亚马逊的数据保护 GameLift - Amazon GameLift
静态加密传输中加密互联网络流量隐私保护

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

亚马逊的数据保护 GameLift

如果您将 Amazon GameLift FleetiQ 用作亚马逊的独立功能,请参阅EC2亚马逊用户指南EC2中的亚马逊EC2安全

分 AWS 担责任模式适用于亚马逊的数据保护 GameLift。如本模型所述 AWS ,负责保护运行所有内容的全球基础架构 AWS Cloud。您负责维护对托管在此基础架构上的内容的控制。您还负责您所使用的 AWS 服务 的安全配置和管理任务。有关数据隐私的更多信息,请参阅数据隐私FAQ有关欧洲数据保护的信息,请参阅责任AWS 共担模型和AWS安全GDPR博客上的博客文章

出于数据保护目的,我们建议您保护 AWS 账户 凭据并使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 设置个人用户。这样,每个用户只获得履行其工作职责所需的权限。我们还建议您通过以下方式保护数据:

  • 对每个账户使用多重身份验证 (MFA)。

  • 使用SSL/TLS与 AWS 资源通信。我们需要 TLS 1.2,建议使用 TLS 1.3。

  • 使用API进行设置和用户活动记录 AWS CloudTrail。有关使用 CloudTrail 跟踪捕获 AWS 活动的信息,请参阅《AWS CloudTrail 用户指南》中的使用跟 CloudTrail 踪

  • 使用 AWS 加密解决方案以及其中的所有默认安全控件 AWS 服务。

  • 使用高级托管安全服务(例如 Amazon Macie),它有助于发现和保护存储在 Amazon S3 中的敏感数据。

  • 如果您在 AWS 通过命令行界面或访问时需要 FIPS 140-3 经过验证的加密模块API,请使用端点。FIPS有关可用FIPS端点的更多信息,请参阅联邦信息处理标准 (FIPS) 140-3

我们强烈建议您切勿将机密信息或敏感信息(如您客户的电子邮件地址)放入标签或自由格式文本字段(如名称字段)。这包括您 AWS 服务 使用控制台、API、 GameLift AWS CLI或与 Amazon 或其他人合作的情况 AWS SDKs。在用于名称的标签或自由格式文本字段中输入的任何数据都可能会用于计费或诊断日志。如果您URL向外部服务器提供,我们强烈建议您不要在中包含凭据信息,URL以验证您对该服务器的请求。

亚马逊 GameLift特定数据的处理方式如下:

  • 您上传到亚马逊的游戏服务器版本和脚本存储 GameLift 在 Amazon S3 中。上传此数据后,客户无法直接访问此数据。授权用户可以获得临时访问权限来上传文件,但无法直接查看或更新 Amazon S3 中的文件。要删除脚本和版本,请使用 Amazon GameLift 控制台或服务API。

  • 游戏会话日志数据会在游戏会话完成后在 Amazon S3 中存储一段有限的时间。授权用户可以通过通过 Amazon GameLift 控制台中的链接下载日志数据或调用服务来访问日志数据API。

  • 指标和事件数据存储在亚马逊 GameLift 中,可以通过亚马逊 GameLift 控制台或通过调用该服务进行访问API。可以在实例集、实例、游戏会话放置、对战票证、游戏会话和玩家会话中检索数据。也可以通过 Amazon CloudWatch 和 Ev CloudWatch ents 访问数据。

  • 客户提供的数据存储在 Amazon GameLift 中。授权用户可以通过调用该服务来访问它API。潜在的敏感数据可能包括玩家数据、玩家会话和游戏会话数据(包括连接信息)、对战构建器数据等。

    注意

    如果您在请求IDs中提供了自定义玩家,则这些值应该是匿名的,UUIDs并且不包含任何可识别玩家的信息。

有关数据保护的更多信息,请参阅责任AWS 共担模式和AWS安全GDPR博客上的博客文章

静态加密

Amazon GameLift 特定数据的静态加密处理方式如下:

  • 游戏服务器构建和脚本存储在具有服务器端加密的 Amazon S3 存储桶中。

  • 客户提供的数据以加密格式存储 GameLift 在 Amazon 中。

传输中加密

与 Amazon GameLift APIs 的连接通过安全 (SSL) 连接建立,并使用AWS 签名版本 4 进行身份验证(通过 AWS CLI或连接时 AWS SDK,会自动处理签名)。使用用于建立连接的安全凭证的访问策略来管理身份验证。IAM

游戏客户端和游戏服务器之间的直接通信如下:

  • 对于托管在亚马逊 GameLift 资源上的自定义游戏服务器,通信不涉及亚马逊 GameLift 服务。客户须自行负责对此通信进行加密。您可以使用TLS启用队列让游戏客户端在连接时对游戏服务器进行身份验证,并对游戏客户端和游戏服务器之间的所有通信进行加密。

  • 对于启用了TLS证书生成的实时服务器,游戏客户端和使用实时客户端的实时服务器之间的流量在传输中会进行加密。SDKTCP使用 1.2 对流量进行加密,使用 TLS 1. DTLS 2 对UDP流量进行加密。

互联网络流量隐私保护

您可以安全地远程访问您的 Amazon GameLift 实例。对于使用 Linux 的实例,SSH为远程访问提供安全的通信渠道。对于运行 Windows 的实例,请使用远程桌面协议 (RDP) 客户端。使用 Amazon GameLift FleetiQ,使用 Systems Manager 会话 AWS 管理器和运行命令对您的实例的远程访问TLS使用 1.2 进行加密,创建连接的请求使用 Sigv4 进行签名。有关连接托管 Amazon GameLift 实例的帮助,请参阅远程连接到 Amazon GameLift 舰队实例