本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定 AWS 使用者帳戶
**提示**
使用這些主題來取得這些任務的協助:
取得 AWS 帳戶 可與 搭配使用的新 Amazon GameLift Servers。
建立具有使用 Amazon GameLift Servers 資源之許可的使用者或群組。
設定安全登入資料 (您需要這些登入資料,才能使用 Unreal 和 Unity 的 AWS CLI 工具和Amazon GameLift Servers外掛程式)
如同所有 AWS 服務,您需要 AWS 帳戶 才能使用Amazon GameLift Servers服務和工具。 AWS 帳戶 提供兩個主要函數:(1) 提供您使用 帳戶建立之所有 AWS 資源的容器;以及 (2) 可讓您管理 AWS 資源的安全性,包括設定使用者身分驗證和控制使用者存取許可。建立 無需付費 AWS 帳戶。
**探索Amazon GameLift Servers有或沒有 AWS 帳戶**
**您不需要** AWS 帳戶即可:
+ 探索在 [AWS for Games](https://aws.amazon.com/gametech/) 建置、執行和成長遊戲體驗 AWS 的工具。閱讀[部落格](https://aws.amazon.com/blogs/gametech/)並瀏覽[適用於遊戲的解決方案程式庫](https://aws.amazon.com/solutions/games)。
+ 在[產品概觀、FAQs和資源](https://aws.amazon.com/gamelift/)Amazon GameLift Servers中進一步了解 。**要求 AWS** 尋找您產品問題的答案。(試試這個:「尋找低成本選項來託管我的多玩家遊戲」。)
+ 如需更深入的探索,請在[技術文件中](https://docs.aws.amazon.com/gamelift/)了解是什麼讓 Amazon GameLift Servers 發揮作用,包括託管和配對的開發人員指南,以及 服務 API 參考指南。
+ 查看有關[Amazon GameLift Servers定價](https://aws.amazon.com/gamelift/servers/pricing/)和成本最佳化技術的資訊。請嘗試 [定價計算器](https://calculator.aws/#/createCalculator/GameLift),查看如何根據尖峰並行玩家用量 (CCU) 計算託管成本。
+ 取得下載並查看 Amazon GameLift Servers SDKs、外掛程式和工具組的程式碼儲存庫。請參閱[Amazon GameLift Servers入門](https://aws.amazon.com/gamelift/servers/getting-started/)。(您需要 AWS 帳戶 才能使用它們。)
您需要 **** AWS 帳戶才能:
+ 使用 Unreal 和 Unity 的Amazon GameLift Servers外掛程式遵循上線工作流程,或使用遊戲伺服器包裝函式。
+ 使用 建立和管理 AWS 資源 AWS 管理主控台。
+ 使用 建立和管理 AWS 資源 AWS Command Line Interface。
+ 將 Amazon Q 與 Amazon GameLift Servers技術文件中的 搭配使用,以尋找答案、指引和建議。
**Topics**
+ [註冊 AWS 帳戶](#sign-up-for-aws)
+ [建立具有管理存取權的使用者](#create-an-admin)
+ [設定 的使用者許可 Amazon GameLift Servers](#getting-started-create-iam-user)
+ [為使用者設定程式設計存取](#getting-started-iam-user-access-keys)
+ [為您的遊戲設定程式設計存取](#getting-started-iam-player-user)
+ [的 IAM 許可範例 Amazon GameLift Servers](gamelift-iam-policy-examples.md)
+ [設定 的 IAM 服務角色 Amazon GameLift Servers](setting-up-role.md)
## 註冊 AWS 帳戶
如果您沒有 AWS 帳戶,請完成下列步驟來建立一個。
**註冊 AWS 帳戶**
1. 開啟 [https://portal.aws.amazon.com/billing/signup](https://portal.aws.amazon.com/billing/signup)。
1. 請遵循線上指示進行。
部分註冊程序需接收來電或簡訊,並在電話鍵盤輸入驗證碼。
當您註冊 時 AWS 帳戶,*AWS 帳戶根使用者*會建立 。根使用者有權存取該帳戶中的所有 AWS 服務 和資源。作為安全最佳實務,請將管理存取權指派給使用者,並且僅使用根使用者來執行[需要根使用者存取權的任務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
AWS 會在註冊程序完成後傳送確認電子郵件給您。您可以隨時登錄 [https://aws.amazon.com/](https://aws.amazon.com/) 並選擇**我的帳戶**,以檢視您目前的帳戶活動並管理帳戶。
## 建立具有管理存取權的使用者
註冊 後 AWS 帳戶,請保護 AWS 帳戶根使用者、啟用 AWS IAM Identity Center和建立管理使用者,以免將根使用者用於日常任務。
**保護您的 AWS 帳戶根使用者**
1. 選擇**根使用者**並輸入 AWS 帳戶 您的電子郵件地址,以帳戶擁有者[AWS 管理主控台](https://console.aws.amazon.com/)身分登入 。在下一頁中,輸入您的密碼。
如需使用根使用者登入的說明,請參閱 *AWS 登入 使用者指南*中的[以根使用者身分登入](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)。
1. 若要在您的根使用者帳戶上啟用多重要素驗證 (MFA)。
如需說明,請參閱《*IAM 使用者指南*》中的[為您的 AWS 帳戶 根使用者 (主控台) 啟用虛擬 MFA 裝置](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)。
**建立具有管理存取權的使用者**
1. 啟用 IAM Identity Center。
如需指示,請參閱《AWS IAM Identity Center 使用者指南》**中的[啟用 AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)。
1. 在 IAM Identity Center 中,將管理存取權授予使用者。
如需使用 IAM Identity Center 目錄 做為身分來源的教學課程,請參閱*AWS IAM Identity Center 《 使用者指南*》中的[使用預設值設定使用者存取 IAM Identity Center 目錄](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html)。
**以具有管理存取權的使用者身分登入**
+ 若要使用您的 IAM Identity Center 使用者簽署,請使用建立 IAM Identity Center 使用者時傳送至您電子郵件地址的簽署 URL。
如需使用 IAM Identity Center 使用者登入的說明,請參閱*AWS 登入 《 使用者指南*》中的[登入 AWS 存取入口網站](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)。
**指派存取權給其他使用者**
1. 在 IAM Identity Center 中,建立一個許可集來遵循套用最低權限的最佳實務。
如需指示,請參閱《AWS IAM Identity Center 使用者指南》**中的[建立許可集](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)。
1. 將使用者指派至群組,然後對該群組指派單一登入存取權。
如需指示,請參閱《AWS IAM Identity Center 使用者指南》**中的[新增群組](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)。
## 設定 的使用者許可 Amazon GameLift Servers
視需要為您的 Amazon GameLift Servers 資源建立其他使用者或將存取許可擴展至現有使用者。最佳實務 ( [IAM 中的安全最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)) 為所有使用者套用最低權限許可。如需許可語法的指引,請參閱 [的 IAM 許可範例 Amazon GameLift Servers](gamelift-iam-policy-examples.md)。
請依照您管理 AWS 帳戶中使用者的方式,使用下列指示來設定使用者許可。
若要提供存取權,請新增權限至您的使用者、群組或角色:
+ 中的使用者和群組 AWS IAM Identity Center:
建立權限合集。請按照《*AWS IAM Identity Center 使用者指南*》中的[建立權限合集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)說明進行操作。
+ 透過身分提供者在 IAM 中管理的使用者:
建立聯合身分的角色。遵循《*IAM 使用者指南*》的[為第三方身分提供者 (聯合) 建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)中的指示。
+ IAM 使用者:
+ 建立您的使用者可擔任的角色。請按照《*IAM 使用者指南*》的[為 IAM 使用者建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)中的指示。
+ (不建議) 將政策直接附加至使用者,或將使用者新增至使用者群組。請遵循《*IAM 使用者指南*》的[新增許可到使用者 (主控台)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) 中的指示。
使用 IAM 使用者時,最佳實務是一律將許可連接到角色或使用者群組,而非個別使用者。
## 為使用者設定程式設計存取
如果使用者想要與 AWS 外部互動,則需要程式設計存取權 AWS 管理主控台。授予程式設計存取權的方式取決於正在存取的使用者類型 AWS。
若要授予使用者程式設計存取權,請選擇下列其中一個選項。
****
| 哪個使用者需要程式設計存取權? | 到 | 根據 |
| --- | --- | --- |
| IAM | (建議) 使用主控台登入資料做為臨時登入資料,以簽署對 AWS CLI、 AWS SDKs程式設計請求。 AWS APIs | 請依照您要使用的介面所提供的指示操作。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/gameliftservers/latest/developerguide/setting-up-aws-login.html) |
| 人力資源身分 (IAM Identity Center 中管理的使用者) | 使用暫時登入資料簽署對 AWS CLI、 AWS SDKs程式設計請求。 AWS APIs | 請依照您要使用的介面所提供的指示操作。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/gameliftservers/latest/developerguide/setting-up-aws-login.html) |
| IAM | 使用暫時登入資料簽署對 AWS CLI、 AWS SDKs程式設計請求。 AWS APIs | 遵循《IAM 使用者指南》中[將臨時登入資料與 AWS 資源](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html)搭配使用的指示。 |
| IAM | (不建議使用)使用長期憑證簽署對 AWS CLI、 AWS SDKs程式設計請求。 AWS APIs | 請依照您要使用的介面所提供的指示操作。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/gameliftservers/latest/developerguide/setting-up-aws-login.html) |
如果您使用存取金鑰,請參閱[管理 AWS 存取金鑰的最佳實務](https://docs.aws.amazon.com/accounts/latest/reference/credentials-access-keys-best-practices.html)。
## 為您的遊戲設定程式設計存取
大多數遊戲使用後端服務來Amazon GameLift Servers使用 AWS SDKs與 通訊。使用後端服務 (適用於遊戲用戶端) 來請求遊戲工作階段、將玩家放入遊戲和其他任務。這些服務需要程式設計存取和安全登入資料,才能驗證對 服務 API 的呼叫Amazon GameLift Servers。
對於 Amazon GameLift Servers,您可以透過在 AWS Identity and Access Management (IAM) 中建立玩家使用者來管理此存取權。透過下列其中一個選項管理玩家使用者許可:
+ 建立具有玩家使用者許可的 IAM 角色,並允許玩家使用者在需要時擔任該角色。後端服務必須包含程式碼,以在向 提出請求之前擔任此角色Amazon GameLift Servers。根據安全最佳實務,角色提供有限的暫時存取。對於在 AWS 資源 ([IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)) 或 AWS ([IAM Roles Anywhere](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_non-aws.html)) 外部執行的工作負載,您可以使用 角色。
+ 建立具有玩家使用者許可的 IAM 使用者群組,並將您的玩家使用者新增至群組。此選項提供玩家使用者長期登入資料,後端服務在與 通訊時必須存放和使用Amazon GameLift Servers。
如需許可政策語法,請參閱 [玩家使用者許可範例](gamelift-iam-policy-examples.md#iam-policy-admin-game-dev-example)。
如需管理工作負載使用許可的詳細資訊,請參閱 [IAM 身分:IAM 中的臨時憑證](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_temp-creds)。
# 的 IAM 許可範例 Amazon GameLift Servers
使用這些範例中的語法,為需要存取 Amazon GameLift Servers 資源的使用者設定 AWS Identity and Access Management (IAM) 許可。如需管理使用者許可的詳細資訊,請參閱 [設定 的使用者許可 Amazon GameLift Servers](setting-up-aws-login.md#getting-started-create-iam-user)。管理 IAM Identity Center 外部使用者的許可時,最佳實務一律將許可連接至 IAM 角色或使用者群組,而非個別使用者。
如果您使用Amazon GameLift Servers FleetIQ做為獨立解決方案,請參閱[為 設定 AWS 帳戶Amazon GameLift Servers FleetIQ](https://docs.aws.amazon.com/gameliftservers/latest/fleetiqguide/gsg-iam-permissions.html)。
## 管理許可範例
這些範例提供託管管理員或開發人員目標存取權,以管理Amazon GameLift Servers遊戲託管資源。
**Example Amazon GameLift Servers 完整存取資源許可的語法**
下列範例會將完整存取權延伸到所有Amazon GameLift Servers資源。
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "gamelift:*",
"Resource": "*"
}
}
```
**Example 資源Amazon GameLift Servers許可的語法,支援預設未啟用的區域**
下列範例會將存取權延伸至預設未啟用的所有Amazon GameLift Servers資源和 AWS 區域。如需未預設啟用的區域以及如何啟用它們的詳細資訊,請參閱《》中的[管理 AWS 區域](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html)*AWS 一般參考*。
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"ec2:DescribeRegions",
"gamelift:*"
],
"Resource": "*"
}
}
```
**Example 資源Amazon GameLift Servers在 Amazon ECR 中存取容器映像的語法**
下列範例會延伸存取Amazon GameLift Servers使用者在使用受管容器機群時所需的 Amazon Elastic Container Registry (Amazon ECR) 動作。
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"ecr:DescribeImages",
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
],
"Resource": "*"
}
}
```
**Example Amazon GameLift Servers 資源和`PassRole`許可的語法**
下列範例會延伸對所有 Amazon GameLift Servers 資源的存取,並允許使用者將 IAM 服務角色傳遞給 Amazon GameLift Servers。服務角色可讓您Amazon GameLift Servers有限度地代表您存取其他資源和服務,如中所述[設定 的 IAM 服務角色 Amazon GameLift Servers](setting-up-role.md)。例如,回應`CreateBuild`請求時, Amazon GameLift Servers需要存取 Amazon S3 儲存貯體中的建置檔案。如需 `PassRole`動作的詳細資訊,請參閱《[IAM 使用者指南》中的 IAM:將 IAM 角色傳遞至特定 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_iam-passrole-service.html)。 **
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "gamelift:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "gamelift.amazonaws.com"
}
}
}
]
}
```
## 玩家使用者許可範例
這些範例允許後端服務或其他實體對 API 進行 Amazon GameLift Servers API 呼叫。它們涵蓋了管理遊戲工作階段、玩家工作階段和配對的常見案例。如需詳細資訊,請參閱[為您的遊戲設定程式設計存取](setting-up-aws-login.md#getting-started-iam-player-user)。
**Example 遊戲工作階段置放許可的語法**
下列範例會將存取權延伸到使用遊戲工作階段置放佇列來建立遊戲工作階段和管理玩家工作階段的 Amazon GameLift Servers APIs。
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "PlayerPermissionsForGameSessionPlacements",
"Effect": "Allow",
"Action": [
"gamelift:StartGameSessionPlacement",
"gamelift:DescribeGameSessionPlacement",
"gamelift:StopGameSessionPlacement",
"gamelift:CreatePlayerSession",
"gamelift:CreatePlayerSessions",
"gamelift:DescribeGameSessions"
],
"Resource": "*"
}
}
```
**Example 配對許可的語法**
下列範例會將存取權延伸到管理FlexMatch配對活動的 Amazon GameLift Servers APIs。 FlexMatch會比對新遊戲工作階段或現有遊戲工作階段的玩家,並為 上託管的遊戲啟動遊戲工作階段放置Amazon GameLift Servers。如需 的詳細資訊FlexMatch,請參閱[什麼是Amazon GameLift Servers FlexMatch?](https://docs.aws.amazon.com/gameliftservers/latest/flexmatchguide/match-intro.html)
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "PlayerPermissionsForGameSessionMatchmaking",
"Effect": "Allow",
"Action": [
"gamelift:StartMatchmaking",
"gamelift:DescribeMatchmaking",
"gamelift:StopMatchmaking",
"gamelift:AcceptMatch",
"gamelift:StartMatchBackfill",
"gamelift:DescribeGameSessions"
],
"Resource": "*"
}
}
```
**Example 手動遊戲工作階段置放許可的語法**
下列範例延伸對 API 的存取,這些 Amazon GameLift Servers API 會在指定的機群上手動建立遊戲工作階段和玩家工作階段。 APIs 此案例支援不使用置放佇列的遊戲,例如透過從可用遊戲工作階段 (「list-and-pick」方法) 清單中選擇讓玩家加入的遊戲。
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "PlayerPermissionsForManualGameSessions",
"Effect": "Allow",
"Action": [
"gamelift:CreateGameSession",
"gamelift:DescribeGameSessions",
"gamelift:SearchGameSessions",
"gamelift:CreatePlayerSession",
"gamelift:CreatePlayerSessions",
"gamelift:DescribePlayerSessions"
],
"Resource": "*"
}
}
```
# 設定 的 IAM 服務角色 Amazon GameLift Servers
某些Amazon GameLift Servers功能需要您限制存取您擁有的其他 AWS 資源。您可以建立 AWS Identity and Access Management (IAM) 角色來執行此操作。[IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是您可以在帳戶中建立的另一種 IAM 身分,具有特定的許可。IAM 角色類似於 IAM 使用者,因為它是具有許可政策的 AWS 身分,可決定身分可以和不可以執行的操作 AWS。但是,角色的目的是讓需要它的任何人可代入,而不是單獨地與某個人員關聯。此外,角色沒有與之關聯的標準長期憑證,例如密碼或存取金鑰。反之,當您擔任角色時,其會為您的角色工作階段提供臨時安全性憑證。
本主題說明如何建立可與Amazon GameLift Servers受管機群搭配使用的角色。如果您使用 Amazon GameLift Servers FleetIQ 來最佳化 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體上的遊戲託管,請參閱[為 設定 AWS 帳戶Amazon GameLift Servers FleetIQ](https://docs.aws.amazon.com/gameliftservers/latest/fleetiqguide/gsg-iam-permissions.html)。
在下列程序中,建立具有自訂許可政策的角色,以及允許 Amazon GameLift Servers擔任該角色的信任政策。
## 為Amazon GameLift Servers受管 EC2 機群建立 IAM 服務角色
**步驟 1:建立許可政策。**
使用本頁面上的指示和範例,為您正在使用的Amazon GameLift Servers機群類型建立自訂許可政策。
**若要使用 JSON 政策編輯器來建立政策**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在左側的導覽窗格中,選擇 **Policies (政策)**。
如果這是您第一次選擇 **Policies (政策)**,將會顯示 **Welcome to Managed Policies (歡迎使用受管政策)** 頁面。選擇 **Get Started (開始使用)**。
1. 在頁面頂端,選擇 **Create policy (建立政策)**。
1. 在**政策編輯器**中,選擇 **JSON** 選項。
1. 輸入或貼上 JSON 政策文件。如需有關 IAM 政策語言的詳細資訊,請參閱 [IAM JSON 政策參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。
1. 解決[政策驗證](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html)期間產生的任何安全性警告、錯誤或一般性警告,然後選擇 **Next** (下一步)。
**注意**
您可以隨時切換**視覺化**與 **JSON** 編輯器選項。不過,如果您進行變更或在**視覺化**編輯器中選擇**下一步**,IAM 就可能會調整您的政策結構,以便針對視覺化編輯器進行最佳化。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[調整政策結構](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure)。
1. (選用) 當您在 中建立或編輯政策時 AWS 管理主控台,您可以產生可在 範本中使用的 JSON 或 YAML 政策 CloudFormation 範本。
若要執行此動作,請在**政策編輯器**中選擇**動作**,然後選擇**產生 CloudFormation 範本**。若要進一步了解 CloudFormation,請參閱*AWS CloudFormation 《 使用者指南*》中的[AWS Identity and Access Management 資源類型參考](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html)。
1. 將許可新增至政策後,請選擇**下一步**。
1. 在**檢視與建立**頁面上,為您在建立的政策輸入**政策名稱**與**描述** (選用)。檢視**此政策中定義的許可**,來查看您的政策所授予的許可。
1. (選用) 藉由連接標籤作為鍵值組,將中繼資料新增至政策。如需在 IAM 中使用標籤的詳細資訊,請參閱《*IAM 使用者指南*》中的[AWS Identity and Access Management 資源的標籤](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。
1. 選擇 **Create policy** (建立政策) 儲存您的新政策。
**步驟 2:建立Amazon GameLift Servers可擔任的角色。**
**若要建立一個 IAM 角色**
1. 在 IAM 主控台的導覽窗格中,選擇**角色**,然後選擇**建立角色**。
1. 在**選取信任實體**頁面上,選擇**自訂信任政策**選項。此選擇會開啟**自訂信任政策**編輯器。
1. 將預設 JSON 語法取代為以下內容,然後選擇**下一步**以繼續。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "gamelift.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. 在**新增許可**頁面上,尋找並選取您在步驟 1 中建立的許可政策。選擇 **Next** (下一步) 繼續。
1. 在**名稱、檢閱和建立**頁面上,輸入您要建立之角色的角色**名稱**和**描述** (選用)。檢閱**信任實體**和**新增的許可**。
1. 選擇**建立角色**以儲存您的新角色。
## 為Amazon GameLift Servers受管容器建立 IAM 角色
如果您使用的是Amazon GameLift Servers受管容器,則需要建立 IAM 服務角色,以便與容器機群搭配使用。此角色會授予Amazon GameLift Servers管理容器機群資源所需的有限許可,並代表您採取動作。
**為容器機群建立 IAM 角色**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在 IAM 主控台的導覽窗格中,選擇**角色**,然後選擇**建立角色**。
1. 在**選取信任的實體**頁面上,選擇**AWS 服務**,然後選取**使用案例**「GameLift」。選擇**下一步**
1. 在**新增許可**上,選擇 受管政策 `GameLiftContainerFleetPolicy`。選擇**下一步**。如需此政策的詳細資訊[AWS 的 受管政策 Amazon GameLift Servers](security-iam-awsmanpol.md),請參閱 。
1. 在**名稱、檢閱和建立**上,輸入角色名稱,然後選擇**建立角色**以儲存新角色。
## 許可政策語法
+ **Amazon GameLift Servers擔任服務角色的許可**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "gamelift.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
+ **存取預設未啟用之 AWS 區域的許可**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"gamelift.amazonaws.com",
"gamelift.ap-east-1.amazonaws.com",
"gamelift.me-south-1.amazonaws.com",
"gamelift.af-south-1.amazonaws.com",
"gamelift.eu-south-1.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------