本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 的身分型政策範例 AWS Audit Manager 身分型政策範例 根據預設,使用者和角色不具備建立或修改 Audit Manager 資源的權限。若要授予使用者對其所需資源執行動作的許可,IAM 管理員可以建立 IAM 政策。 如需了解如何使用這些範例 JSON 政策文件建立 IAM 身分型政策,請參閱《*IAM 使用者指南*》中的[建立 IAM 政策 (主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)。 如需 AWS Audit Manager 所定義之動作和資源類型的詳細資訊,包括每種資源類型的 ARN 格式,請參閱*服務授權參考*中的[適用 AWS Audit Manager 的動作、資源和條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsauditmanager.html)。 **Contents** + [ ## 政策最佳實務 ](#security_iam_service-with-iam-policy-best-practices) + [ ## 允許啟用 Audit Manager 所需的最低許可 ](#security_iam_id-based-policy-examples-console) + [ ## 允許使用者完整管理員存取 AWS Audit Manager ](#example-2) + [ ### 範例 1 (受管政策,`AWSAuditManagerAdministratorAccess`) ](#full-administrator-access-managed-policy) + [ ### 範例 2 (評估報表目的地許可) ](#full-administrator-access-assessment-report-destination) + [ ### 範例 3 (啟用證據搜尋工具的許可) ](#full-administrator-access-enable-evidence-finder) + [ ### 範例 4 (停用證據搜尋工具的許可) ](#full-administrator-access-disable-evidence-finder) + [ ## 允許使用者管理對 的存取 AWS Audit Manager ](#management-access) + [ ## 允許使用者唯讀存取 AWS Audit Manager ](#read-only) + [ ## 允許使用者檢視他們自己的許可 ](#security_iam_id-based-policy-examples-view-own-permissions) + [ ## 允許 AWS Audit Manager 傳送通知至 Amazon SNS 主題 ](#sns-access) + [ ### 範例 1 (SNS 主題的許可) ](#sns-topic-permissions) + [ ### 範例 2 (添加至 SNS 主題之 KMS 金鑰的許可) ](#sns-key-permissions) + [ ## 允許使用者在證據搜尋工具中執行搜索查詢 ](#evidence-finder-query-access) ## 政策最佳實務 身分型政策會判斷您帳戶中的某個人員是否可以建立、存取或刪除 Audit Manager 資源。這些動作可能會讓您的 AWS 帳戶產生費用。當您建立或編輯身分型政策時,請遵循下列準則及建議事項: + **開始使用 AWS 受管政策並轉向最低權限許可** – 若要開始將許可授予您的使用者和工作負載,請使用將許可授予許多常見使用案例的 *AWS 受管政策*。它們可在您的 中使用 AWS 帳戶。我們建議您定義特定於使用案例 AWS 的客戶受管政策,以進一步減少許可。如需更多資訊,請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)或[任務職能的AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。 + **套用最低權限許可** – 設定 IAM 政策的許可時,請僅授予執行任務所需的許可。為實現此目的,您可以定義在特定條件下可以對特定資源採取的動作,這也稱為*最低權限許可*。如需使用 IAM 套用許可的更多相關資訊,請參閱《*IAM 使用者指南*》中的 [IAM 中的政策和許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。 + **使用 IAM 政策中的條件進一步限制存取權** – 您可以將條件新增至政策,以限制動作和資源的存取。例如,您可以撰寫政策條件,指定必須使用 SSL 傳送所有請求。如果透過特定 例如 使用服務動作 AWS 服務,您也可以使用條件來授予其存取權 CloudFormation。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM JSON 政策元素:條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。 + **使用 IAM Access Analyzer 驗證 IAM 政策,確保許可安全且可正常運作** – IAM Access Analyzer 驗證新政策和現有政策,確保這些政策遵從 IAM 政策語言 (JSON) 和 IAM 最佳實務。IAM Access Analyzer 提供 100 多項政策檢查及切實可行的建議,可協助您撰寫安全且實用的政策。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[使用 IAM Access Analyzer 驗證政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。 + **需要多重要素驗證 (MFA)** – 如果您的案例需要 IAM 使用者或 中的根使用者 AWS 帳戶,請開啟 MFA 以提高安全性。如需在呼叫 API 操作時請求 MFA,請將 MFA 條件新增至您的政策。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[透過 MFA 的安全 API 存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)。 如需 IAM 中最佳實務的相關資訊,請參閱《*IAM 使用者指南*》中的 [IAM 安全最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。 ## 允許啟用 Audit Manager 所需的最低許可 允許啟用 Audit Manager 的最低存取權 此範例會示範如何允許不具有管理員角色的帳戶啟用 AWS Audit Manager。 **注意** 我們在此提供的是基本政策,可授予啟用 Audit Manager 所需的最低许可。以下政策中的所有许可均属必要许可。您不得省略此政策的任何部分,否則,您將無法啟用 Audit Manager。 我們建議您花時間自訂權限,以滿足您的特定需求。如需任何協助,請聯絡您的管理員或 [Amazon Web Services Support](https://aws.amazon.com/contact-us/)​。 如需授予啟用 Audit Manager 所需的最低存取權,請使用下列許可。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "auditmanager:*", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "auditmanager.amazonaws.com" } } }, { "Sid": "CreateEventsAccess", "Effect": "Allow", "Action": [ "events:PutRule" ], "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "events:source": [ "aws.securityhub" ] } } }, { "Sid": "EventsAccess", "Effect": "Allow", "Action": [ "events:PutTargets" ], "Resource": "arn:aws:events:*:*:rule/AuditManagerSecurityHubFindingsReceiver" }, { "Effect": "Allow", "Action": "kms:ListAliases", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "auditmanager.amazonaws.com" } } } ] } ``` ------ 對於僅呼叫 AWS CLI 或 AWS API 的使用者,您不需要允許最低主控台許可。反之,只需允許存取符合您嘗試執行之 API 作業的動作就可以了。 ## 允許使用者完整管理員存取 AWS Audit Manager 允許管理員存取 下列範例政策會授予 的完整管理員存取權 AWS Audit Manager。 + [範例 1 (受管政策,`AWSAuditManagerAdministratorAccess`)](#full-administrator-access-managed-policy) + [範例 2 (評估報表目的地許可)](#full-administrator-access-assessment-report-destination) + [範例 3 (啟用證據搜尋工具的許可)](#full-administrator-access-enable-evidence-finder) + [範例 4 (停用證據搜尋工具的許可)](#full-administrator-access-disable-evidence-finder) ### 範例 1 (受管政策,`AWSAuditManagerAdministratorAccess`) 受管政策 [AWSAuditManagerAdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAuditManagerAdministratorAccess.html) 政策包含啟用和停用 Audit Manager 的能力、變更 Audit Manager 設定的能力,以及管理評估、架構、控制項和評估報告等所有 Audit Manager 資源的能力。 ### 範例 2 (評估報表目的地許可) 評估報告目的地 此政策授予您存取特定 S3 儲存貯體,以及在其中添加檔案和刪除檔案的許可。因此,您可使用指定的儲存貯體作為 Audit Manager 中的評估報告目的地。 以您自己的資訊取代*預留位置文字*。包括用作評估報告目的地的 S3 儲存貯體,以及用於加密評估報告的 KMS 金鑰。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:ListBucket", "s3:DeleteObject", "s3:GetBucketLocation", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:::example-s3-destination-bucket/*" }, { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab" } ] } ``` ------ ### 範例 3 (啟用證據搜尋工具的許可) 啟用證據搜尋工具 如需啟用和使用證據搜尋工具功能,則需要以下許可政策。透過此政策陳述式,Audit Manager 可建立 CloudTrail Lake 事件資料存放區並執行搜尋查詢。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "ManageCloudTrailLakeQueryAccess", "Effect": "Allow", "Action": [ "cloudtrail:StartQuery", "cloudtrail:DescribeQuery", "cloudtrail:GetQueryResults", "cloudtrail:CancelQuery" ], "Resource": "arn:aws:cloudtrail:*:*:eventdatastore/*" }, { "Sid": "ManageCloudTrailLakeAccess", "Effect": "Allow", "Action": [ "cloudtrail:CreateEventDataStore" ], "Resource": "arn:aws:cloudtrail:*:*:eventdatastore/*" } ] } ``` ------ ### 範例 4 (停用證據搜尋工具的許可) 停用證據搜尋工具 此範例政策授予在 Audit Manager 中停用證據搜尋工具功能的許可。這涉及刪除您第一次啟用該功能時建立的事件資料存放區。 使用此政策前,請將*預留位置文字*取代為您的資訊。您應該指定啟用證據搜尋工具時建立的事件資料存放區的 UUID。您可以從 Audit Manager 設定中擷取事件資料存放區的 ARN。如需詳細資訊,請參閱 *AWS Audit Manager API 參考*中的 [GetSettings](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetSettings.html)。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudtrail:DeleteEventDataStore", "cloudtrail:UpdateEventDataStore" ], "Resource": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EventDataStoreId" } ] } ``` ------ ## 允許使用者管理對 的存取 AWS Audit Manager 授予管理存取權 此範例會示範如何授予非管理員 AWS Audit Manager管理存取權。 此策略授予管理所有 Audit Manager 資源 (評估、架構和控制項) 的能力,但不授予啟用或停用 Audit Manager 或修改 Audit Manager 設定的能力。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AuditManagerAccess", "Effect": "Allow", "Action": [ "auditmanager:AssociateAssessmentReportEvidenceFolder", "auditmanager:BatchAssociateAssessmentReportEvidence", "auditmanager:BatchCreateDelegationByAssessment", "auditmanager:BatchDeleteDelegationByAssessment", "auditmanager:BatchDisassociateAssessmentReportEvidence", "auditmanager:BatchImportEvidenceToAssessmentControl", "auditmanager:CreateAssessment", "auditmanager:CreateAssessmentFramework", "auditmanager:CreateAssessmentReport", "auditmanager:CreateControl", "auditmanager:DeleteControl", "auditmanager:DeleteAssessment", "auditmanager:DeleteAssessmentFramework", "auditmanager:DeleteAssessmentFrameworkShare", "auditmanager:DeleteAssessmentReport", "auditmanager:DisassociateAssessmentReportEvidenceFolder", "auditmanager:GetAccountStatus", "auditmanager:GetAssessment", "auditmanager:GetAssessmentFramework", "auditmanager:GetControl", "auditmanager:GetServicesInScope", "auditmanager:GetSettings", "auditmanager:GetAssessmentReportUrl", "auditmanager:GetChangeLogs", "auditmanager:GetDelegations", "auditmanager:GetEvidence", "auditmanager:GetEvidenceByEvidenceFolder", "auditmanager:GetEvidenceFileUploadUrl", "auditmanager:GetEvidenceFolder", "auditmanager:GetEvidenceFoldersByAssessment", "auditmanager:GetEvidenceFoldersByAssessmentControl", "auditmanager:GetInsights", "auditmanager:GetInsightsByAssessment", "auditmanager:GetOrganizationAdminAccount", "auditmanager:ListAssessments", "auditmanager:ListAssessmentReports", "auditmanager:ListControls", "auditmanager:ListKeywordsForDataSource", "auditmanager:ListNotifications", "auditmanager:ListAssessmentControlInsightsByControlDomain", "auditmanager:ListAssessmentFrameworks", "auditmanager:ListAssessmentFrameworkShareRequests", "auditmanager:ListControlDomainInsights", "auditmanager:ListControlDomainInsightsByAssessment", "auditmanager:ListControlInsightsByControlDomain", "auditmanager:ListTagsForResource", "auditmanager:StartAssessmentFrameworkShare", "auditmanager:TagResource", "auditmanager:UntagResource", "auditmanager:UpdateControl", "auditmanager:UpdateAssessment", "auditmanager:UpdateAssessmentControl", "auditmanager:UpdateAssessmentControlSetStatus", "auditmanager:UpdateAssessmentFramework", "auditmanager:UpdateAssessmentFrameworkShare", "auditmanager:UpdateAssessmentStatus", "auditmanager:ValidateAssessmentReportIntegrity" ], "Resource": "*" }, { "Sid": "ControlCatalogAccess", "Effect": "Allow", "Action": [ "controlcatalog:ListCommonControls", "controlcatalog:ListDomains", "controlcatalog:ListObjectives" ], "Resource": "*" }, { "Sid": "OrganizationsAccess", "Effect": "Allow", "Action": [ "organizations:ListAccountsForParent", "organizations:ListAccounts", "organizations:DescribeOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:ListParents", "organizations:ListChildren" ], "Resource": "*" }, { "Sid": "IAMAccess", "Effect": "Allow", "Action": [ "iam:GetUser", "iam:ListUsers", "iam:ListRoles" ], "Resource": "*" }, { "Sid": "S3Access", "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "KmsAccess", "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:ListKeys", "kms:ListAliases" ], "Resource": "*" }, { "Sid": "SNSAccess", "Effect": "Allow", "Action": [ "sns:ListTopics" ], "Resource": "*" }, { "Sid": "TagAccess", "Effect": "Allow", "Action": [ "tag:GetResources" ], "Resource": "*" } ] } ``` ------ ## 允許使用者唯讀存取 AWS Audit Manager 允許唯讀存取權 此政策授予 資源的唯讀存取權, AWS Audit Manager 例如評估、架構和控制項。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AuditManagerAccess", "Effect": "Allow", "Action": [ "auditmanager:Get*", "auditmanager:List*" ], "Resource": "*" } ] } ``` ------ ## 允許使用者檢視他們自己的許可 此範例會示範如何建立政策,允許 IAM 使用者檢視附加到他們使用者身分的內嵌及受管政策。此政策包含在主控台或使用 或 AWS CLI AWS API 以程式設計方式完成此動作的許可。 ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] } ``` ## 允許 AWS Audit Manager 傳送通知至 Amazon SNS 主題 允許 AWS Audit Manager 傳送通知至 Amazon SNS 主題 此範例中的政策授予 Audit Manager 傳送通知到現有 Amazon SNS 主題的許可。 + [範例 1](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_id-based-policy-examples.html#sns-topic-permissions) – 如果您想要接收來自 Audit Manager 的通知,請使用此範例將許可新增至 SNS 主題存取政策。 + [範例 2](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_id-based-policy-examples.html#sns-key-permissions) – 如果您的 SNS 主題使用 AWS Key Management Service (AWS KMS) 進行伺服器端加密 (SSE),請使用此範例將許可新增至 KMS 金鑰存取政策。 在下列政策中,取得許可的主體是 Audit Manager 服務主體,即 `auditmanager.amazonaws.com`。當政策陳述式中的主體是 [AWS 服務主體](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services)時,強烈建議您使用政策中的 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) 或 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) 全域條件索引鍵。您可以使用這些全域條件內容索引鍵來協助防止[混淆代理人案例](https://docs.aws.amazon.com/audit-manager/latest/userguide/cross-service-confused-deputy-prevention.html)。 ### 範例 1 (SNS 主題的許可) SNS 主題的許可 此政策陳述式允許 Audit Manager 將事件發佈至特定 SNS 主題。任何發佈至指定 SNS 主題的要求都必須符合政策條件。 使用此政策前,請將*預留位置文字*取代為您的資訊。謹記下列事項: + 如果您在此政策中使用 `aws:SourceArn` 條件索引鍵,則該值必須是通知來源之 Audit Manager 資源的 ARN。在以下範例中,`aws:SourceArn` 使用萬用字元 (`*`) 作為資源 ID。這允許對所有 Audit Manager 資源進行來自 Audit Manager 的所有請求。透過 `aws:SourceArn` 全域條件索引鍵,您可以使用 `StringLike` 或 `ArnLike` 條件運算子。最佳實務建議您使用 `ArnLike`。 + 透過 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) 條件索引鍵,您可以使用 `StringEquals` 或 `StringLike` 條件運算子。最佳作法是,建議您使用 `StringEquals` 來實作最低權限。 + 如果您同時使用 `aws:SourceAccount` 和 `aws:SourceArn`,帳戶值必須顯示相同的帳戶 ID。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": { "Sid": "AllowAuditManagerToUseSNSTopic", "Effect": "Allow", "Principal": { "Service": "auditmanager.amazonaws.com" }, "Action": "SNS:Publish", "Resource": "arn:aws:sns:us-east-1:111122223333:topicName", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": "arn:aws:auditmanager:us-east-1:111122223333:*" } } } } ``` ------ 透過 `StringLike` 條件運算子,下列替代範例僅使用 `aws:SourceArn` 條件索引鍵: ``` "Condition": { "StringLike": { "aws:SourceArn": "arn:aws:auditmanager:region:accountID:*" } } ``` 透過 `StringLike` 條件運算子,下列替代範例僅使用 `aws:SourceAccount` 條件索引鍵: ``` "Condition": { "StringLike": { "aws:SourceAccount": "accountID" } } ``` ### 範例 2 (添加至 SNS 主題之 KMS 金鑰的許可) 附加至 SNS 主題之 KMS 金鑰的許可 政策陳述式允許 Audit Manager 使用 KMS 金鑰[產生資料金鑰](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html),它可用來加密 SNS 主題。針對指定操作使用 KMS 金鑰的任何請求都必須滿足政策條件。 使用此政策前,請將*預留位置文字*取代為您的資訊。謹記下列事項: + 如果您在此政策中使用 `aws:SourceArn` 條件索引鍵,則值必須是正在加密之資源的 ARN。例如,在這種情況下,它是您帳戶中的 SNS 主題。將值設定為 ARN 或具有萬用字元 (`*`) 的 ARN 模式。透過 `aws:SourceArn` 條件索引鍵,您可以使用 `StringLike` 或 `ArnLike` 條件運算子。最佳實務建議您使用 `ArnLike`。 + 透過 `aws:SourceAccount` 條件索引鍵,您可以使用 `StringEquals` 或 `StringLike` 條件運算子。最佳作法是,建議您使用 `StringEquals` 來實作最低權限。如果您不知道 SNS 主題的 ARN,可以使用 `aws:SourceAccount`。 + 如果您同時使用 `aws:SourceAccount` 和 `aws:SourceArn`,帳戶值必須顯示相同的帳戶 ID。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": { "Sid": "AllowAuditManagerToUseKMSKey", "Effect": "Allow", "Principal": { "Service": "auditmanager.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:us-east-1:123456789012:key/*", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "ArnLike": { "aws:SourceArn": "arn:aws:sns:us-east-1:123456789012:topicName" } } } } ``` ------ 透過 `StringLike` 條件運算子,下列替代範例僅使用 `aws:SourceArn` 條件索引鍵: ``` "Condition": { "StringLike": { "aws:SourceArn": "arn:aws:sns:region:accountID:topicName" } } ``` 透過 `StringLike` 條件運算子,下列替代範例僅使用 `aws:SourceAccount` 條件索引鍵: ``` "Condition": { "StringLike": { "aws:SourceAccount": "accountID" } } ``` ## 允許使用者在證據搜尋工具中執行搜索查詢 允許證據搜尋工具查詢存取 下列政策授予 CloudTrail Lake 事件資料存放區上執行查詢的許可。如需使用證據搜尋工具功能,則需要此許可政策。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "ManageCloudTrailLakeQueryAccess", "Effect": "Allow", "Action": [ "cloudtrail:StartQuery", "cloudtrail:DescribeQuery", "cloudtrail:GetQueryResults", "cloudtrail:CancelQuery" ], "Resource": "*" } ] } ``` ------