Amazon GameLift でのインフラストラクチャセキュリティ
Amazon GameLift FleetIQ を Amazon EC2 と組み合わせてスタンドアロン機能として使用している場合は、「Amazon EC2 ユーザーガイド」の「Amazon EC2 のセキュリティ」を参照してください。
マネージドサービスである Amazon GameLift は、ホワイトペーパー「Amazon Web Services: セキュリティプロセスの概要
AWS が公開している API コールを使用し、ネットワーク経由で Amazon GameLift にアクセスします。クライアントは、Transport Layer Security (TLS) 1.2 以降をサポートする必要があります。TLS 1.3 以降が推奨されます。また、一時的ディフィー・ヘルマン Ephemeral Diffie-Hellman (DHE) や Elliptic Curve Ephemeral Diffie-Hellman (ECDHE) などの Perfect Forward Secrecy (PFS) を使用した暗号スイートもクライアントでサポートされている必要があります。これらのモードは、Java 7 以降など、最近のほとんどのシステムでサポートされています。
また、リクエストには、アクセスキー ID と、IAM プリンシパルに関連付けられているシークレットアクセスキーを使用して署名する必要があります。または、AWS Security Token Service (AWS STS) を使用して、一時的なセキュリティ認証情報を生成し、リクエストに署名することもできます。
Amazon GameLift サービスでは、すべてのフリートが Amazon Virtual Private Cloud (VPC) に配置され、各フリートが AWS クラウド内の論理的に分離された領域に存在します。Amazon GameLift ポリシーを使用して、特定の VPC エンドポイントや特定の VPC からアクセスをコントロールできます。これにより、実質的に AWS ネットワーク内の特定の VPC からの Amazon GameLift リソースへのネットワークアクセスが分離されます。フリートを作成するときは、ポート番号と IP アドレスの範囲を指定します。これらの範囲は、インバウンドトラフィックがフリート VPC 上のホストされたゲームサーバーにアクセスする方法を制限します。フリートアクセス設定を選択するときは、標準セキュリティのベストプラクティスを使用します。
