Amazon GameLift Servers のセキュリティに関するベストプラクティス - Amazon GameLift Servers
フリートランタイム環境を最新の状態に保つポート設定を保護する追加のセキュリティリソース

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon GameLift Servers のセキュリティに関するベストプラクティス

Amazon EC2 のスタンドアロン機能Amazon GameLift ServersFleetIQとして を使用している場合は、Amazon EC2 ユーザーガイド」の「Amazon EC2 のセキュリティ」を参照してください。 Amazon EC2

Amazon GameLift Servers には、独自のセキュリティポリシーを開発および実装する際に考慮する必要のあるいくつかのセキュリティ機能が用意されています。以下のベストプラクティスは一般的なガイドラインであり、完全なセキュリティソリューションを提供するものではありません。これらのベストプラクティスはお客様の環境に必ずしも適切または十分でない可能性があるため、処方箋ではなく、あくまで有用な検討事項とお考えください。

フリートランタイム環境を最新の状態に保つ

Amazon GameLift Servers では、ゲームサーバーの安全なランタイム環境を維持するために、マネージドフリート (マネージド EC2 およびマネージドコンテナフリートを含む) を定期的に置き換えることを強くお勧めします。ランタイムの更新なしで長期間実行されるフリートには、ゲームサーバーを侵害する可能性のある古い依存関係やセキュリティの脆弱性が含まれている可能性があります。Amazon GameLift Servers フリートにデプロイされたソフトウェアの責任分担の詳細については、「」を参照してくださいAmazon GameLift Servers での構成と脆弱性の分析

マネージドフリートのランタイム環境は、Amazon マシンイメージ (AMI) のバージョンによって決まります。新しいフリートが作成されると、 は利用可能な最新の AMI バージョンをフリートにAmazon GameLift Servers割り当て、そのフリート内のすべてのコンピューティングインスタンスがそのバージョンでデプロイされます。AMI バージョンを更新するには、新しいフリートを作成する必要があります。現在の AMI バージョンの詳細については、「」を参照してくださいAmazon GameLift Servers AMI バージョン

推奨されるプラクティス:

  • フリートの有効期間をモニタリングし、30 日以上経過したフリートを置き換える – Amazon GameLift Serversコンソールでフリートの作成日を追跡するか、CLI を使用してフリート属性を取得できます。 は、90 日以上経過したフリートの警告をコンソールにAmazon GameLift Servers表示し、1 年以上経過したフリートのアカウント所有者に E メールで通知します。

    注記

    フリートの更新 (UpdateFleetAttributesUpdateContainerFleet の使用など) では、AMI バージョンは変更されません。新しいフリートを作成する必要があります。

  • セキュリティ状態に基づいてフリートを定期的に置き換える – 新しいフリートを作成し、古いフリートを廃止するための定期的なスケジュールを設定します。Amazon Q などのサービスを使用して、現在の AMI バージョンでゲームコードを確認し、セキュリティの問題を検出し、修復手順を提案することを検討してください。

  • デプロイ前に最新の AMI バージョンでサーバービルドをテストする – 新しいフリートを作成するAmazon GameLift Servers前に、サーバービルドを変更して にアップロードする必要がある場合があります。

  • AWS アカウントのフリートクォータを管理する – 必要に応じて制限の引き上げをリクエストして、代替フリートを作成できます。詳細については、「Amazon GameLift Servers エンドポイントとクォータ」を参照してください。

  • フリート交換の自動化を検討する – プロセスを自動化して新しいフリートを作成し、古いフリートからプレイヤートラフィックを移行できます。例:

    • AWS CloudFormation を使用して、フリートの作成と管理を自動化します。フリート設定を AWS CloudFormation テンプレートとして維持し、それらを使用してリソーススタックを起動します。

    • エイリアス機能を活用して、特定のフリート ID Amazon GameLift Servers を抽象化します。 IDs フリートエイリアスを使用すると、進行中のゲームセッションを中断することなく、プレイヤートラフィックを既存のフリートから新しいフリートに簡単に切り替えることができます。詳細については、「エイリアスを使用してAmazon GameLift Serversフリート指定を抽象化する」を参照してください。

    • Blue/Green デプロイ戦略を使用して、移行リスクを軽減し、ダウンタイムをゼロに維持します。2 つの同一の本番稼働環境では、本番稼働のような完全なテスト環境を活用し、移行プロセスをより細かく制御し、即時のロールバックを確保できます。

ポート設定を保護する

インターネットへのポートの開放は、セキュリティ上のリスクがあるため、開放しないことを強くお勧めします。たとえば、次の設定では、インターネット上のすべてのユーザーがインスタンスにアクセスできるようにするリモートデスクトップポートが開きます。

{
  "FleetId": "<fleet identifier>",
  "InboundPermissionAuthorizations": [ 
      { 
        "FromPort": 3389,
        "IpRange": "0.0.0.0/0",
        "Protocol": "RDP",
        "ToPort": 3389
      }
  ]
}

代わりに、UpdateFleetPortSettings を使用して、次の例に示すように、特定の IP アドレスまたはアドレス範囲を持つポートを開きます。

{
  "FleetId": "<fleet identifier>",
  "InboundPermissionAuthorizations": [ 
      { 
        "FromPort": 3389,
        "IpRange": "54.186.139.221/32",
        "Protocol": "TCP",
        "ToPort": 3389
      }
  ]
}

追加のセキュリティリソース

Amazon GameLift Servers をより安全に活用する方法の詳細については、AWS Well-Architected Tool 「 セキュリティの柱」を参照してください