本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
為 Amazon 設置 IAM 服務角色 GameLift
某些 Amazon GameLift 功能需要您將有限的存取權限擴展到您擁有的AWS資源。您可以透過建立 AWS Identity and Access Management (IAM) 角色來執行此操作。IAM 角色是您可以在帳戶中建立的另一種 IAM 身分,具有特定的許可。IAM 角色類似於 IAM 使用者,因為同樣是 AWS 身分,也有許可政策可決定該身分在 AWS 中可執行和不可執行的操作。但是,角色的目的是讓需要它的任何人可代入,而不是單獨地與某個人員關聯。此外,角色沒有與之關聯的標準長期憑證,例如密碼或存取金鑰。反之,當您擔任角色時,其會為您的角色工作階段提供臨時安全性憑證。
本主題說明如何建立可與 Amazon GameLift 受管叢集搭配使用的角色。如果您使用 Amazon GameLift FleetIQ 優化亞馬遜彈性運算雲端 (Amazon EC2) 執行個體上的遊戲託管服務,請參閱為 Amazon FleetIQ 設定您AWS 帳戶的遊戲。 GameLift
在下列程序中,建立具有自訂許可政策和允許 Amazon GameLift 擔任該角色的信任政策的角色。
建立自訂 IAM 角色
步驟 1:建立權限原則。
若要使用 JSON 政策編輯器來建立政策
登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/
的 IAM 主控台。 -
在左側的導覽窗格中,選擇 Policies (政策)。
如果這是您第一次選擇 Policies (政策),將會顯示 Welcome to Managed Policies (歡迎使用受管政策) 頁面。選擇 Get Started (開始使用)。
-
在頁面頂端,選擇 Create policy (建立政策)。
-
在政策編輯器中,選擇 JSON 選項。
-
輸入或貼上 JSON 政策文件。如需有關 IAM 政策語言的詳細資訊,請參閱 IAM JSON 政策參考。
-
解決政策驗證期間產生的任何安全性警告、錯誤或一般性警告,然後選擇 Next (下一步)。
注意
您可以隨時切換視覺化與 JSON 編輯器選項。不過,如果您進行變更或在視覺化編輯器中選擇下一步,IAM 就可能會調整您的政策結構,以便針對視覺化編輯器進行最佳化。如需詳細資訊,請參閱 IAM 使用者指南中的調整政策結構。
-
(選用) 在 AWS Management Console 中建立或編輯政策時,您可以產生可在 AWS CloudFormation 範本中使用的 JSON 或 YAML 政策範本。
若要這麼做,請在 [原則編輯器] 中選擇 [動作],然後選擇 [產生 CloudFormation範本]。若要進一步了解 AWS CloudFormation,請參閱《AWS CloudFormation 使用者指南》中的 AWS Identity and Access Management 資源類型參考。
-
將許可新增至政策後,請選擇下一步。
-
在檢視與建立頁面上,為您在建立的政策輸入政策名稱與描述 (選用)。檢視此政策中定義的許可,來查看您的政策所授予的許可。
-
(選用) 藉由連接標籤作為鍵值組,將中繼資料新增至政策。如需有關在 IAM 中使用標籤的詳細資訊,請參閱《IAM 使用者指南》中的標記 IAM 資源。
-
選擇 Create policy (建立政策) 儲存您的新政策。
第 2 步:創建一個 Amazon GameLift 可以承擔的角色。
在 IAM 主控台的導覽窗格中,選擇 Roles (角色),然後選擇 Create role (建立角色)。
在 [選取信任的實體] 頁面上,選擇 [自訂信任原則] 選項。此選項會開啟 [自訂信任原則編輯器]。
-
將預設 JSON 語法取代為下列項目,然後選擇 [下一步] 繼續。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "gamelift.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
-
在 [新增權限] 頁面上,找出並選取您在步驟 1 中建立的權限原則。選擇 Next (下一步) 繼續。
-
在 [名稱、檢閱和建立] 頁面上,輸入您要建立之角色的角色名稱和說明 (選擇性)。檢閱信任實體和新增權限。
-
選擇 [建立角色] 以儲存新角色。
權限原則語法
-
Amazon 承擔服務角色的許 GameLift 可
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "gamelift.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
-
存取預設未啟用的AWS區域的權限
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "gamelift.amazonaws.com", "gamelift.ap-east-1.amazonaws.com", "gamelift.me-south-1.amazonaws.com", "gamelift.af-south-1.amazonaws.com", "gamelift.eu-south-1.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }