기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# ARC 리전 전환에 대한 자격 증명 기반 정책 예제
기본적으로 사용자 및 역할에는 ARC 리소스를 생성하거나 수정할 수 있는 권한이 없습니다. 사용자에게 사용자가 필요한 리소스에서 작업을 수행할 권한을 부여하려면 IAM 관리자가 IAM 정책을 생성하면 됩니다.
이러한 예제 JSON 정책 문서를 사용하여 IAM ID 기반 정책을 생성하는 방법을 알아보려면 *IAM 사용 설명서*의 [IAM 정책 생성(콘솔)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)을 참조하세요.
각 리소스 유형에 대한 ARN 형식을 비롯하여 ARC에 의해 정의되는 작업 및 리소스 유형에 대한 자세한 내용은 *서비스 권한 부여 참조*의 [Amazon Application Recovery Controller(ARC)에 사용되는 작업, 리소스 및 조건 키](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html)를 참조하세요.
**Topics**
+ [정책 모범 사례](#security_iam_service-with-iam-policy-best-practices-zonal)
+ [계획 실행 역할 신뢰 정책](security_iam_region_switch_trust_policy.md)
+ [전체 액세스 권한](security_iam_region_switch_full_access.md)
+ [읽기 전용 권한](security_iam_region_switch_read_only.md)
+ [실행 블록 권한](security_iam_region_switch_execution_blocks.md)
+ [애플리케이션 상태에 대한 CloudWatch 경보 권한](security_iam_region_switch_cloudwatch.md)
+ [자동 계획 실행 보고서 권한](security_iam_region_switch_reports.md)
+ [교차 계정 리소스 권한](security_iam_region_switch_cross_account.md)
+ [전체 계획 실행 역할 권한](security_iam_region_switch_complete_policy.md)
## 정책 모범 사례
자격 증명 기반 정책에 따라 계정에서 사용자가 ARC 리소스를 생성, 액세스 또는 삭제할 수 있는지 여부가 결정됩니다. 이 작업으로 인해 AWS 계정에 비용이 발생할 수 있습니다. ID 기반 정책을 생성하거나 편집할 때는 다음 지침과 권장 사항을 따르세요.
+ ** AWS 관리형 정책을 시작하고 최소 권한으로 전환 -** 사용자 및 워크로드에 권한 부여를 시작하려면 많은 일반적인 사용 사례에 대한 권한을 부여하는 *AWS 관리형 정책을* 사용합니다. 에서 사용할 수 있습니다 AWS 계정. 사용 사례에 맞는 AWS 고객 관리형 정책을 정의하여 권한을 추가로 줄이는 것이 좋습니다. 자세한 내용은 *IAM 사용 설명서*의 [AWS 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) 또는 [AWS 직무에 대한 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)을 참조하세요.
+ **최소 권한 적용** – IAM 정책을 사용하여 권한을 설정하는 경우, 작업을 수행하는 데 필요한 권한만 부여합니다. 이렇게 하려면 *최소 권한*으로 알려진 특정 조건에서 특정 리소스에 대해 수행할 수 있는 작업을 정의합니다. IAM을 사용하여 권한을 적용하는 방법에 대한 자세한 정보는 *IAM 사용 설명서*에 있는 [IAM의 정책 및 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)을 참조하세요.
+ **IAM 정책의 조건을 사용하여 액세스 추가 제한** – 정책에 조건을 추가하여 작업 및 리소스에 대한 액세스를 제한할 수 있습니다. 예를 들어, SSL을 사용하여 모든 요청을 전송해야 한다고 지정하는 정책 조건을 작성할 수 있습니다. AWS 서비스와 같은 특정를 통해 사용되는 경우 조건을 사용하여 서비스 작업에 대한 액세스 권한을 부여할 수도 있습니다 CloudFormation. 자세한 내용은 *IAM 사용 설명서*의 [IAM JSON 정책 요소: 조건](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)을 참조하세요.
+ **IAM Access Analyzer를 통해 IAM 정책을 확인하여 안전하고 기능적인 권한 보장** - IAM Access Analyzer에서는 IAM 정책 언어(JSON)와 모범 사례가 정책에서 준수되도록 새로운 및 기존 정책을 확인합니다. IAM Access Analyzer는 100개 이상의 정책 확인 항목과 실행 가능한 추천을 제공하여 안전하고 기능적인 정책을 작성하도록 돕습니다. 자세한 내용은 *IAM 사용 설명서*의 [IAM Access Analyzer에서 정책 검증](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)을 참조하세요.
+ **다중 인증(MFA) 필요 -**에서 IAM 사용자 또는 루트 사용자가 필요한 시나리오가 있는 경우 추가 보안을 위해 MFA를 AWS 계정켭니다. API 작업을 직접적으로 호출할 때 MFA가 필요하면 정책에 MFA 조건을 추가합니다. 자세한 내용은 *IAM 사용 설명서*의 [MFA를 통한 보안 API 액세스](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)를 참조하세요.
IAM의 모범 사례에 대한 자세한 내용은 *IAM 사용 설명서*의 [IAM의 보안 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)를 참조하세요.
# 계획 실행 역할 신뢰 정책
이는 ARC가 리전 전환 계획을 실행할 수 있도록 계획의 실행 역할에 필요한 신뢰 정책입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "arc-region-switch.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# 전체 액세스 권한
다음 IAM 정책은 모든 리전 전환 API에 대한 전체 액세스 권한을 부여합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "arc-region-switch.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"arc-region-switch:CreatePlan",
"arc-region-switch:UpdatePlan",
"arc-region-switch:GetPlan",
"arc-region-switch:ListPlans",
"arc-region-switch:DeletePlan",
"arc-region-switch:GetPlanInRegion",
"arc-region-switch:ListPlansInRegion",
"arc-region-switch:ApprovePlanExecutionStep",
"arc-region-switch:GetPlanEvaluationStatus",
"arc-region-switch:GetPlanExecution",
"arc-region-switch:StartPlanExecution",
"arc-region-switch:CancelPlanExecution",
"arc-region-switch:ListRoute53HealthChecks",
"arc-region-switch:ListRoute53HealthChecksInRegion",
"arc-region-switch:ListPlanExecutions",
"arc-region-switch:ListPlanExecutionEvents",
"arc-region-switch:ListTagsForResource",
"arc-region-switch:TagResource",
"arc-region-switch:UntagResource",
"arc-region-switch:UpdatePlanExecution",
"arc-region-switch:UpdatePlanExecutionStep"
],
"Resource": "*"
}
]
}
```
------
# 읽기 전용 권한
다음 IAM 정책은 리전 전환에 대한 읽기 전용 액세스 권한을 부여합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arc-region-switch:GetPlan",
"arc-region-switch:ListPlans",
"arc-region-switch:GetPlanInRegion",
"arc-region-switch:ListPlansInRegion",
"arc-region-switch:GetPlanEvaluationStatus",
"arc-region-switch:GetPlanExecution",
"arc-region-switch:ListRoute53HealthChecks",
"arc-region-switch:ListRoute53HealthChecksInRegion",
"arc-region-switch:ListPlanExecutions",
"arc-region-switch:ListPlanExecutionEvents",
"arc-region-switch:ListTagsForResource"
],
"Resource": "*"
}
]
}
```
------
# 실행 블록 권한
다음 섹션에서는 리전 전환 계획에 추가하는 특정 실행 블록에 필요한 권한을 제공하는 샘플 IAM 정책을 설명합니다.
**Topics**
+ [EC2 Auto Scaling 실행 블록 샘플 정책](security_iam_region_switch_ec2_autoscaling.md)
+ [Amazon EKS 리소스 조정 실행 블록 샘플 정책](security_iam_region_switch_eks.md)
+ [Amazon ECS 서비스 조정 실행 블록 샘플 정책](security_iam_region_switch_ecs.md)
+ [ARC 라우팅 제어 실행 블록 샘플 정책](security_iam_region_switch_arc_routing.md)
+ [Aurora Global Database 실행 블록 샘플 정책](security_iam_region_switch_aurora.md)
+ [Amazon DocumentDB Global Cluster 실행 블록 샘플 정책](security_iam_region_switch_documentdb.md)
+ [Amazon RDS 실행 블록 샘플 정책](security_iam_region_switch_rds.md)
+ [수동 승인 실행 블록 샘플 정책](security_iam_region_switch_manual_approval.md)
+ [사용자 지정 작업 Lambda 실행 블록 샘플 정책](security_iam_region_switch_lambda.md)
+ [Route 53 상태 확인 실행 블록 샘플 정책](security_iam_region_switch_route53.md)
+ [리전 전환 계획 실행 블록 샘플 정책](security_iam_region_switch_plan_execution.md)
# EC2 Auto Scaling 실행 블록 샘플 정책
다음은 EC2 Auto Scaling 그룹의 리전 전환 계획에 실행 블록을 추가하는 경우 연결할 샘플 정책입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"autoscaling:DescribeAutoScalingGroups"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"autoscaling:UpdateAutoScalingGroup"
],
"Resource": [
"arn:aws:autoscaling:us-east-1:123456789012:autoScalingGroup:123d456e-123e-1111-abcd-EXAMPLE22222:autoScalingGroupName/app-asg-primary",
"arn:aws:autoscaling:us-west-2:123456789012:autoScalingGroup:1234a321-123e-1234-aabb-EXAMPLE33333:autoScalingGroupName/app-asg-secondary"
]
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics"
],
"Resource": "*"
}
]
}
```
------
# Amazon EKS 리소스 조정 실행 블록 샘플 정책
다음은 Amazon EKS 리소스 조정을 위한 리전 전환 계획에 실행 블록을 추가하는 경우 연결할 샘플 정책입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"eks:DescribeCluster"
],
"Resource": [
"arn:aws:eks:us-east-1:123456789012:cluster/app-eks-primary",
"arn:aws:eks:us-west-2:123456789012:cluster/app-eks-secondary"
]
},
{
"Effect": "Allow",
"Action": [
"eks:ListAssociatedAccessPolicies"
],
"Resource": [
"arn:aws:eks:us-east-1:123456789012:access-entry/app-eks-primary/*",
"arn:aws:eks:us-west-2:123456789012:access-entry/app-eks-secondary/*"
]
}
]
}
```
------
참고:이 IAM 정책 외에도 `AmazonArcRegionSwitchScalingPolicy` 액세스 정책을 사용하여 Amazon EKS 클러스터의 액세스 항목에 계획 실행 역할을 추가해야 합니다. 자세한 내용은 [EKS 액세스 항목 권한 구성](eks-resource-scaling-block.md#eks-resource-scaling-block-permissions) 단원을 참조하십시오.
# Amazon ECS 서비스 조정 실행 블록 샘플 정책
다음은 Amazon ECS 서비스 조정에 대해 리전 전환 계획에 실행 블록을 추가하는 경우 연결할 샘플 정책입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:DescribeServices",
"ecs:UpdateService"
],
"Resource": [
"arn:aws:ecs:us-east-1:123456789012:service/app-cluster-primary/app-service",
"arn:aws:ecs:us-west-2:123456789012:service/app-cluster-secondary/app-service"
]
},
{
"Effect": "Allow",
"Action": [
"ecs:DescribeClusters"
],
"Resource": [
"arn:aws:ecs:us-east-1:123456789012:cluster/app-cluster-primary",
"arn:aws:ecs:us-west-2:123456789012:cluster/app-cluster-secondary"
]
},
{
"Effect": "Allow",
"Action": [
"ecs:ListServices"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:RegisterScalableTarget"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics"
],
"Resource": "*"
}
]
}
```
------
# ARC 라우팅 제어 실행 블록 샘플 정책
참고: Amazon ARC 라우팅 제어 실행 블록을 사용하려면 계획의 실행 역할에 적용된 모든 서비스 제어 정책(SCPs)이 이러한 서비스에 대해 다음 리전에 대한 액세스를 허용해야 합니다.
+ `route53-recovery-control-config: us-west-2`
+ `route53-recovery-cluster: us-west-2, us-east-1, eu-west-1, ap-southeast-2, ap-northeast-1`
다음은 ARC 라우팅 제어에 대해 리전 전환 계획에 실행 블록을 추가하는 경우 연결할 샘플 정책입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53-recovery-control-config:DescribeControlPanel",
"route53-recovery-control-config:DescribeCluster"
],
"Resource": [
"arn:aws:route53-recovery-control::123456789012:controlpanel/abcd1234abcd1234abcd1234abcd1234",
"arn:aws:route53-recovery-control::123456789012:cluster/4b325d3b-0e28-4dcf-ba4a-EXAMPLE11111"
]
},
{
"Effect": "Allow",
"Action": [
"route53-recovery-cluster:GetRoutingControlState",
"route53-recovery-cluster:UpdateRoutingControlStates"
],
"Resource": [
"arn:aws:route53-recovery-control::123456789012:controlpanel/1234567890abcdef1234567890abcdef/routingcontrol/abcdef1234567890",
"arn:aws:route53-recovery-control::123456789012:controlpanel/1234567890abcdef1234567890abcdef/routingcontrol/1234567890abcdef"
]
}
]
}
```
------
CLI를 사용하여 라우팅 컨트롤 패널 ID와 클러스터 ID를 검색할 수 있습니다. 자세한 내용은 [라우팅 제어 구성 요소 설정](getting-started-cli-routing-config.md) 단원을 참조하십시오.
# Aurora Global Database 실행 블록 샘플 정책
다음은 Aurora 데이터베이스에 대해 리전 전환 계획에 실행 블록을 추가하는 경우 연결할 샘플 정책입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"rds:DescribeGlobalClusters",
"rds:DescribeDBClusters"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"rds:FailoverGlobalCluster",
"rds:SwitchoverGlobalCluster"
],
"Resource": [
"arn:aws:rds::123456789012:global-cluster:app-global-db",
"arn:aws:rds:us-east-1:123456789012:cluster:app-db-primary",
"arn:aws:rds:us-west-2:123456789012:cluster:app-db-secondary"
]
}
]
}
```
------
# Amazon DocumentDB Global Cluster 실행 블록 샘플 정책
다음은 Amazon DocumentDB 글로벌 클러스터의 리전 전환 계획에 실행 블록을 추가하는 경우 연결할 샘플 정책입니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"rds:DescribeGlobalClusters",
"rds:DescribeDBClusters",
"rds:FailoverGlobalCluster",
"rds:SwitchoverGlobalCluster"
],
"Resource": "*"
}
]
}
```
# Amazon RDS 실행 블록 샘플 정책
다음은 Amazon RDS 읽기 전용 복제본 승격 또는 리전 간 복제본 생성을 위한 리전 전환 계획에 실행 블록을 추가하는 경우 연결할 샘플 정책입니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"rds:DescribeDBInstances",
"rds:PromoteReadReplica",
"rds:CreateDBInstanceReadReplica",
"rds:ModifyDBInstance"
],
"Resource": "*"
}
]
}
```
# 수동 승인 실행 블록 샘플 정책
다음은 수동 승인에 대해 리전 전환 계획에 실행 블록을 추가하는 경우 연결할 샘플 정책입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arc-region-switch:ApprovePlanExecutionStep"
],
"Resource": "arn:aws:arc-region-switch::123456789012:plan/sample-plan:0123abc"
}
]
}
```
------
# 사용자 지정 작업 Lambda 실행 블록 샘플 정책
다음은 Lambda 함수에 대해 리전 전환 계획에 실행 블록을 추가하는 경우 연결할 샘플 정책입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lambda:GetFunction",
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:us-east-1:123456789012:function:app-recovery-primary",
"arn:aws:lambda:us-west-2:123456789012:function:app-recovery-secondary"
]
}
]
}
```
------
# Route 53 상태 확인 실행 블록 샘플 정책
다음은 Route 53 상태 확인에 대해 리전 전환 계획에 실행 블록을 추가하는 경우 연결할 샘플 정책입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:ListResourceRecordSets"
],
"Resource": [
"arn:aws:route53:::hostedzone/Z1234567890ABCDEFGHIJ"
]
}
]
}
```
------
# 리전 전환 계획 실행 블록 샘플 정책
다음은 하위 계획을 실행하기 위해 리전 전환 계획에 실행 블록을 추가하는 경우 연결할 샘플 정책입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arc-region-switch:StartPlanExecution",
"arc-region-switch:GetPlanExecution",
"arc-region-switch:CancelPlanExecution",
"arc-region-switch:UpdatePlanExecution",
"arc-region-switch:ListPlanExecutions"
],
"Resource": [
"arn:aws:arc-region-switch::123456789012:plan/child-plan-1/abcde1",
"arn:aws:arc-region-switch::123456789012:plan/child-plan-2/fghij2"
]
}
]
}
```
------
# 애플리케이션 상태에 대한 CloudWatch 경보 권한
다음은 애플리케이션 상태에 대한 CloudWatch 경보에 액세스하기 위해 연결하는 샘플 정책으로, 실제 복구 시간을 결정하는 데 사용됩니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarmHistory",
"cloudwatch:DescribeAlarms"
],
"Resource": [
"arn:aws:cloudwatch:us-east-1:123456789012:alarm:app-health-primary",
"arn:aws:cloudwatch:us-west-2:123456789012:alarm:app-health-secondary"
]
}
]
}
```
------
# 자동 계획 실행 보고서 권한
다음은 리전 전환 계획에 대한 자동 보고서 생성을 구성하는 경우 연결할 샘플 정책입니다. 이 정책에는 Amazon S3에 보고서를 작성하고, CloudWatch 경보 데이터에 액세스하고, 상위 계획에 대한 하위 계획 정보를 검색할 수 있는 권한이 포함되어 있습니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::your-bucket-name/*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarms",
"cloudwatch:DescribeAlarmHistory"
],
"Resource": [
"arn:aws:cloudwatch:us-east-1:123456789012:alarm:app-health-primary"
"arn:aws:cloudwatch:us-west-2:123456789012:alarm:app-health-secondary"
],
},
{
"Effect": "Allow",
"Action": [
"arc-region-switch:GetPlanExecution",
"arc-region-switch:ListPlanExecutionEvents"
],
"Resource": [
"arn:aws:arc-region-switch:us-east-1:123456789012:plan/child-plan-1/abcde1",
"arn:aws:arc-region-switch:us-west-2:123456789012:plan/child-plan-2/fghij2"
],
}
]
}
```
참고: Amazon S3 버킷 암호화를 위해 고객 관리형 AWS KMS 키를 구성하는 경우 키에 대한 `kms:GenerateDataKey` 및 `kms:Encrypt` 권한도 추가해야 합니다.
# 교차 계정 리소스 권한
리소스가 다른 계정에 있는 경우 교차 계정 역할이 필요합니다. 다음은 교차 계정 역할에 대한 샘플 신뢰 정책입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/RegionSwitchExecutionRole"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "UniqueExternalId123"
}
}
}
]
}
```
------
다음은 계획 실행 역할이 이 교차 계정 역할을 수임할 수 있는 권한입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::987654321098:role/RegionSwitchCrossAccountRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "UniqueExternalId123"
}
}
}
]
}
```
------
# 전체 계획 실행 역할 권한
모든 실행 블록에 대한 권한이 포함된 포괄적인 정책을 생성하려면 상당히 큰 정책이 필요합니다. 실제 적용 시에는 특정 실행 계획에서 사용하는 실행 블록에 대한 권한만 포함해야 합니다.
다음은 계획 실행 역할 정책의 시작점으로 사용할 수 있는 정책 예제입니다. 계획에 포함하는 특정 실행 블록에 필요한 추가 정책을 반드시 추가하십시오. 최소 권한 원칙을 따르려면 계획에서 사용하는 특정 실행 블록에 필요한 권한만 포함하십시오.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:SimulatePrincipalPolicy",
"Resource": "arn:aws:iam::123456789012:role/RegionSwitchExecutionRole"
},
{
"Effect": "Allow",
"Action": [
"arc-region-switch:GetPlan",
"arc-region-switch:GetPlanExecution",
"arc-region-switch:ListPlanExecutions"
],
"Resource": "*"
}
]
}
```
------