本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 管理 Amazon GameLift Servers FleetIQ 的用户权限
根据需要创建更多用户或将 Amazon GameLift Servers FleetIQ 访问权限扩展到现有用户。使用Amazon GameLift ServersFleetIQ游戏服务器组以及相关的 Amazon EC2 和 Auto Scaling 服务的用户必须拥有访问这些服务的权限。
作为最佳实操([IAM 中的安全最佳实操](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)),请为所有用户应用最低权限权限。您可以为各个用户或用户组设置权限,并按服务、操作或资源限制用户访问权限。
根据您管理 AWS 账户中用户的方式,按照以下说明设置用户权限。如果您使用 IAM 用户,则作为最佳实操,请始终向角色或用户组授予权限,而不是向个人用户授予权限。
+ [用户的权限语法](gsg-iam-permissions-users-policy.md)
+ [与一起使用的其他权限语法 CloudFormation](gsg-iam-permissions-users-policycfn.md)
要提供访问权限,请为您的用户、组或角色添加权限:
+ 中的用户和群组 AWS IAM Identity Center:
创建权限集合。按照《AWS IAM Identity Center 用户指南》**中[创建权限集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)的说明进行操作。
+ 通过身份提供者在 IAM 中托管的用户:
创建适用于身份联合验证的角色。按照《IAM 用户指南》**中[针对第三方身份提供者创建角色(联合身份验证)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)的说明进行操作。
+ IAM 用户:
+ 创建您的用户可以担任的角色。按照《IAM 用户指南》**中[为 IAM 用户创建角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)的说明进行操作。
+ (不推荐使用)将策略直接附加到用户或将用户添加到用户组。按照《IAM 用户指南》**中[向用户添加权限(控制台)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)中的说明进行操作。
# 参考:Amazon GameLift Servers FleetIQ\$1policy
以下是供您参考的 Amazon GameLift Servers FleetIQ\$1policy 示例:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Action":
[
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "*",
"Condition":
{
"StringEquals":
{
"iam:PassedToService": "gamelift.amazonaws.com"
}
}
},
{
"Action":
[
"iam:CreateServiceLinkedRole"
],
"Effect": "Allow",
"Resource": "arn:*:iam::*:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling"
},
{
"Action":
[
"autoscaling:CreateAutoScalingGroup",
"autoscaling:CreateOrUpdateTags",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:ExitStandby",
"autoscaling:PutLifecycleHook",
"autoscaling:PutScalingPolicy",
"autoscaling:ResumeProcesses",
"autoscaling:SetInstanceProtection",
"autoscaling:UpdateAutoScalingGroup",
"autoscaling:DeleteAutoScalingGroup"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action":
[
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSubnets",
"ec2:RunInstances",
"ec2:CreateTags"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action":
[
"events:PutRule",
"events:PutTargets"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
# 的额外权限 CloudFormation
如果您使用 CloudFormation管理游戏托管资源,请将 CloudFormation 权限添加到策略语法中。
```
{
"Action": [
"autoscaling:DescribeLifecycleHooks",
"autoscaling:DescribeNotificationConfigurations",
"ec2:DescribeLaunchTemplateVersions"
]
"Effect": "Allow",
"Resource": "*"
}
```
# 为用户设置编程式访问权限
如果用户想在 AWS 外部进行交互,则需要编程访问权限 AWS 管理控制台。授予编程访问权限的方式取决于正在访问的用户类型 AWS。
要向用户授予编程式访问权限,请选择以下选项之一。
****
| 哪个用户需要编程式访问权限? | 目的 | 方式 |
| --- | --- | --- |
| IAM | (推荐)使用控制台凭证作为临时凭证,签署对 AWS CLI AWS SDKs、或的编程请求 AWS APIs。 | 按照您希望使用的界面的说明进行操作。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/gameliftservers/latest/fleetiqguide/gsg-iam-permissions-users-access-keys.html) |
| 人力身份 (在 IAM Identity Center 中管理的用户) | 使用临时证书签署向 AWS CLI AWS SDKs、或发出的编程请求 AWS APIs。 | 按照您希望使用的界面的说明进行操作。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/gameliftservers/latest/fleetiqguide/gsg-iam-permissions-users-access-keys.html) |
| IAM | 使用临时证书签署向 AWS CLI AWS SDKs、或发出的编程请求 AWS APIs。 | 按照 IAM 用户指南中的将[临时证书与 AWS 资源配合使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html)中的说明进行操作。 |
| IAM | (不推荐使用)使用长期凭证签署向 AWS CLI AWS SDKs、或发出的编程请求 AWS APIs。 | 按照您希望使用的界面的说明进行操作。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/gameliftservers/latest/fleetiqguide/gsg-iam-permissions-users-access-keys.html) |
如果您使用访问密钥,请参阅[管理 AWS 访问密钥的最佳实践](https://docs.aws.amazon.com/accounts/latest/reference/credentials-access-keys-best-practices.html)。