Amazon 的資料保護 GameLift - Amazon GameLift
靜態加密傳輸中加密網際網路流量隱私權

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon 的資料保護 GameLift

如果您使用 Amazon GameLift FleetIQ 作為 Amazon 的獨立功能EC2,請參閱 Amazon EC2使用者指南 中的 Amazon 中的安全EC2

AWS 共同責任模型適用於 Amazon 中的資料保護 GameLift。如本模型所述, AWS 負責保護執行所有 的全域基礎設施 AWS 雲端。您負責維護在此基礎設施上託管內容的控制權。您也同時負責所使用 AWS 服務 的安全組態和管理任務。如需資料隱私權的詳細資訊,請參閱資料隱私權。 FAQ如需歐洲資料保護的相關資訊,請參閱AWS 安全部落格 上的AWS 共同責任模型和GDPR部落格文章。

為了資料保護目的,我們建議您保護 AWS 帳戶 憑證,並使用 AWS IAM Identity Center 或 AWS Identity and Access Management () 設定個別使用者IAM。如此一來,每個使用者都只會獲得授與完成其任務所必須的許可。我們也建議您採用下列方式保護資料:

  • 對每個帳戶使用多重要素驗證 (MFA)。

  • 使用 SSL/TLS 與 AWS 資源通訊。我們需要 TLS 1.2 和 建議 TLS 1.3。

  • 使用 設定 API 和使用者活動日誌 AWS CloudTrail。如需使用 CloudTrail 線索擷取 AWS 活動的資訊,請參閱 AWS CloudTrail 使用者指南 中的使用 CloudTrail 線索

  • 使用 AWS 加密解決方案,以及 中的所有預設安全控制項 AWS 服務。

  • 使用進階的受管安全服務 (例如 Amazon Macie),協助探索和保護儲存在 Amazon S3 的敏感資料。

  • 如果您在 AWS 透過命令列介面或 FIPS 存取 時需要 140-3 個經過驗證的密碼編譯模組API,請使用 FIPS端點。如需可用FIPS端點的詳細資訊,請參閱聯邦資訊處理標準 (FIPS) 140-3

我們強烈建議您絕對不要將客戶的電子郵件地址等機密或敏感資訊,放在標籤或自由格式的文字欄位中,例如名稱欄位。這包括當您使用 Amazon GameLift 或其他 AWS 服務 主控台API AWS CLI、 或 時 AWS SDKs。您在標籤或自由格式文字欄位中輸入的任何資料都可能用於計費或診斷日誌。如果您將 URL提供給外部伺服器,強烈建議您在 中不要包含憑證資訊,URL以驗證您對該伺服器的請求。

Amazon GameLift特定資料處理方式如下:

  • 您上傳至 Amazon 的遊戲伺服器建置和指令碼 GameLift 會儲存在 Amazon S3 中。上傳這些資料後,客戶就無法直接存取這些資料。授權使用者可以取得上傳檔案的臨時存取權,但無法直接檢視或更新 Amazon S3 中的檔案。若要刪除指令碼和建置,請使用 Amazon GameLift 主控台或服務 API。

  • 遊戲工作階段日誌資料會在遊戲工作階段完成後,儲存在 Amazon S3 中一段有限的時間。授權使用者可以透過 Amazon GameLift 主控台中的連結下載日誌資料,或呼叫 服務 來存取日誌資料API。

  • 指標和事件資料儲存在 Amazon 中, GameLift 可透過 Amazon GameLift 主控台或呼叫 服務 來存取API。您可以在機群、執行個體、遊戲工作階段置放、配對票、遊戲工作階段和玩家工作階段上擷取資料。您也可以透過 Amazon CloudWatch 和 CloudWatch Events 存取資料。

  • 客戶提供的資料儲存在 Amazon 中 GameLift 。授權使用者可以呼叫 服務來存取它API。潛在的敏感資料可能包括玩家資料、玩家工作階段和遊戲工作階段資料 (包括連線資訊)、配對系統資料等。

    注意

    如果您在請求IDs中提供自訂播放器,則預期這些值會匿名,UUIDs且不包含可識別身分的播放器資訊。

如需資料保護的詳細資訊,請參閱安全部落格 上的AWS 共同責任模型和GDPRAWS 部落格文章。

靜態加密

Amazon GameLift特定資料的靜態加密處理方式如下:

  • 遊戲伺服器建置和指令碼存放在具有伺服器端加密的 Amazon S3 儲存貯體中。

  • 客戶提供的資料會以 GameLift 加密格式儲存在 Amazon 中。

傳輸中加密

與 Amazon GameLift APIs 的連線是透過安全 (SSL) 連線進行,並使用 AWS Signature 第 4 版進行驗證 (透過 AWS CLI或 連線時 AWS SDK,會自動處理簽署)。驗證是使用 IAM定義的存取政策來管理,用於進行連線的安全憑證。

遊戲客戶端與遊戲伺服器之間的直接通訊如下:

  • 對於託管在 Amazon GameLift 資源上的自訂遊戲伺服器,通訊不涉及 Amazon GameLift 服務。客戶須負責此通訊的加密。您可以使用TLS啟用 的機群,讓您的遊戲用戶端在連線時驗證遊戲伺服器,並加密遊戲用戶端與遊戲伺服器之間的所有通訊。

  • 對於啟用TLS憑證產生功能的即時伺服器,使用即時用戶端的遊戲用戶端與即時伺服器之間的流量SDK會在傳輸中加密。TCP 流量使用 TLS 1.2 加密,UDP流量使用 1.2 DTLS 加密。

網際網路流量隱私權

您可以安全地遠端存取 Amazon GameLift 執行個體。對於使用 Linux 的執行個體, SSH 提供安全的通訊管道以進行遠端存取。對於執行 Windows 的執行個體,請使用遠端桌面通訊協定 (RDP) 用戶端。使用 Amazon GameLift FleetIQ 時,使用 AWS Systems Manager Session Manager 和 Run Command 對執行個體的遠端存取會使用 TLS 1.2 加密,並使用 SigV4 簽署建立連線的請求。如需連線至受管 Amazon GameLift 執行個體的協助,請參閱 遠端連線至 Amazon GameLift 機群執行個體