Esempi di policy basate sull'identità per Amazon GameLift

Per impostazione predefinita, gli utenti e i ruoli non sono autorizzati a creare o modificare GameLift risorse Amazon. Inoltre, non possono eseguire attività utilizzando AWS Management Console, AWS Command Line Interface (AWS CLI) o AWS API. Per concedere agli utenti il permesso di eseguire azioni sulle risorse di cui hanno bisogno, un IAM amministratore può creare IAM policy. L'amministratore può quindi aggiungere le IAM politiche ai ruoli e gli utenti possono assumerli.

Per informazioni su come creare una politica IAM basata sull'identità utilizzando questi documenti di esempioJSON, consulta Creazione di IAM politiche nella Guida per l'IAMutente.

Per dettagli sulle azioni e sui tipi di risorse definiti da Amazon GameLift, incluso il formato di ARNs per ogni tipo di risorsa, consulta Azioni, risorse e chiavi di condizione per Amazon GameLift nel Service Authorization Reference.

Best practice per le policy

Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare GameLift risorse Amazon nel tuo account. Queste azioni possono comportare costi aggiuntivi per l' Account AWS. Quando crei o modifichi policy basate su identità, segui queste linee guida e raccomandazioni:

• Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per ulteriori informazioni, consulta le politiche AWS gestite o le politiche AWS gestite per le funzioni lavorative nella Guida per l'IAMutente.

• Applica le autorizzazioni con privilegi minimi: quando imposti le autorizzazioni con le IAM politiche, concedi solo le autorizzazioni necessarie per eseguire un'attività. Puoi farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come autorizzazioni con privilegi minimi. Per ulteriori informazioni sull'utilizzo per applicare le autorizzazioni, consulta Politiche e autorizzazioni nella Guida IAM per l'utente. IAM IAM

• Utilizza le condizioni nelle IAM politiche per limitare ulteriormente l'accesso: puoi aggiungere una condizione alle tue politiche per limitare l'accesso ad azioni e risorse. Ad esempio, puoi scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzandoSSL. È inoltre possibile utilizzare condizioni per concedere l'accesso alle azioni di servizio se vengono utilizzate tramite uno specifico AWS servizio, ad esempio AWS CloudFormation. Per ulteriori informazioni, consulta Elementi IAM JSON della politica: Condizione nella Guida IAM per l'utente.

• Usa IAM Access Analyzer per convalidare IAM le tue policy e garantire autorizzazioni sicure e funzionali: IAM Access Analyzer convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio delle IAM policy () e alle best practice. JSON IAM IAMAccess Analyzer fornisce più di 100 controlli delle politiche e consigli pratici per aiutarti a creare policy sicure e funzionali. Per ulteriori informazioni, vedere Convalida delle policy di IAM Access Analyzer nella Guida per l'utente. IAM

• Richiedi l'autenticazione a più fattori (MFA): se hai uno scenario che richiede l'utilizzo di IAM utenti o di un utente root Account AWS, attiva questa opzione MFA per una maggiore sicurezza. Per richiedere MFA quando vengono richiamate API le operazioni, aggiungi MFA delle condizioni alle tue politiche. Per ulteriori informazioni, vedere Configurazione dell'APIaccesso MFA protetto nella Guida per l'IAMutente.

Per ulteriori informazioni sulle procedure consigliate inIAM, consulta la sezione Procedure consigliate in materia di sicurezza IAM nella Guida per l'IAMutente.

Utilizzo della GameLift console Amazon

Per accedere alla GameLift console Amazon, devi disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle GameLift risorse Amazon presenti nel tuo Account AWS. Se crei una policy basata sull'identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti o ruoli) associate a tale policy.

Per garantire che tali entità possano ancora utilizzare la GameLift console Amazon, aggiungi le autorizzazioni a utenti e gruppi con la sintassi riportata negli esempi seguenti e versioni successive. Esempi di autorizzazioni di amministratore Per ulteriori informazioni, consulta Gestisci le autorizzazioni degli utenti per Amazon GameLift.

Gli utenti che collaborano con Amazon GameLift tramite AWS CLI o AWS API Operations non richiedono autorizzazioni minime per la console. Puoi invece limitare l'accesso solo alle operazioni che l'utente deve eseguire. Ad esempio, un utente giocatore, che agisce per conto dei client di gioco, richiede l'accesso per richiedere sessioni di gioco, inserire giocatori nei giochi e altre attività.

Per informazioni sulle autorizzazioni necessarie per utilizzare tutte le funzionalità della GameLift console Amazon, consulta la sintassi delle autorizzazioni per gli amministratori in. Esempi di autorizzazioni di amministratore

Consentire agli utenti di visualizzare le loro autorizzazioni

Questo esempio mostra come creare una policy che consenta IAM agli utenti di visualizzare le policy in linea e gestite associate alla loro identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando o a livello di codice. AWS CLI AWS API

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

Consentire l'accesso ai giocatori per le sessioni di gioco

Per inserire i giocatori nelle sessioni di gioco, i client di gioco e i servizi di backend necessitano di autorizzazioni. Per esempi di policy per questi scenari, vedi. Esempi di autorizzazioni degli utenti dei giocatori

Consenti l'accesso a una GameLift coda Amazon

L'esempio seguente fornisce a un utente l'accesso a una specifica GameLift coda Amazon.

Questa politica concede all'utente le autorizzazioni per aggiungere, aggiornare ed eliminare le destinazioni delle code con le seguenti azioni:gamelift:UpdateGameSessionQueue, e. gamelift:DeleteGameSessionQueue gamelift:DescribeGameSessionQueues Come illustrato, questo criterio utilizza l'Resourceelemento per limitare l'accesso a una singola coda:. gamesessionqueue/examplequeue123

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"ViewSpecificQueueInfo",
         "Effect":"Allow",
         "Action":[
            "gamelift:DescribeGameSessionQueues"
         ],
         "Resource":"arn:aws:gamelift:::gamesessionqueue/examplequeue123"
      },
      {
         "Sid":"ManageSpecificQueue",
         "Effect":"Allow",
         "Action":[
            "gamelift:UpdateGameSessionQueue",
            "gamelift:DeleteGameSessionQueue"
         ],
         "Resource":"arn:aws:gamelift:::gamesessionqueue/examplequeue123"
      }
   ]
}

Visualizza le GameLift flotte Amazon in base ai tag

Puoi utilizzare le condizioni della tua policy basata sull'identità per controllare l'accesso alle GameLift risorse Amazon in base ai tag. Questo esempio mostra come creare una policy che consenta di visualizzare una flotta se il Owner tag corrisponde al nome utente dell'utente. Questa politica concede anche le autorizzazioni necessarie per completare questa operazione nella console.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ListFleetsInConsole",
            "Effect": "Allow",
            "Action": "gamelift:ListFleets",
            "Resource": "*"
        },
        {
            "Sid": "ViewFleetIfOwner",
            "Effect": "Allow",
            "Action": "gamelift:DescribeFleetAttributes",
            "Resource": "arn:aws:gamelift:*:*:fleet/*",
            "Condition": {
                "StringEquals": {"gamelift:ResourceTag/Owner": "${aws:username}"}
            }
        }
    ]
}

Accedi a un file di build del gioco in Amazon S3

Dopo aver integrato il tuo server di gioco con Amazon GameLift, carica i file di build su Amazon S3. Per consentire GameLift ad Amazon di accedere ai file di build, utilizza la seguente politica.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "Resource": "arn:aws:s3:::bucket-name/object-name"
        }
    ]
}

Per ulteriori informazioni sul caricamento dei file di GameLift gioco Amazon, consultaCarica un server personalizzato su Amazon GameLift.