本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 設定 的 IAM 服務角色 Amazon GameLift Servers
<a name="setting-up-role"></a>

某些Amazon GameLift Servers功能需要您限制存取您擁有的其他 AWS 資源。您可以建立 AWS Identity and Access Management (IAM) 角色來執行此操作。[IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是您可以在帳戶中建立的另一種 IAM 身分，具有特定的許可。IAM 角色類似於 IAM 使用者，因為它是具有許可政策的 AWS 身分，可決定身分可以和不可以執行的操作 AWS。但是，角色的目的是讓需要它的任何人可代入，而不是單獨地與某個人員關聯。此外，角色沒有與之關聯的標準長期憑證，例如密碼或存取金鑰。反之，當您擔任角色時，其會為您的角色工作階段提供臨時安全性憑證。

本主題說明如何建立可與Amazon GameLift Servers受管機群搭配使用的角色。如果您使用 Amazon GameLift Servers FleetIQ 來最佳化 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體上的遊戲託管，請參閱[為 設定 AWS 帳戶Amazon GameLift Servers FleetIQ](https://docs.aws.amazon.com/gameliftservers/latest/fleetiqguide/gsg-iam-permissions.html)。

在下列程序中，建立具有自訂許可政策的角色，以及允許 Amazon GameLift Servers擔任該角色的信任政策。

## 為Amazon GameLift Servers受管 EC2 機群建立 IAM 服務角色
<a name="setting-up-role-custom"></a>

**步驟 1：建立許可政策。**

使用本頁面上的指示和範例，為您正在使用的Amazon GameLift Servers機群類型建立自訂許可政策。

**若要使用 JSON 政策編輯器來建立政策**

1. 登入 AWS 管理主控台 ，並在 https：//[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。

1. 在左側的導覽窗格中，選擇 **Policies (政策)**。

   如果這是您第一次選擇 **Policies (政策)**，將會顯示 **Welcome to Managed Policies (歡迎使用受管政策)** 頁面。選擇 **Get Started (開始使用)**。

1. 在頁面頂端，選擇 **Create policy (建立政策)**。

1. 在**政策編輯器**中，選擇 **JSON** 選項。

1. 輸入或貼上 JSON 政策文件。如需有關 IAM 政策語言的詳細資訊，請參閱 [IAM JSON 政策參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。

1. 解決[政策驗證](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html)期間產生的任何安全性警告、錯誤或一般性警告，然後選擇 **Next** (下一步)。
**注意**  
您可以隨時切換**視覺化**與 **JSON** 編輯器選項。不過，如果您進行變更或在**視覺化**編輯器中選擇**下一步**，IAM 就可能會調整您的政策結構，以便針對視覺化編輯器進行最佳化。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[調整政策結構](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure)。

1. （選用） 當您在 中建立或編輯政策時 AWS 管理主控台，您可以產生可在 範本中使用的 JSON 或 YAML 政策 CloudFormation 範本。

   若要執行此動作，請在**政策編輯器**中選擇**動作**，然後選擇**產生 CloudFormation 範本**。若要進一步了解 CloudFormation，請參閱*AWS CloudFormation 《 使用者指南*》中的[AWS Identity and Access Management 資源類型參考](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html)。

1. 將許可新增至政策後，請選擇**下一步**。

1. 在**檢視與建立**頁面上，為您在建立的政策輸入**政策名稱**與**描述** (選用)。檢視**此政策中定義的許可**，來查看您的政策所授予的許可。

1. (選用) 藉由連接標籤作為鍵值組，將中繼資料新增至政策。如需在 IAM 中使用標籤的詳細資訊，請參閱《*IAM 使用者指南*》中的[AWS Identity and Access Management 資源的標籤](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。

1. 選擇 **Create policy** (建立政策) 儲存您的新政策。

**步驟 2：建立Amazon GameLift Servers可擔任的角色。**

**若要建立一個 IAM 角色**

1. 在 IAM 主控台的導覽窗格中，選擇**角色**，然後選擇**建立角色**。

1. 在**選取信任實體**頁面上，選擇**自訂信任政策**選項。此選擇會開啟**自訂信任政策**編輯器。

1. 將預設 JSON 語法取代為以下內容，然後選擇**下一步**以繼續。

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": "gamelift.amazonaws.com"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   ```

------

1. 在**新增許可**頁面上，尋找並選取您在步驟 1 中建立的許可政策。選擇 **Next** (下一步) 繼續。

1. 在**名稱、檢閱和建立**頁面上，輸入您要建立之角色的角色**名稱**和**描述** （選用）。檢閱**信任實體**和**新增的許可**。

1. 選擇**建立角色**以儲存您的新角色。

## 為Amazon GameLift Servers受管容器建立 IAM 角色
<a name="setting-up-role-containers"></a>

如果您使用的是Amazon GameLift Servers受管容器，則需要建立 IAM 服務角色，以便與容器機群搭配使用。此角色會授予Amazon GameLift Servers管理容器機群資源所需的有限許可，並代表您採取動作。

**為容器機群建立 IAM 角色**

1. 登入 AWS 管理主控台 ，並在 https：//[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。

1. 在 IAM 主控台的導覽窗格中，選擇**角色**，然後選擇**建立角色**。

1. 在**選取信任的實體**頁面上，選擇**AWS 服務**，然後選取**使用案例**「GameLift」。選擇**下一步**

1. 在**新增許可**上，選擇 受管政策 `GameLiftContainerFleetPolicy`。選擇**下一步**。如需此政策的詳細資訊[AWS 的 受管政策 Amazon GameLift Servers](security-iam-awsmanpol.md)，請參閱 。

1. 在**名稱、檢閱和建立**上，輸入角色名稱，然後選擇**建立角色**以儲存新角色。

## 許可政策語法
<a name="setting-up-role-syntax"></a>
+ **Amazon GameLift Servers擔任服務角色的許可**

------
#### [ JSON ]

****  

  ```
  {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
      {
        "Effect": "Allow",
        "Principal": {
          "Service": "gamelift.amazonaws.com"
        },
        "Action": "sts:AssumeRole"
      }
    ]
  }
  ```

------
+ **存取預設未啟用之 AWS 區域的許可**

------
#### [ JSON ]

****  

  ```
  {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
      {
        "Effect": "Allow",
        "Principal": {
          "Service": [
            "gamelift.amazonaws.com",
            "gamelift.ap-east-1.amazonaws.com",
            "gamelift.me-south-1.amazonaws.com",
            "gamelift.af-south-1.amazonaws.com",
            "gamelift.eu-south-1.amazonaws.com" 
          ]
        },
        "Action": "sts:AssumeRole"
      }
    ]
  }
  ```

------