기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Amazon GameLift Servers에 대한 ID 기반 정책 예시
기본적으로 사용자 및 역할에는 Amazon GameLift Servers 리소스를 생성하거나 수정할 수 있는 권한이 없습니다. 사용자에게 사용자가 필요한 리소스에서 작업을 수행할 권한을 부여하려면 IAM 관리자가 IAM 정책을 생성하면 됩니다.
이러한 예제 JSON 정책 문서를 사용하여 IAM ID 기반 정책을 생성하는 방법을 알아보려면 *IAM 사용 설명서*의 [IAM 정책 생성(콘솔)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)을 참조하세요.
각 리소스 유형에 대한 ARN 형식을 포함하여 Amazon GameLift Servers에서 정의한 작업 및 리소스 유형에 대한 자세한 내용은 *서비스 권한 부여 참조*에서 [Amazon GameLift Servers에 대한 작업, 리소스 및 조건 키](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazongamelift.html)를 참조하세요.
**Topics**
+ [정책 모범 사례](#security_iam_service-with-iam-policy-best-practices)
+ [Amazon GameLift Servers 콘솔 사용](#security_iam_id-based-policy-examples-console)
+ [사용자가 자신의 고유한 권한을 볼 수 있도록 허용](#security_iam_id-based-policy-examples-view-own-permissions)
+ [게임 세션을 위한 플레이어 액세스 허용](#security_iam_id-based-policy-examples-player-access)
+ [하나의 Amazon GameLift Servers 대기열에 대한 액세스 허용](#security_iam_id-based-policy-examples-access-one-bucket)
+ [태그를 기준으로 Amazon GameLift Servers 플릿 보기](#security_iam_id-based-policy-examples-view-fleet-tags)
+ [Amazon S3의 게임 빌드 파일에 액세스](#security_iam_id-based-policy-examples-access-storage-loc)
## 정책 모범 사례
자격 증명 기반 정책에 따라 계정에서 사용자가 Amazon GameLift Servers 리소스를 생성, 액세스 또는 삭제할 수 있는지 여부가 결정됩니다. 이 작업으로 인해 AWS 계정에 비용이 발생할 수 있습니다. ID 기반 정책을 생성하거나 편집할 때는 다음 지침과 권장 사항을 따르세요.
+ ** AWS 관리형 정책을 시작하고 최소 권한으로 전환 -** 사용자 및 워크로드에 권한 부여를 시작하려면 많은 일반적인 사용 사례에 대한 권한을 부여하는 *AWS 관리형 정책을* 사용합니다. 에서 사용할 수 있습니다 AWS 계정. 사용 사례에 맞는 AWS 고객 관리형 정책을 정의하여 권한을 추가로 줄이는 것이 좋습니다. 자세한 내용은 *IAM 사용 설명서*의 [AWS 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) 또는 [AWS 직무에 대한 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)을 참조하세요.
+ **최소 권한 적용** – IAM 정책을 사용하여 권한을 설정하는 경우, 작업을 수행하는 데 필요한 권한만 부여합니다. 이렇게 하려면 *최소 권한*으로 알려진 특정 조건에서 특정 리소스에 대해 수행할 수 있는 작업을 정의합니다. IAM을 사용하여 권한을 적용하는 방법에 대한 자세한 정보는 *IAM 사용 설명서*에 있는 [IAM의 정책 및 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)을 참조하세요.
+ **IAM 정책의 조건을 사용하여 액세스 추가 제한** – 정책에 조건을 추가하여 작업 및 리소스에 대한 액세스를 제한할 수 있습니다. 예를 들어, SSL을 사용하여 모든 요청을 전송해야 한다고 지정하는 정책 조건을 작성할 수 있습니다. AWS 서비스와 같은 특정를 통해 사용되는 경우 조건을 사용하여 서비스 작업에 대한 액세스 권한을 부여할 수도 있습니다 CloudFormation. 자세한 내용은 *IAM 사용 설명서*의 [IAM JSON 정책 요소: 조건](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)을 참조하세요.
+ **IAM Access Analyzer를 통해 IAM 정책을 확인하여 안전하고 기능적인 권한 보장** - IAM Access Analyzer에서는 IAM 정책 언어(JSON)와 모범 사례가 정책에서 준수되도록 새로운 및 기존 정책을 확인합니다. IAM Access Analyzer는 100개 이상의 정책 확인 항목과 실행 가능한 추천을 제공하여 안전하고 기능적인 정책을 작성하도록 돕습니다. 자세한 내용은 *IAM 사용 설명서*의 [IAM Access Analyzer에서 정책 검증](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)을 참조하세요.
+ **다중 인증(MFA) 필요 -**에서 IAM 사용자 또는 루트 사용자가 필요한 시나리오가 있는 경우 추가 보안을 위해 MFA를 AWS 계정켭니다. API 작업을 직접적으로 호출할 때 MFA가 필요하면 정책에 MFA 조건을 추가합니다. 자세한 내용은 *IAM 사용 설명서*의 [MFA를 통한 보안 API 액세스](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)를 참조하세요.
IAM의 모범 사례에 대한 자세한 내용은 *IAM 사용 설명서*의 [IAM의 보안 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)를 참조하세요.
## Amazon GameLift Servers 콘솔 사용
Amazon GameLift Servers 콘솔에 액세스하려면 최소 권한 세트가 있어야 합니다. 이러한 권한은의 Amazon GameLift Servers 리소스에 대한 세부 정보를 나열하고 볼 수 있도록 허용해야 합니다 AWS 계정. 최소 필수 권한보다 더 제한적인 ID 기반 정책을 생성하는 경우, 콘솔이 해당 정책에 연결된 엔티티(사용자 또는 역할)에 대해 의도대로 작동하지 않습니다.
이러한 엔터티가 Amazon GameLift Servers 콘솔을 계속 사용할 수 있도록 하려면 다음 예제 및 [관리 권한 예제](gamelift-iam-policy-examples.md#iam-policy-simple-example)의 구문을 사용하여 사용자 및 그룹에 권한을 추가합니다. 자세한 내용은 [Amazon GameLift Servers의 사용자 권한 설정](setting-up-aws-login.md#getting-started-create-iam-user) 단원을 참조하십시오.
AWS CLI 또는 AWS API 작업을 Amazon GameLift Servers 통해 로 작업하는 사용자는 최소 콘솔 권한이 필요하지 않습니다. 대신 사용자가 수행해야 하는 작업에만 액세스를 제한할 수 있습니다. 예를 들어 게임 클라이언트를 대신하여 행동하는 플레이어 사용자는 게임 세션을 요청하고 플레이어를 게임에 참여시키는 등의 작업을 수행하기 위한 액세스 권한이 필요합니다.
Amazon GameLift Servers 콘솔 기능을 사용하는 데 필요한 권한에 대한 자세한 내용은 [관리 권한 예제](gamelift-iam-policy-examples.md#iam-policy-simple-example)의 관리자에 대한 권한 구문을 참조하세요.
## 사용자가 자신의 고유한 권한을 볼 수 있도록 허용
이 예제는 IAM 사용자가 자신의 사용자 ID에 연결된 인라인 및 관리형 정책을 볼 수 있도록 허용하는 정책을 생성하는 방법을 보여줍니다. 이 정책에는 콘솔에서 또는 AWS CLI 또는 AWS API를 사용하여 프로그래밍 방식으로이 작업을 완료할 수 있는 권한이 포함됩니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## 게임 세션을 위한 플레이어 액세스 허용
플레이어를 게임 세션에 참여시키려면 게임 클라이언트와 백엔드 서비스에 권한이 필요합니다. 이러한 시나리오의 정책 예는 [플레이어 사용자 권한 예제](gamelift-iam-policy-examples.md#iam-policy-admin-game-dev-example) 섹션을 참조하세요.
## 하나의 Amazon GameLift Servers 대기열에 대한 액세스 허용
다음 예제는 사용자에게 특정 Amazon GameLift Servers 대기열에 대한 액세스 권한을 제공합니다.
이 정책은 사용자에게 다음 작업을 통해 대기열 대상을 추가, 업데이트 및 삭제할 권한을 부여합니다. `gamelift:UpdateGameSessionQueue`, `gamelift:DeleteGameSessionQueue`, `gamelift:DescribeGameSessionQueues`. 표시된 것처럼 이 정책은 `Resource` 요소를 사용하여 단일 대기열 `gamesessionqueue/examplequeue123`로 액세스를 제한합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ViewSpecificQueueInfo",
"Effect":"Allow",
"Action":[
"gamelift:DescribeGameSessionQueues"
],
"Resource":"arn:aws:gamelift:us-east-1:555555555555:gamesessionqueue/examplequeue123"
},
{
"Sid":"ManageSpecificQueue",
"Effect":"Allow",
"Action":[
"gamelift:UpdateGameSessionQueue",
"gamelift:DeleteGameSessionQueue"
],
"Resource":"arn:aws:gamelift:us-east-1:111122223333:gamesessionqueue/examplequeue123"
}
]
}
```
------
## 태그를 기준으로 Amazon GameLift Servers 플릿 보기
자격 증명 기반 정책의 조건을 사용하여 태그를 기반으로 Amazon GameLift Servers 리소스에 대한 액세스를 제어할 수 있습니다. 이 예제는 `Owner` 태그가 사용자의 사용자 이름과 일치하는 경우 플릿을 볼 수 있는 정책을 생성하는 방법에 대해 보여 줍니다. 이 정책은 콘솔에서 이 작업을 완료하는 데 필요한 권한도 부여합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListFleetsInConsole",
"Effect": "Allow",
"Action": "gamelift:ListFleets",
"Resource": "*"
},
{
"Sid": "ViewFleetIfOwner",
"Effect": "Allow",
"Action": "gamelift:DescribeFleetAttributes",
"Resource": "arn:aws:gamelift:*:*:fleet/*",
"Condition": {
"StringEquals": {"aws:ResourceAccount": "${aws:username}"}
}
}
]
}
```
------
## Amazon S3의 게임 빌드 파일에 액세스
게임 서버를 Amazon GameLift Servers와 통합한 후 빌드 파일을 Amazon S3에 업로드합니다. Amazon GameLift Servers가 빌드 파일에 액세스할 수 있도록 하려면 다음 정책을 사용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": "arn:aws:s3:::bucket-name/object-name"
}
]
}
```
------
Amazon GameLift Servers 게임 파일 업로드에 대한 자세한 내용은 [Amazon GameLift Servers의 게임 서버 빌드 생성](gamelift-build-cli-uploading.md) 섹션을 참조하세요.