden können**
| IAM-Feature | Amazon GameLift Servers-Support |
| --- | --- |
| [Identitätsbasierte Richtlinien](#security_iam_service-with-iam-id-based-policies) | Ja |
| [Ressourcenbasierte Richtlinien](#security_iam_service-with-iam-resource-based-policies) | Nein |
| [Richtlinienaktionen](#security_iam_service-with-iam-id-based-policies-actions) | Ja |
| [Richtlinienressourcen](#security_iam_service-with-iam-id-based-policies-resources) | Ja |
| [Richtlinienbedingungsschlüssel (servicespezifisch)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Ja |
| [ACLs](#security_iam_service-with-iam-acls) | Nein |
| [ABAC (Tags in Richtlinien)](#security_iam_service-with-iam-tags) | Ja |
| [Temporäre Anmeldeinformationen](#security_iam_service-with-iam-roles-tempcreds) | Ja |
| [Prinzipalberechtigungen](#security_iam_service-with-iam-principal-permissions) | Ja |
| [Servicerollen](#security_iam_service-with-iam-roles-service) | Ja |
| [Service-verknüpfte Rollen](#security_iam_service-with-iam-roles-service-linked) | Nein |
*Einen allgemeinen Überblick darüber, wie Amazon GameLift Servers und andere AWS Dienste mit den meisten IAM-Funktionen funktionieren, finden Sie im [AWS IAM-Benutzerhandbuch unter Dienste, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).*
## Identitätsbasierte Richtlinien für Amazon GameLift Servers
**Unterstützt Richtlinien auf Identitätsbasis:** Ja
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität anfügen können, wie z. B. IAM-Benutzern, -Benutzergruppen oder -Rollen. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
### Beispiele für identitätsbasierte Richtlinien für Amazon GameLift Servers
Beispiele für identitätsbasierte Amazon GameLift Servers-Richtlinien finden Sie unter [Beispiele für identitätsbasierte Richtlinien für Amazon GameLift Servers](security_iam_id-based-policy-examples.md).
## Ressourcenbasierte Richtlinien in Amazon GameLift Servers
**Unterstützt ressourcenbasierte Richtlinien:** Nein
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele für ressourcenbasierte Richtlinien sind IAM-*Rollen-Vertrauensrichtlinien* und Amazon-S3-*Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Für die Ressource, an welche die Richtlinie angehängt ist, legt die Richtlinie fest, welche Aktionen ein bestimmter Prinzipal unter welchen Bedingungen für diese Ressource ausführen kann. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). Zu den Prinzipalen können Konten, Benutzer, Rollen, Verbundbenutzer oder gehören. AWS-Services
Um kontoübergreifenden Zugriff zu ermöglichen, können Sie ein gesamtes Konto oder IAM-Entitäten in einem anderen Konto als Prinzipal in einer ressourcenbasierten Richtlinie angeben. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Richtlinienaktionen für Amazon GameLift Servers
**Unterstützt Richtlinienaktionen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
Eine Liste der Amazon GameLift Servers Aktionen finden Sie unter [Aktionen definiert von Amazon GameLift Servers](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazongamelift.html#amazongamelift-actions-as-permissions) in der *Serviceautorisierungsreferenz*.
Richtlinienaktionen in Amazon GameLift Servers verwenden das folgende Präfix vor der Aktion:
```
gamelift
```
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie mit Kommata:
```
"Action": [
"gamelift:action1",
"gamelift:action2"
]
```
Sie können auch Platzhalter verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort `Describe` beginnen, einschließlich der folgenden Aktion:
```
"Action": "gamelift:Describe*"
```
Beispiele für identitätsbasierte Amazon GameLift Servers-Richtlinien finden Sie unter [Beispiele für identitätsbasierte Richtlinien für Amazon GameLift Servers](security_iam_id-based-policy-examples.md).
## Richtlinienressourcen für Amazon GameLift Servers
**Unterstützt Richtlinienressourcen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
Eine Liste der Amazon GameLift Servers Ressourcentypen und ihrer ARNs Eigenschaften finden Sie unter [Resources defined by Amazon GameLift Servers](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazongamelift.html#amazongamelift-resources-for-iam-policies) in der *Service Authorization Reference*. Informationen zu den Aktionen, mit denen Sie den ARN einzelner Ressourcen angeben können, finden Sie unter [Von Amazon GameLift Servers definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazongamelift.html#amazongamelift-actions-as-permissions).
Einige Amazon GameLift Servers Ressourcen haben ARN-Werte, sodass der Zugriff der Ressourcen mithilfe von IAM-Richtlinien verwaltet werden kann. Die Amazon GameLift Servers-Flottenressource hat einen ARN mit der folgenden Syntax:
```
arn:${Partition}:gamelift:${Region}:${Account}:fleet/${FleetId}
```
Weitere Informationen zum Format von ARNs finden Sie unter [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) in der *Allgemeine AWS-Referenz*.
Um beispielsweise die `fleet-2222bbbb-33cc-44dd-55ee-6666ffff77aa`-Flotte in Ihrer Anweisung anzugeben, verwenden Sie den folgenden ARN.
```
"Resource": "arn:aws:gamelift:us-west-2:123456789012:fleet/fleet-2222bbbb-33cc-44dd-55ee-6666ffff77aa"
```
Um alle Flotten anzugeben, die zu einem bestimmten Konto gehören, verwenden Sie einen Platzhalter (\$1):
```
"Resource": "arn:aws:gamelift:us-west-2:123456789012:fleet/*"
```
Beispiele für identitätsbasierte Amazon GameLift Servers-Richtlinien finden Sie unter [Beispiele für identitätsbasierte Richtlinien für Amazon GameLift Servers](security_iam_id-based-policy-examples.md).
## Richtlinien-Bedingungsschlüssel für Amazon GameLift Servers
**Unterstützt servicespezifische Richtlinienbedingungsschlüssel:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
Eine Liste der Amazon GameLift Servers Bedingungsschlüssel finden Sie unter [Bedingungsschlüssel für Amazon GameLift Servers](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazongamelift.html#amazongamelift-policy-keys) in der *Service Authorization Reference.* Informationen dazu, mit welchen Aktionen und Ressourcen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter [Von Amazon GameLift Servers definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazongamelift.html#amazongamelift-actions-as-permissions).
Beispiele für identitätsbasierte Amazon GameLift Servers-Richtlinien finden Sie unter [Beispiele für identitätsbasierte Richtlinien für Amazon GameLift Servers](security_iam_id-based-policy-examples.md).
## ACLs in Amazon GameLift Servers
**Unterstützt ACLs:** Nein
Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.
## ABAC mit Amazon GameLift Servers
**Unterstützt ABAC (Tags in Richtlinien):** Ja
Die attributbasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen basierend auf Attributen, auch als Tags bezeichnet, definiert werden. Sie können Tags an IAM-Entitäten und AWS -Ressourcen anhängen und dann ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Tag auf der Ressource übereinstimmt.
Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, oder Bedingung `aws:TagKeys` verwenden.
Wenn ein Service alle drei Bedingungsschlüssel für jeden Ressourcentyp unterstützt, lautet der Wert für den Service **Ja**. Wenn ein Service alle drei Bedingungsschlüssel für nur einige Ressourcentypen unterstützt, lautet der Wert **Teilweise**.
*Weitere Informationen zu ABAC finden Sie unter [Definieren von Berechtigungen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch*. Um ein Tutorial mit Schritten zur Einstellung von ABAC anzuzeigen, siehe [Attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) verwenden im *IAM-Benutzerhandbuch*.
Ein Beispiel für eine identitätsbasierte Richtlinie, die den Zugriff auf eine Ressource anhand der Tags auf dieser Ressource beschränkt, finden Sie unter. [Amazon GameLift Servers-Flotten basierend auf Tags anzeigen](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-fleet-tags)
## Verwenden temporärer Anmeldeinformationen mit Amazon GameLift Servers
**Unterstützt temporäre Anmeldeinformationen:** Ja
Temporäre Anmeldeinformationen ermöglichen den kurzfristigen Zugriff auf AWS Ressourcen und werden automatisch erstellt, wenn Sie einen Verbund verwenden oder die Rollen wechseln. AWS empfiehlt, temporäre Anmeldeinformationen dynamisch zu generieren, anstatt langfristige Zugriffsschlüssel zu verwenden. Weitere Informationen finden Sie unter [Temporary security credentials in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) und [AWS-Services that work with IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) im *IAM-Benutzerhandbuch*.
## Serviceübergreifende Prinzipal-Berechtigungen für Amazon GameLift Servers
**Unterstützt Forward Access Sessions (FAS):** Ja
Forward Access Sessions (FAS) verwenden die Berechtigungen des Prinzipals, der einen aufruft AWS-Service, in Kombination mit der Anfrage, Anfragen AWS-Service an nachgeschaltete Dienste zu stellen. Einzelheiten zu den Richtlinien für FAS-Anfragen finden Sie unter [Zugriffssitzungen weiterleiten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Servicerollen für Amazon GameLift Servers
**Unterstützt Servicerollen:** Ja
Eine Servicerolle ist eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html), die ein Service annimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM-Administrator kann eine Servicerolle innerhalb von IAM erstellen, ändern und löschen. Weitere Informationen finden Sie unter [Rollen zum Delegieren von Berechtigungen an einen AWS-Service erstellen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *IAM-Benutzerhandbuch*.
**Warnung**
Die Änderung der Berechtigungen für eine Servicerolle kann die Funktionalität von Amazon GameLift Servers beeinträchtigen. Bearbeiten Sie Servicerollen nur, wenn Amazon GameLift Servers eine Anleitung dazu gibt.
Erlauben Sie Ihren Amazon GameLift Servers -gehosteten Spieleservern den Zugriff auf andere AWS Ressourcen, wie z. B. eine AWS Lambda Funktion oder eine Amazon DynamoDB DynamoDB-Datenbank. Da Spieleserver auf Flotten gehostet werden, die Amazon GameLift Servers verwaltet werden, benötigen Sie eine Servicerolle, die Amazon GameLift Servers eingeschränkten Zugriff auf Ihre anderen Ressourcen gewährt. AWS Weitere Informationen finden Sie unter [Connect deinen Amazon GameLift Servers gehosteten Spieleserver mit anderen AWS Ressourcen](gamelift-sdk-server-resources.md).
## Serviceverknüpfte Rollen für Amazon GameLift Servers
**Unterstützt serviceverknüpfte Rollen:** Ja
Eine dienstbezogene Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Dienstbezogene Rollen werden in Ihrem Dienst angezeigt AWS-Konto und gehören dem Dienst. Ein IAM-Administrator kann die Berechtigungen für Service-verknüpfte Rollen anzeigen, aber nicht bearbeiten.
*Einzelheiten zum Erstellen oder Verwalten von dienstbezogenen Rollen finden Sie im [AWS IAM-Benutzerhandbuch unter Dienste, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).* Suchen Sie in der Tabelle nach einem Dienst, der in der Spalte mit **dienstverknüpften `Yes`** Rollen eine enthält. Wählen Sie **Ja**, um die Dokumentation der dienstbezogenen Rolle für diesen Dienst anzuzeigen.
# Beispiele für identitätsbasierte Richtlinien für Amazon GameLift Servers
Benutzer und Rollen haben standardmäßig nicht die Berechtigung, Amazon GameLift Servers-Ressourcen zu erstellen oder zu ändern. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern die Berechtigung erteilen, Aktionen für die Ressourcen auszuführen, die sie benötigen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von IAM-Richtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) im *IAM-Benutzerhandbuch*.
Einzelheiten zu Aktionen und Ressourcentypen, die von definiert wurdenAmazon GameLift Servers, einschließlich des Formats von ARNs für jeden der Ressourcentypen, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon GameLift Servers](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazongamelift.html) in der *Referenz zur Serviceautorisierung.*
**Topics**
+ [Best Practices für Richtlinien](#security_iam_service-with-iam-policy-best-practices)
+ [Verwenden der Amazon GameLift Servers-Konsole](#security_iam_id-based-policy-examples-console)
+ [Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Erlauben des Spielerzugriffs für Spielsitzungen](#security_iam_id-based-policy-examples-player-access)
+ [Erlaubt den Zugriff auf eine Amazon GameLift Servers Warteschlange](#security_iam_id-based-policy-examples-access-one-bucket)
+ [Amazon GameLift Servers-Flotten basierend auf Tags anzeigen](#security_iam_id-based-policy-examples-view-fleet-tags)
+ [Greifen Sie in Amazon S3 auf eine Spiele-Build-Datei zu](#security_iam_id-based-policy-examples-access-storage-loc)
## Best Practices für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand Amazon GameLift Servers-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Beachten Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
## Verwenden der Amazon GameLift Servers-Konsole
Um auf die Amazon GameLift Servers-Konsole zuzugreifen, müssen Sie über einen Mindestsatz von Berechtigungen verfügen. Diese Berechtigungen müssen Ihnen das Auflisten und Anzeigen von Details zu den Amazon GameLift Servers Ressourcen in Ihrem ermöglichen. AWS-Konto Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (Benutzer oder Rollen) mit dieser Richtlinie.
Um sicherzustellen, dass diese Entitäten die Amazon GameLift Servers Konsole weiterhin verwenden können, fügen Sie Benutzern und Gruppen Berechtigungen mit der Syntax in den folgenden Beispielen und in hinzu[Beispiele für Administratorberechtigungen](gamelift-iam-policy-examples.md#iam-policy-simple-example). Weitere Informationen finden Sie unter [Legen Sie Benutzerberechtigungen fest für Amazon GameLift Servers](setting-up-aws-login.md#getting-started-create-iam-user).
Benutzer, die mit Amazon GameLift Servers Über AWS CLI - oder AWS API-Operationen arbeiten, benötigen keine Mindestberechtigungen für die Konsole. Stattdessen können Sie den Zugriff auf die Operationen beschränken, die der Benutzer ausführen muss. Beispielsweise benötigt ein Spielerbenutzer, der im Namen von Spieleclients handelt, Zugriff, um Spielsitzungen anzufordern, Spieler in Spiele einzuordnen und andere Aufgaben zu erledigen.
Informationen zu den Berechtigungen, die für die Nutzung aller Amazon GameLift Servers Konsolenfunktionen erforderlich sind, finden Sie unter Berechtigungssyntax für Administratoren in[Beispiele für Administratorberechtigungen](gamelift-iam-policy-examples.md#iam-policy-simple-example).
## Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der AWS CLI AWS OR-API.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Erlauben des Spielerzugriffs für Spielsitzungen
Um Spieler an Spielsitzungen teilnehmen zu lassen, benötigen Spielclients und Backend-Dienste Berechtigungen. Richtlinienbeispiele für diese Szenarien finden Sie unter[Beispiele für Benutzerberechtigungen von Spielern](gamelift-iam-policy-examples.md#iam-policy-admin-game-dev-example).
## Erlaubt den Zugriff auf eine Amazon GameLift Servers Warteschlange
Das folgende Beispiel bietet einem Benutzer Zugriff auf eine bestimmte Amazon GameLift Servers Warteschlange.
Diese Richtlinie gewährt dem Benutzer Berechtigungen zum Hinzufügen, Aktualisieren und Löschen von Warteschlangenzielen mit den folgenden Aktionen: `gamelift:UpdateGameSessionQueue``gamelift:DeleteGameSessionQueue`, und`gamelift:DescribeGameSessionQueues`. Wie gezeigt, verwendet diese Richtlinie das `Resource` Element, um den Zugriff auf eine einzelne Warteschlange zu beschränken:`gamesessionqueue/examplequeue123`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ViewSpecificQueueInfo",
"Effect":"Allow",
"Action":[
"gamelift:DescribeGameSessionQueues"
],
"Resource":"arn:aws:gamelift:us-east-1:555555555555:gamesessionqueue/examplequeue123"
},
{
"Sid":"ManageSpecificQueue",
"Effect":"Allow",
"Action":[
"gamelift:UpdateGameSessionQueue",
"gamelift:DeleteGameSessionQueue"
],
"Resource":"arn:aws:gamelift:us-east-1:111122223333:gamesessionqueue/examplequeue123"
}
]
}
```
------
## Amazon GameLift Servers-Flotten basierend auf Tags anzeigen
Sie können in Ihrer identitätsbasierten Richtlinie Bedingungen für die Steuerung des Zugriffs auf Amazon GameLift Servers-Ressourcen auf der Basis von Tags verwenden. Dieses Beispiel zeigt, wie Sie eine Richtlinie erstellen können, die das Anzeigen einer Flotte ermöglicht, wenn das `Owner` Tag mit dem Benutzernamen des Benutzers übereinstimmt. Diese Richtlinie gewährt auch die erforderlichen Berechtigungen, um diesen Vorgang in der Konsole abzuschließen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListFleetsInConsole",
"Effect": "Allow",
"Action": "gamelift:ListFleets",
"Resource": "*"
},
{
"Sid": "ViewFleetIfOwner",
"Effect": "Allow",
"Action": "gamelift:DescribeFleetAttributes",
"Resource": "arn:aws:gamelift:*:*:fleet/*",
"Condition": {
"StringEquals": {"aws:ResourceAccount": "${aws:username}"}
}
}
]
}
```
------
## Greifen Sie in Amazon S3 auf eine Spiele-Build-Datei zu
Nachdem Sie Ihren Spieleserver mit integriert habenAmazon GameLift Servers, laden Sie die Build-Dateien auf Amazon S3 hoch. Verwenden Amazon GameLift Servers Sie die folgende Richtlinie, um auf die Build-Dateien zuzugreifen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": "arn:aws:s3:::bucket-name/object-name"
}
]
}
```
------
Weitere Informationen zum Hochladen von Amazon GameLift Servers Spieledateien finden Sie unter[Erstelle einen Gameserver-Build für Amazon GameLift Servers](gamelift-build-cli-uploading.md).
# Fehlerbehebung für Amazon GameLift Servers-Identität und -Zugriff
Mithilfe der folgenden Informationen können Sie häufig auftretende Probleme diagnostizieren und beheben, die bei der Arbeit mit Amazon GameLift Servers und AWS Identity and Access Management (IAM) auftreten können.
**Topics**
+ [Ich bin nicht autorisiert, eine Aktion in Amazon GameLift Servers auszuführen.](#security_iam_troubleshoot-no-permissions)
+ [Ich bin nicht berechtigt, iam auszuführen: PassRole](#security_iam_troubleshoot-passrole)
+ [Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine Amazon GameLift Servers Ressourcen ermöglichen](#security_iam_troubleshoot-cross-account-access)
## Ich bin nicht autorisiert, eine Aktion in Amazon GameLift Servers auszuführen.
Wenn Ihnen AWS-Managementkonsole mitgeteilt wird, dass Sie nicht berechtigt sind, eine Aktion durchzuführen, wenden Sie sich an Ihren AWS Kontoadministrator, um Unterstützung zu erhalten. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
Der folgende Beispielfehler tritt auf, wenn der `mateojackson` IAM-Benutzer versucht, die Konsole zu verwenden, um Details zu einer Warteschlange anzuzeigen, aber nicht über die `gamelift:DescribeGameSessionQueues` entsprechenden Berechtigungen verfügt:
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: gamelift:DescribeGameSessionQueues on resource: examplequeue123
```
In diesem Fall bittet Mateo seinen Administrator, seine Richtlinien zu aktualisieren, um ihm Lesezugriff auf die `examplequeue123` Ressource zu gewähren, die die Aktion verwendet. `gamelift:DescribeGameSessionQueues`
## Ich bin nicht berechtigt, iam auszuführen: PassRole
Wenn Sie die Fehlermeldung erhalten, dass Sie nicht zum Durchführen der `iam:PassRole`-Aktion autorisiert sind, müssen Ihre Richtlinien aktualisiert werden, um eine Rolle an Amazon GameLift Servers übergeben zu können.
Einige AWS-Services ermöglichen es Ihnen, eine bestehende Rolle an diesen Dienst zu übergeben, anstatt eine neue Servicerolle oder eine dienstverknüpfte Rolle zu erstellen. Hierzu benötigen Sie Berechtigungen für die Übergabe der Rolle an den Dienst.
Der folgende Beispielfehler tritt auf, wenn ein IAM-Benutzer mit dem Namen `marymajor` versucht, die Konsole zu verwenden, um eine Aktion in Amazon GameLift Servers auszuführen. Die Aktion erfordert jedoch, dass der Service über Berechtigungen verfügt, die durch eine Servicerolle gewährt werden. Mary besitzt keine Berechtigungen für die Übergabe der Rolle an den Dienst.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In diesem Fall müssen die Richtlinien von Mary aktualisiert werden, um die Aktion `iam:PassRole` ausführen zu können.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine Amazon GameLift Servers Ressourcen ermöglichen
Sie können eine Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.
Weitere Informationen dazu finden Sie hier:
+ Informationen dazu, ob Amazon GameLift Servers diese Features unterstützt, finden Sie unter [Funktionsweise von Amazon GameLift Servers mit IAM](security_iam_service-with-iam.md).
+ *Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen in AWS-Konten Ihrem Besitz gewähren können, finden Sie im IAM-Benutzerhandbuch unter [Gewähren des Zugriffs für einen IAM-Benutzer in einem anderen AWS-Konto , dem Sie](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) gehören.*
+ Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie [AWS-Konten im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).
+ Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*.
+ Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
# AWS verwaltete Richtlinien für Amazon GameLift Servers
Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS. AWS Verwaltete Richtlinien sind so konzipiert, dass sie Berechtigungen für viele gängige Anwendungsfälle bereitstellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.
Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie für alle AWS Kunden verfügbar sind. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie [vom Kunden verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.
Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.
Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
## AWS verwaltete Richtlinie: GameLiftContainerFleetPolicy
Sie können Rollen `GameLiftContainerFleetPolicy` an Ihre IAM-Rollen anhängen.
Die Richtlinie gewährt Berechtigungen für Rechenaktionen in einer Amazon GameLift Servers Containerflotte. Eine Containerflotte besteht aus einer Reihe von Hosting-Ressourcen, die für Sie Amazon GameLift Servers verwaltet werden. Amazon GameLift Serversbenötigt Berechtigungen, um in Ihrem Namen eine Verbindung mit dem Amazon GameLift Servers Dienst und anderen AWS Diensten herzustellen.
Wenn Sie eine Containerflotte mit erstellenAmazon GameLift Servers, geben Sie eine IAM-Servicerolle mit der angehängten GameLiftContainerFleetPolicy verwalteten Richtlinie an. Anweisungen zum Erstellen der Servicerolle finden Sie unter[Richten Sie eine IAM-Servicerolle ein für Amazon GameLift Servers](setting-up-role.md).
Weitere Informationen finden Sie unter [GameLiftContainerFleetPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/GameLiftContainerFleetPolicy.html).
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `cloudwatch`— Ermöglicht Amazon GameLift Servers das Schreiben von Spielsitzungsprotokollen in einen Amazon CloudWatch Events-Protokollstream in Ihrem AWS Konto.
+ `cloudwatch `— Ermöglicht Amazon GameLift Servers die Erstellung einer CloudWatch Protokollgruppe, um Spielsitzungsdaten im Protokollstream zu organisieren.
+ `s3`— Ermöglicht Amazon GameLift Servers das Schreiben von Spielsitzungsprotokollen in einen Amazon Simple Storage Service-Bucket in Ihrem AWS Konto.
+ `s3`— Ermöglicht Amazon GameLift Servers das Abrufen des AWS-Region Standorts eines bestimmten Amazon S3 S3-Buckets mithilfe der API-Aktion`s3:GetBucketLocation`.
+ `gamelift `— Ermöglicht Amazon GameLift Servers das Abrufen eines Authentifizierungstokens, das es einem gehosteten Spieleserver ermöglicht, über Ihr AWS Konto mit dem Amazon GameLift Servers Dienst zu kommunizieren.
## Amazon GameLift ServersAktualisierungen der AWS verwalteten Richtlinien
Hier finden Sie Informationen zu Aktualisierungen AWS verwalteter Richtlinien, die Amazon GameLift Servers seit Beginn der Nachverfolgung dieser Änderungen durch diesen Dienst vorgenommen wurden. Abonnieren Sie den RSS-Feed auf der Seite mit den [Amazon GameLift ServersVersionshinweisen, um automatische Benachrichtigungen über Änderungen an dieser Seite]() zu erhalten.
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| [GameLiftContainerFleetPolicy](#security-iam-awsmanpol-GameLiftContainerFleetPolicy)— Änderung | Amazon GameLift Serversneue Berechtigungen zum Abrufen AWS-Region eines Amazon S3 S3-Buckets hinzugefügt. | 5. Februar 2024 |
| [GameLiftContainerFleetPolicy](#security-iam-awsmanpol-GameLiftContainerFleetPolicy) – Neue Richtlinie | Amazon GameLift Serversneue Berechtigungen hinzugefügt, damit Gameserver-Container auf Amazon GameLift Servers verwalteten Flotten ausgeführt werden können. | 12. November 2024 |
| Amazon GameLift Servers hat die Änderungsverfolgung gestartet | Amazon GameLift Servershat begonnen, Änderungen an den AWS verwalteten Richtlinien zu verfolgen. | 12. November 2024 |
# Protokollierung und Überwachung mit Amazon GameLift Servers
Die Überwachung ist ein wichtiger Bestandteil der Aufrechterhaltung der Zuverlässigkeit, Verfügbarkeit und Leistung von Amazon GameLift Servers und Ihre AWS Lösungen. Sie sollten Überwachungsdaten aus allen Teilen Ihrer AWS Lösung sammeln, damit Sie einen etwaigen Ausfall an mehreren Stellen leichter debuggen können.
AWS und Amazon GameLift Servers stellen mehrere Tools zur Verfügung, mit denen Sie Ihre Spielhosting-Ressourcen überwachen und auf mögliche Vorfälle reagieren können.
**CloudWatch Amazon-Alarme**
Mithilfe von CloudWatch Amazon-Alarmen beobachten Sie eine einzelne Metrik über einen von Ihnen angegebenen Zeitraum. Wenn die Metrik einen bestimmten Schwellenwert überschreitet, wird eine Benachrichtigung an ein Amazon SNS SNS-Thema oder eine AWS Auto Scaling Scaling-Richtlinie gesendet. CloudWatch Alarme werden ausgelöst, wenn sich ihr Status ändert, und sie werden für eine bestimmte Anzahl von Zeiträumen aufrechterhalten, nicht wenn sich ein bestimmter Zustand befindet. Weitere Informationen finden Sie unter [Überwachen Sie Amazon GameLift Servers mit Amazon CloudWatch](monitoring-cloudwatch.md).
**AWS CloudTrail Logs**
CloudTrail bietet eine Aufzeichnung der Aktionen, die von einem Benutzer, einer Rolle oder einem AWS Dienst in ausgeführt wurden Amazon GameLift Servers. Anhand der von CloudTrail gesammelten Informationen können Sie feststellen, welche Anfrage gestellt wurde Amazon GameLift Servers, die IP-Adresse, von der aus die Anfrage gestellt wurde, wer die Anfrage gestellt hat, wann sie gestellt wurde, und weitere Details. Weitere Informationen finden Sie unter [Amazon GameLift ServersAPI-Aufrufe protokollieren mit AWS CloudTrail](logging-using-cloudtrail.md).
# Compliance-Validierung für Amazon GameLift Servers
Amazon GameLift Serversfällt nicht in den Geltungsbereich AWS irgendwelcher Compliance-Programme.
Informationen darüber, ob AWS-Service ein [AWS-Services in den Geltungsbereich bestimmter Compliance-Programme fällt, finden Sie unter Umfang nach Compliance-Programm AWS-Services unter](https://aws.amazon.com/compliance/services-in-scope/) . Wählen Sie dort das Compliance-Programm aus, an dem Sie interessiert sind. Allgemeine Informationen finden Sie unter [AWS Compliance-Programme AWS](https://aws.amazon.com/compliance/programs/) .
Sie können Prüfberichte von Drittanbietern unter herunterladen AWS Artifact. Weitere Informationen finden Sie unter [Berichte herunterladen unter ](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Ihre Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services hängt von der Vertraulichkeit Ihrer Daten, den Compliance-Zielen Ihres Unternehmens und den geltenden Gesetzen und Vorschriften ab. Weitere Informationen zu Ihrer Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services finden Sie in der [AWS Sicherheitsdokumentation](https://docs.aws.amazon.com/security/).
# Resilienz in Amazon GameLift Servers
Wenn du verwendest Amazon GameLift Servers FleetIQ als eigenständige Funktion bei Amazon EC2, siehe [Sicherheit bei Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security.html) im * EC2 Amazon-Benutzerhandbuch*.
Die AWS globale Infrastruktur basiert auf AWS Regionen und Availability Zones. AWS Regionen bieten mehrere physisch getrennte und isolierte Availability Zones, die über Netzwerke mit niedriger Latenz, hohem Durchsatz und hoher Redundanz miteinander verbunden sind. Mithilfe von Availability Zones können Sie Anwendungen und Datenbanken erstellen und ausführen, die automatisch Failover zwischen Zonen ausführen, ohne dass es zu Unterbrechungen kommt. Availability Zones sind besser verfügbar, fehlertoleranter und skalierbarer als herkömmliche Infrastrukturen mit einem oder mehreren Rechenzentren.
Weitere Informationen zu AWS Regionen und Availability Zones finden Sie unter [AWS Globale](https://aws.amazon.com/about-aws/global-infrastructure/) Infrastruktur.
Zusätzlich zur AWS globalen Infrastruktur Amazon GameLift Servers bietet die folgenden Funktionen zur Unterstützung Ihrer Anforderungen an die Datenstabilität:
+ **Warteschlangen mit mehreren Regionen** — Amazon GameLift Servers Warteschlangen für Spielsitzungen werden verwendet, um neue Spielsitzungen mit verfügbaren Hosting-Ressourcen zu platzieren. Warteschlangen, die sich über mehrere Regionen erstrecken, können Spielsitzungen im Falle eines regionalen Ausfalls umleiten. Weitere Informationen und bewährte Methoden zum Erstellen von Spielsitzungswarteschlangen finden Sie unter [Passen Sie eine Warteschlange für Spielsitzungen an](queues-design.md).
+ **Automatische Kapazitätsskalierung** — Sorgen Sie für den Zustand und die Verfügbarkeit Ihrer Hosting-Ressourcen, indem Sie Amazon GameLift Servers Tools zur Skalierung. Diese Tools bieten eine Reihe von Optionen, mit denen Sie die Flottenkapazität an die Bedürfnisse Ihres Spiels und Ihrer Spieler anpassen können. Weitere Informationen zur Skalierung finden Sie unter [Skalierung der Game-Hosting-Kapazität mit Amazon GameLift Servers](fleets-manage-capacity.md).
+ **Verteilung auf mehrere Instanzen** — Amazon GameLift Servers verteilt den eingehenden Traffic je nach Flottengröße auf mehrere Instanzen. Als bewährte Methode sollten Spiele in der Produktion über mehrere Instances verfügen, um die Verfügbarkeit für den Fall zu wahren, dass eine Instance fehlerhaft wird oder nicht mehr reagiert.
+ **Amazon S3 S3-Speicher** — Spieleserver-Builds und -Skripte, die hochgeladen werden Amazon GameLift Servers werden in Amazon S3 mithilfe der Standard-Speicherklasse gespeichert, die mehrere Rechenzentrumsreplikationen verwendet, um die Ausfallsicherheit zu erhöhen. Spielsitzungsprotokolle werden auch in Amazon S3 unter Verwendung der Standard-Speicherklasse gespeichert.
# Infrastruktursicherheit in Amazon GameLift Servers
Wenn du verwendest Amazon GameLift Servers FleetIQ als eigenständige Funktion bei Amazon EC2, siehe [Sicherheit bei Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security.html) im * EC2 Amazon-Benutzerhandbuch*.
Als verwalteter Service Amazon GameLift Servers ist durch die AWS globalen Netzwerksicherheitsverfahren geschützt, die im Whitepaper [Amazon Web Services: Sicherheitsprozesse im Überblick](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf) beschrieben sind.
Sie verwenden AWS veröffentlichte API-Aufrufe für den Zugriff Amazon GameLift Servers über das Netzwerk. Clients müssen Transport Layer Security (TLS) 1.2 oder höher unterstützen. Wir empfehlen TLS 1.3 oder höher. Clients müssen außerdem Verschlüsselungssammlungen mit PFS (Perfect Forward Secrecy) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman) unterstützen. Die meisten modernen Systemen wie Java 7 und höher unterstützen diese Modi.
Außerdem müssen Anforderungen mit einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel signiert sein, der einem IAM-Prinzipal zugeordnet ist. Alternativ können Sie mit [AWS -Security-Token-Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) temporäre Sicherheitsanmeldeinformationen erstellen, um die Anforderungen zu signieren.
Das Tool Amazon GameLift Servers Der Service platziert alle Flotten in Amazon Virtual Private Clouds (VPCs), sodass sich jede Flotte in einem logisch isolierten Bereich in der AWS Cloud befindet. Sie können Folgendes verwenden … Amazon GameLift Servers Richtlinien zur Steuerung des Zugriffs von bestimmten VPC-Endpunkten oder bestimmten. VPCs Dadurch wird der Netzwerkzugriff auf ein bestimmtes Objekt effektiv isoliert Amazon GameLift Servers Ressource nur von der spezifischen VPC innerhalb des AWS Netzwerks. Wenn Sie eine Flotte erstellen, geben Sie einen Bereich von Portnummern und IP-Adressen an. Diese Bereiche begrenzen, wie eingehender Datenverkehr auf gehostete Spieleserver in einer Flotten-VPC zugreifen kann. Verwenden Sie bewährte Standardmethoden für die Sicherheit bei der Auswahl von Flottenzugriffseinstellungen.
# Konfigurations- und Schwachstellenanalyse in Amazon GameLift Servers
Wenn Sie Amazon EC2 Amazon GameLift Servers FleetIQ als eigenständige Funktion verwenden, finden Sie weitere Informationen unter [Sicherheit in Amazon EC2 im Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security.html) *EC2-Benutzerhandbuch*.
Konfiguration und IT-Steuerelemente unterliegen der übergreifenden Verantwortlichkeit von AWS und Ihnen, unserem Kunden. Weitere Informationen finden Sie im Modell der AWS [gemeinsamen](https://aws.amazon.com/compliance/shared-responsibility-model/) Verantwortung. AWS kümmert sich um grundlegende Sicherheitsaufgaben wie das Patchen von Gastbetriebssystemen (OS) und Datenbanken, die Firewallkonfiguration und die Notfallwiederherstellung. Diese Verfahren wurden von qualifizierten Dritten überprüft und zertifiziert. Weitere Informationen finden Sie in der folgenden Ressource: [Amazon Web Services: Überblick über Sicherheitsprozesse](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf) (Whitepaper).
Die folgenden bewährten Sicherheitsmethoden beinhalten auch die Adresskonfiguration und Schwachstellenanalyse in Amazon GameLift Servers:
+ Kunden sind für die Verwaltung der Software verantwortlich, die für Amazon GameLift Servers-Instances für das Spiele-Hosting bereitgestellt wird. Das heißt:
+ Von Kunden bereitgestellte Spieleserver-Anwendungssoftware muss regelmäßig gewartet werden, einschließlich Updates und Sicherheitspatches. Um die Spielserver-Software zu aktualisieren, laden Sie einen neuen Build in ein neues Container-Image hoch Amazon GameLift Servers oder stellen Sie ihn in einem neuen Container-Image bereit, erstellen Sie eine neue Flotte dafür und leiten Sie den Traffic auf die neue Flotte um.
+ Das Basis-AMI (Amazon Machine Image), das das Betriebssystem enthält, wird nur aktualisiert, wenn eine neue Flotte erstellt wird. Tauschen Sie regelmäßig Flotten aus, um das Betriebssystem und andere Anwendungen, die Teil des AMI sind, zu patchen, zu aktualisieren und zu sichern, unabhängig von Spielserver-Updates. Produktionsflotten sollten mindestens einmal pro Jahr ausgetauscht werden. Weitere Details finden Sie unter [Halten Sie die Runtime-Umgebungen Ihrer Flotte auf dem neuesten Stand](security-best-practices.md#security-best-practices-fleetupdates).
+ Kunden sollten erwägen, ihre Spiele regelmäßig mit den neuesten SDK-Versionen zu aktualisieren, einschließlich des AWS SDK, des Amazon GameLift Servers Server-SDK und des Amazon GameLift Servers Client-SDK für Echtzeitserver.
# Bewährte Methoden für die Sicherheit für Amazon GameLift Servers
Wenn Sie Amazon EC2 Amazon GameLift Servers FleetIQ als eigenständige Funktion verwenden, finden Sie weitere Informationen unter [Sicherheit in Amazon EC2 im Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security.html) *EC2-Benutzerhandbuch*.
Amazon GameLift Servers enthält eine Reihe von Sicherheitsfeatures, die Sie bei der Entwicklung und Implementierung Ihrer eigenen Sicherheitsrichtlinien berücksichtigen sollten. Die folgenden bewährten Methoden stellen allgemeine Richtlinien und keine vollständige Sicherheitslösung dar. Da diese bewährten Methoden für Ihre Umgebung möglicherweise nicht angemessen oder ausreichend sind, sollten Sie sie als hilfreiche Überlegungen und nicht als bindend ansehen.
## Halten Sie die Runtime-Umgebungen Ihrer Flotte auf dem neuesten Stand
Amazon GameLift Serversempfiehlt dringend, dass Sie verwaltete Flotten (einschließlich verwalteter EC2- und verwalteter Container-Flotten) regelmäßig austauschen, um sichere Laufzeitumgebungen für Ihre Spieleserver aufrechtzuerhalten. Flotten, die über einen längeren Zeitraum ohne Runtime-Updates laufen, können veraltete Abhängigkeiten und Sicherheitslücken enthalten, die deine Spieleserver gefährden könnten. Einzelheiten zur Aufteilung der Verantwortung für Software, die in Amazon GameLift Servers Flotten eingesetzt wird, finden Sie unter. [Konfigurations- und Schwachstellenanalyse in Amazon GameLift Servers](vulnerability-analysis-management.md)
Die Laufzeitumgebung einer verwalteten Flotte wird durch ihre Amazon Machine Image (AMI) -Version bestimmt. Wenn eine neue Flotte erstellt wird, Amazon GameLift Servers weist sie der Flotte die neueste verfügbare AMI-Version zu, und alle Compute-Instances in dieser Flotte werden mit dieser Version bereitgestellt. Um die AMI-Version zu aktualisieren, müssen Sie eine neue Flotte erstellen. Einzelheiten zu aktuellen AMI-Versionen finden Sie unter[Amazon GameLift ServersAMI-Versionen](reference-ec2-ami-version-history.md).
Empfohlene Vorgehensweisen:
+ **Überwachen Sie das Flottenalter und ersetzen Sie Flotten, die älter als 30 Tage sind** — Sie können das Erstellungsdatum einer Flotte in der Amazon GameLift Servers Konsole verfolgen oder die CLI verwenden, um Flottenattribute abzurufen. Amazon GameLift Serverszeigt in der Konsole Warnungen für Flotten an, die älter als 90 Tage sind, und benachrichtigt Kontoinhaber per E-Mail für Flotten, die älter als ein Jahr sind.
**Anmerkung**
Durch das Aktualisieren einer Flotte (z. B. durch die Verwendung von [UpdateFleetAttributes](https://docs.aws.amazon.com/gameliftservers/latest/apireference/API_UpdateFleetAttributes.html)oder [UpdateContainerFleet](https://docs.aws.amazon.com/gameliftservers/latest/apireference/API_UpdateContainerFleet.html)) wird die AMI-Version nicht geändert. Sie müssen eine neue Flotte erstellen.
+ **Tauschen Sie Flotten regelmäßig je nach Sicherheitsstatus** aus — Richten Sie einen regelmäßigen Zeitplan ein, um neue Flotten zu erstellen und alte Flotten außer Dienst zu stellen. Erwägen Sie, einen Service wie [Amazon Q](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/code-reviews.html) zu nutzen, um Ihren Spielcode mit der aktuellen AMI-Version zu überprüfen, Sicherheitsprobleme zu erkennen und Maßnahmen zur Behebung vorzuschlagen.
+ **Testen Sie Server-Builds vor der Bereitstellung mit den neuesten AMI-Versionen** — Möglicherweise müssen Sie Ihren Server-Build ändern und auf ihn hochladen, Amazon GameLift Servers bevor Sie eine neue Flotte erstellen können.
+ **Verwalten Sie Flottenkontingente für Ihr AWS Konto** — Sie können bei Bedarf Limiterhöhungen beantragen, um Ersatzflotten zu erstellen. Weitere Informationen finden Sie unter [Endpunkte und Kontingente von Amazon GameLift Servers](limits-regions.md).
+ **Erwägen Sie die Automatisierung des Flottenaustauschs** — Sie können Prozesse automatisieren, um neue Flotten zu erstellen und Spieler-Traffic aus älteren Flotten zu migrieren. Beispiel:
+ Wird verwendet AWS CloudFormation , um die Erstellung und Verwaltung von Flotten zu automatisieren. Pflegen Sie Ihre Flottenkonfigurationen als CloudFormation Vorlagen und verwenden Sie sie, um Ressourcenstapel zu starten.
+ Nutzen Sie die Amazon GameLift Servers Alias-Funktion, um eine bestimmte Flotte IDs zu abstrahieren. Mithilfe von Flottenaliasen ist es einfach, den Spielerverkehr von einer bestehenden Flotte auf eine neue umzustellen, ohne dass die laufenden Spielsitzungen unterbrochen werden. Details hierzu finden Sie unter [Zusammenfassung einer Amazon GameLift Servers Flottenbezeichnung mit einem Alias](aliases-intro.md).
+ Verwenden Sie blue/green Implementierungsstrategien, um das Migrationsrisiko zu reduzieren und Ausfallzeiten zu vermeiden. Mit zwei identischen Produktionsumgebungen können Sie von einer vollständigen, produktionsähnlichen Testumgebung profitieren, mehr Kontrolle über den Migrationsprozess ausüben und sofortige Rollbacks sicherstellen.
## Schützen Sie Ihre Portkonfigurationen
Wir empfehlen dringend, keine Ports zum Internet zu öffnen, da dies ein Sicherheitsrisiko darstellt. Die folgende Konfiguration öffnet beispielsweise einen Remote-Desktop-Port, über den jeder Benutzer im Internet auf die Instanz zugreifen kann:
```
{
"FleetId": "",
"InboundPermissionAuthorizations": [
{
"FromPort": 3389,
"IpRange": "0.0.0.0/0",
"Protocol": "RDP",
"ToPort": 3389
}
]
}
```
Verwenden Sie stattdessen, [UpdateFleetPortSettings](https://docs.aws.amazon.com/gameliftservers/latest/apireference/API_UpdateFleetPortSettings.html)um einen Port mit einer bestimmten IP-Adresse oder einem bestimmten Adressbereich zu öffnen, wie in diesem Beispiel gezeigt:
```
{
"FleetId": "",
"InboundPermissionAuthorizations": [
{
"FromPort": 3389,
"IpRange": "54.186.139.221/32",
"Protocol": "TCP",
"ToPort": 3389
}
]
}
```
## Zusätzliche Sicherheitsressourcen
Weitere Informationen darüber, wie Sie Ihre Nutzung Amazon GameLift Servers sicherer gestalten können, finden Sie im [AWS Well-Architected Tool Bereich Sicherheit.](https://wa.aws.amazon.com/wat.pillar.security.en.html) .