Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Elastic Beanstalk-Benutzerrichtlinien verwalten
AWS Elastic Beanstalk bietet zwei verwaltete Richtlinien, mit denen Sie allen von Elastic Beanstalk verwalteten Ressourcen vollen Zugriff oder schreibgeschützten Zugriff zuweisen können. Sie können die Richtlinien an Benutzer oder Gruppen von AWS Identity and Access Management (IAM) oder an Rollen anhängen, die von Ihren Benutzern übernommen werden.
Wichtig
Von Elastic Beanstalk verwaltete Richtlinien bieten keine granularen Berechtigungen – sie gewähren alle Berechtigungen, die möglicherweise für die Arbeit mit Elastic-Beanstalk-Anwendungen erforderlich sind. Unsere verwalteten Richtlinien decken auch keine Berechtigungen für benutzerdefinierte Ressourcen ab, die Sie möglicherweise zu Ihrer Lösung hinzufügen und die nicht von Elastic Beanstalk verwaltet werden. Verwenden Sie benutzerdefinierte Richtlinien, um detailliertere Berechtigungen, mindestens erforderliche Berechtigungen oder benutzerdefinierte Ressourcenberechtigungen zu implementieren.
Verwaltete Benutzerrichtlinien
-
AdministratorAccess-AWSElasticBeanstalk – Gibt dem Benutzer vollständige Administratorberechtigungen zum Erstellen, Ändern und Löschen von Elastic-Beanstalk-Anwendungen, -Anwendungsversionen, -Konfigurationseinstellungen, -Umgebungen und deren zugrunde liegenden Ressourcen. Um den Inhalt der verwalteten Richtlinie anzuzeigen, lesen Sie die Seite AdministratorAccess-AWSElasticBeanstalk im AWS-Referenzhandbuch für verwaltete Richtlinien.
-
AWSElasticBeanstalkReadOnly – Benutzer können Anwendungen und Umgebungen anzeigen, aber keine Vorgänge ausführen, die diese ändern würden. Sie bietet schreibgeschützten Zugriff auf alle Elastic-Beanstalk-Ressourcen und auf andere AWS-Ressourcen, die die Elastic-Beanstalk-Konsole abruft. Beachten Sie, dass mit schreibgeschütztem Zugriff keine Aktionen – wie z. B. Elastic Beanstalk-Protokolle zum Lesen herunterladen – möglich sind. Das liegt daran, dass die Protokolle im Amazon S3-Bucket bereitgestellt werden, wo Elastic Beanstalk eine Schreibberechtigung erfordern würde. Weitere Informationen zum Einrichten des Zugriffs auf Elastic Beanstalk-Protokolle finden Sie im Beispiel am Ende dieses Themas. Um den Inhalt der verwalteten Richtlinie anzuzeigen, lesen Sie die Seite AWSElasticBeanstalkReadOnly im AWS-Referenzhandbuch für verwaltete Richtlinien.
Anmerkung
Zuvor unterstützte Elastic Beanstalk zwei weitere verwaltete Benutzerrichtlinien, AWSElasticBeanstalkFullAccess und AWSElasticBeanstalkReadOnlyAccess. Wir planen, diese bisherigen Richtlinien außer Betrieb zu nehmen. Möglicherweise können Sie sie immer noch in der IAM-Konsole sehen und verwenden. Nichtsdestotrotz empfehlen wir Ihnen, auf die Verwendung der neuen Richtlinien für verwaltete Benutzer zu wechseln und benutzerdefinierte Richtlinien hinzuzufügen, um ggf. Berechtigungen für benutzerdefinierte Ressourcen zu erteilen.
Richtlinien für die Integration mit anderen Services
Wir bieten auch detailliertere Richtlinien, die es Ihnen ermöglichen, Ihre Umgebung in andere Services zu integrieren, falls Sie diese bevorzugen.
Diese Richtlinie ermöglicht es einer Umgebung, Protokollgruppen von Amazon CloudWatch Logs zu verwalten.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCWL", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:DeleteLogGroup", "logs:PutRetentionPolicy" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/elasticbeanstalk/*" } ] }
Diese Richtlinie ermöglicht es einer Umgebung, eine Amazon-RDS-Instance zu integrieren.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowRDS", "Effect": "Allow", "Action": [ "rds:CreateDBSecurityGroup", "rds:DeleteDBSecurityGroup", "rds:AuthorizeDBSecurityGroupIngress", "rds:CreateDBInstance", "rds:ModifyDBInstance", "rds:DeleteDBInstance" ], "Resource": [ "arn:aws:rds:*:*:secgrp:awseb-e-*", "arn:aws:rds:*:*:db:*" ] } ] }
Diese Richtlinie ermöglicht es einer Arbeitsumgebungsebene, eine Amazon-DynamoDB-Tabelle und eine Amazon-SQS-Warteschlange zu erstellen.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowSQS", "Effect": "Allow", "Action": [ "sqs:TagQueue", "sqs:DeleteQueue", "sqs:GetQueueAttributes", "sqs:CreateQueue" ], "Resource": "arn:aws:sqs:*:*:awseb-e-*" }, { "Sid": "AllowDDB", "Effect": "Allow", "Action": [ "dynamodb:CreateTable", "dynamodb:TagResource", "dynamodb:DescribeTable", "dynamodb:DeleteTable" ], "Resource": "arn:aws:dynamodb:*:*:table/awseb-e-*" } ] }
Diese Richtlinie ermöglicht es einer Docker-Umgebung mit mehreren Containern, Amazon-ECS-Cluster zu verwalten.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowECS", "Effect": "Allow", "Action": [ "ecs:CreateCluster", "ecs:DeleteCluster", "ecs:DeRegisterTaskDefinition", "ecs:RegisterTaskDefinition" ], "Resource": [ "*" ] }, { "Sid": "AllowECSTagResource", "Effect": "Allow", "Action": [ "ecs:TagResource" ], "Resource": "*", "Condition": { "StringEquals": { "ecs:CreateAction": [ "CreateCluster", "RegisterTaskDefinition" ] } } } ] }
Diese Richtlinie ermöglicht den Kernbetrieb einer Webservice-Umgebung.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "TerminateInstances", "Effect": "Allow", "Action": [ "ec2:TerminateInstances" ], "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "StringLike": { "ec2:ResourceTag/aws:cloudformation:stack-id": "arn:aws:cloudformation:*:*:stack/awseb-e-*" } } }, { "Sid": "EC2", "Effect": "Allow", "Action": [ "ec2:ReleaseAddress", "ec2:AllocateAddress", "ec2:DisassociateAddress", "ec2:AssociateAddress", "ec2:CreateTags", "ec2:DeleteTags", "ec2:CreateSecurityGroup", "ec2:DeleteSecurityGroup", "ec2:AuthorizeSecurityGroup*", "ec2:RevokeSecurityGroup*", "ec2:CreateLaunchTemplate*", "ec2:DeleteLaunchTemplate*" ], "Resource": "*" }, { "Sid": "LTRunInstances", "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": "*", "Condition": { "ArnLike": { "ec2:LaunchTemplate": "arn:aws:ec2:*:*:launch-template/*" } } }, { "Sid": "ASG", "Effect": "Allow", "Action": [ "autoscaling:AttachInstances", "autoscaling:*LoadBalancer*", "autoscaling:*AutoScalingGroup", "autoscaling:*LaunchConfiguration", "autoscaling:DeleteScheduledAction", "autoscaling:DetachInstances", "autoscaling:PutNotificationConfiguration", "autoscaling:PutScalingPolicy", "autoscaling:PutScheduledUpdateGroupAction", "autoscaling:ResumeProcesses", "autoscaling:SuspendProcesses", "autoscaling:*Tags" ], "Resource": [ "arn:aws:autoscaling:*:*:launchConfiguration:*:launchConfigurationName/awseb-e-*", "arn:aws:autoscaling:*:*:autoScalingGroup:*:autoScalingGroupName/awseb-e-*" ] }, { "Sid": "ASGPolicy", "Effect": "Allow", "Action": [ "autoscaling:DeletePolicy" ], "Resource": [ "*" ] }, { "Sid": "EBSLR", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": [ "arn:aws:iam::*:role/aws-service-role/elasticbeanstalk.amazonaws.com/AWSServiceRoleForElasticBeanstalk*" ], "Condition": { "StringLike": { "iam:AWSServiceName": "elasticbeanstalk.amazonaws.com" } } }, { "Sid": "S3Obj", "Effect": "Allow", "Action": [ "s3:Delete*", "s3:Get*", "s3:Put*" ], "Resource": [ "arn:aws:s3:::elasticbeanstalk-*/*", "arn:aws:s3:::elasticbeanstalk-env-resources-*/*" ] }, { "Sid": "S3Bucket", "Effect": "Allow", "Action": [ "s3:GetBucket*", "s3:ListBucket", "s3:PutBucketPolicy" ], "Resource": "arn:aws:s3:::elasticbeanstalk-*" }, { "Sid": "CFN", "Effect": "Allow", "Action": [ "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:GetTemplate", "cloudformation:ListStackResources", "cloudformation:UpdateStack", "cloudformation:ContinueUpdateRollback", "cloudformation:CancelUpdateStack" ], "Resource": "arn:aws:cloudformation:*:*:stack/awseb-e-*" }, { "Sid": "CloudWatch", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "arn:aws:cloudwatch:*:*:alarm:awseb-*" }, { "Sid": "ELB", "Effect": "Allow", "Action": [ "elasticloadbalancing:Create*", "elasticloadbalancing:Delete*", "elasticloadbalancing:Modify*", "elasticloadbalancing:RegisterTargets", "elasticloadbalancing:DeRegisterTargets", "elasticloadbalancing:DeregisterInstancesFromLoadBalancer", "elasticloadbalancing:RegisterInstancesWithLoadBalancer", "elasticloadbalancing:*Tags", "elasticloadbalancing:ConfigureHealthCheck", "elasticloadbalancing:SetRulePriorities", "elasticloadbalancing:SetLoadBalancerPoliciesOfListener" ], "Resource": [ "arn:aws:elasticloadbalancing:*:*:targetgroup/awseb-*", "arn:aws:elasticloadbalancing:*:*:loadbalancer/awseb-*", "arn:aws:elasticloadbalancing:*:*:loadbalancer/app/awseb-*/*", "arn:aws:elasticloadbalancing:*:*:loadbalancer/net/awseb-*/*", "arn:aws:elasticloadbalancing:*:*:listener/awseb-*", "arn:aws:elasticloadbalancing:*:*:listener/app/awseb-*", "arn:aws:elasticloadbalancing:*:*:listener/net/awseb-*", "arn:aws:elasticloadbalancing:*:*:listener-rule/app/awseb-*/*/*/*" ] }, { "Sid": "ListAPIs", "Effect": "Allow", "Action": [ "autoscaling:Describe*", "cloudformation:Describe*", "logs:Describe*", "ec2:Describe*", "ecs:Describe*", "ecs:List*", "elasticloadbalancing:Describe*", "rds:Describe*", "sns:List*", "iam:List*", "acm:Describe*", "acm:List*" ], "Resource": "*" }, { "Sid": "AllowPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/aws-elasticbeanstalk-*", "Condition": { "StringEquals": { "iam:PassedToService": [ "elasticbeanstalk.amazonaws.com", "ec2.amazonaws.com", "autoscaling.amazonaws.com", "elasticloadbalancing.amazonaws.com", "ecs.amazonaws.com", "cloudformation.amazonaws.com" ] } } } ] }
Diese Richtlinie ermöglicht es einer Umgebung, die Amazon-SNS-Themenintegration zu aktivieren.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowBeanstalkManageSNS", "Effect": "Allow", "Action": [ "sns:CreateTopic", "sns:SetTopicAttributes", "sns:DeleteTopic" ], "Resource": [ "arn:aws:sns:*:*:ElasticBeanstalkNotifications-*" ] }, { "Sid": "AllowSNSPublish", "Effect": "Allow", "Action": [ "sns:GetTopicAttributes", "sns:Subscribe", "sns:Unsubscribe", "sns:Publish" ], "Resource": "*" } ] }
Steuern des Zugriffs mit verwalteten Richtlinien
Mit verwalteten Richtlinien können Sie Vollzugriff oder schreibgeschützten Zugriff auf Elastic Beanstalk gewähren. Diese Richtlinien werden von Elastic Beanstalk automatisch aktualisiert, wenn weitere Berechtigungen für den Zugriff auf neue Funktionen benötigt werden.
So wenden Sie eine verwaltete Richtlinie auf IAM-Benutzer oder -Gruppen an
-
Öffnen Sie die Seite Policies (Richtlinien)
in der IAM-Konsole. -
Geben Sie im Suchfeld
AWSElasticBeanstalkein, um die Richtlinien zu filtern. -
Wählen Sie in der Liste der Richtlinien das Kontrollkästchen neben AWSElasticBeanstalkReadOnly oder AdministratorAccess-AWSElasticBeanstalk aus.
-
Klicken Sie auf Policy actions und anschließend auf Attach.
-
Wählen Sie einen oder mehrere Benutzer und Gruppen aus, denen Sie die Richtlinie anfügen möchten. Über das Menü Filter und das Suchfeld können Sie die Liste der Prinzipal-Entitäten filtern.
-
Wählen Sie Attach policy (Richtlinie anfügen) aus.
Erstellen einer benutzerdefinierten Benutzerrichtlinie
Sie können Ihre eigene IAM-Richtlinie erstellen, um bestimmte Elastic Beanstalk-API-Aktionen für bestimmte Elastic-Beanstalk-Ressourcen zuzulassen oder abzulehnen und den Zugriff auf benutzerdefinierte Ressourcen zu steuern, die nicht von Elastic Beanstalk verwaltet werden. Weitere Informationen zum Anfügen einer Richtlinie an einen Benutzer oder eine Gruppe finden Sie unter Arbeiten mit Richtlinien im IAM-Benutzerhandbuch. Weitere Informationen zum Erstellen einer benutzerdefinierten Richtlinie finden Sie unter Erstellen von IAM-Richtlinien im IAM-Benutzerhandbuch.
Anmerkung
Sie können einschränken, wie Benutzer mit Elastic Beanstalk-APIs interagieren können. Jedoch gibt es derzeit keine effektive Möglichkeit, mit der Sie Benutzer mit Berechtigungen zum Erstellen der benötigten zugrunde liegenden Ressourcen daran hindern können, weitere Ressourcen in Amazon EC2 und anderen Services zu erstellen.
Betrachten Sie diese Richtlinien als ein effektives Mittel zur Verteilung von Elastic Beanstalk-Verantwortlichkeiten, nicht als ein Mittel zur Sicherung aller zugrundeliegenden Ressourcen.
Im November 2019 führte Elastic Beanstalk die Unterstützung für Amazon EC2-Startvorlagen ein. Dies ist ein neuer Ressourcentyp, den die Auto Scaling-Gruppe Ihrer Umgebung zum Starten von Amazon EC2-Instances verwenden kann, und er erfordert neue Berechtigungen. Die meisten Kunden sollten davon nicht betroffen sein, da Umgebungen weiterhin die Legacy-Ressource verwenden und Konfigurationen starten können, auch wenn Ihre Benutzerrichtlinie hierfür nicht die erforderlichen Berechtigungen besitzt. Bei dem Versuch, eine neue Funktion, für die Amazon EC2-Startvorlagen benötigt werden, mit einer benutzerdefinierten Richtlinie zu verwenden, kann die Erstellung oder Aktualisierung Ihrer Umgebung fehlschlagen. Stellen Sie in diesem Fall sicher, dass Ihre benutzerdefinierte Richtlinie über die folgenden Berechtigungen verfügt.
Erforderliche Berechtigungen für Amazon EC2-Startvorlagen
EC2:CreateLaunchTemplateEC2:CreateLaunchTemplateVersionsEC2:DeleteLaunchTemplateEC2:DeleteLaunchTemplateVersionsEC2:DescribeLaunchTemplateEC2:DescribeLaunchTemplateVersions
Eine IAM-Richtlinie enthält Richtlinienanweisungen, mit denen die zu erteilenden Berechtigungen beschrieben werden. Um eine Richtlinienanweisung für Elastic Beanstalk zu erstellen, müssen Sie wissen, wie die folgenden vier Elemente einer Richtlinienanweisung verwendet werden:
-
Effect gibt an, ob die Aktionen in der Anweisung zugelassen oder verweigert werden.
-
Action gibt die zu steuernden API-Operationen an. Beispielsweise können Sie mit
elasticbeanstalk:CreateEnvironmentden VorgangCreateEnvironmentangeben. Bestimmte Vorgänge, wie z. B. das Erstellen einer Umgebung, erfordern zusätzliche Berechtigungen für die Aktionsausführung. Weitere Informationen finden Sie unter Ressourcen und Bedingungen für Elastic Beanstalk-Aktionen.Anmerkung
Geben Sie zur Verwendung der API-Operation
UpdateTagsForResourceanstelle des Namens der API-Operation eine (oder beide) der folgenden beiden virtuellen Aktionen an:elasticbeanstalk:AddTagsSteuert die Berechtigung zum Aufrufen von
UpdateTagsForResourceund übergeben einer Liste mit Tags, die dem ParameterTagsToAddhinzugefügt werden.elasticbeanstalk:RemoveTagsSteuert die Berechtigung zum Aufrufen von
UpdateTagsForResourceund übergeben einer Liste mit Tag-Schlüsseln, die aus dem ParameterTagsToRemoveentfernt werden.
-
Resource gibt die Ressourcen an, bei denen der Zugriff gesteuert werden soll. Um Elastic Beanstalk-Ressourcen anzugeben, führen Sie die Amazon-Ressourcenname (ARN) jeder Ressource auf.
-
(Optional) Condition gibt Einschränkungen für die in der Anweisung erteilten Berechtigungen an. Weitere Informationen finden Sie unter Ressourcen und Bedingungen für Elastic Beanstalk-Aktionen.
Die folgenden Abschnitte zeigen einige Fälle, in denen Sie eine benutzerdefinierte Benutzerrichtlinie in Betracht ziehen könnten.
Begrenzte Erstellung einer Elastic Beanstalk-Umgebung ermöglichen
Die Richtlinie im folgenden Beispiel ermöglicht einem Benutzer, die CreateEnvironment-Aktion aufzurufen, um eine Umgebung zu erstellen, deren Name mit Test beginnt, mit der angegebenen Anwendung und Anwendungsversion.
{ "Version": "2012-10-17", "Statement": [ { "Sid":"CreateEnvironmentPerm", "Action": [ "elasticbeanstalk:CreateEnvironment" ], "Effect": "Allow", "Resource": [ "arn:aws:elasticbeanstalk:us-east-2:123456789012:environment/My First Elastic Beanstalk Application/Test*" ], "Condition": { "StringEquals": { "elasticbeanstalk:InApplication": ["arn:aws:elasticbeanstalk:us-east-2:123456789012:application/My First Elastic Beanstalk Application"], "elasticbeanstalk:FromApplicationVersion": ["arn:aws:elasticbeanstalk:us-east-2:123456789012:applicationversion/My First Elastic Beanstalk Application/First Release"] } } }, { "Sid":"AllNonResourceCalls", "Action":[ "elasticbeanstalk:CheckDNSAvailability", "elasticbeanstalk:CreateStorageLocation" ], "Effect":"Allow", "Resource":[ "*" ] } ] }
Die obige Richtlinie zeigt, wie man beschränkten Zugang zu Elastic Beanstalk-Operationen gewährt. Um eine Umgebung tatsächlich starten zu können, muss der Benutzer auch über die Berechtigungen zum Erstellen der in der Umgebung benötigten AWS-Ressourcen verfügen. Beispielsweise wird mit der folgenden Richtlinie Zugriff auf den Standardsatz der Ressourcen für eine Webserverumgebung gewährt:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:*", "ecs:*", "elasticloadbalancing:*", "autoscaling:*", "cloudwatch:*", "s3:*", "sns:*", "cloudformation:*", "sqs:*" ], "Resource": "*" } ] }
Zugriff auf Elastic Beanstalk-Protokolle in Amazon S3 ermöglichen
Die Richtlinie im folgenden Beispiel ermöglicht es einem Benutzer, Elastic Beanstalk-Protokolle abzurufen, sie in Amazon S3 bereitzustellen und abzurufen.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:DeleteObject", "s3:GetObjectAcl", "s3:PutObjectAcl" ], "Effect": "Allow", "Resource": "arn:aws:s3:::elasticbeanstalk-*" } ] }
Anmerkung
Um diese Berechtigungen nur auf die Protokollpfade einzuschränken, verwenden Sie das folgende Ressourcenformat.
"arn:aws:s3:::elasticbeanstalk-us-east-2-123456789012/resources/environments/logs/*"
Verwaltung einer bestimmten Elastic Beanstalk-Anwendung ermöglichen
Die Richtlinie im folgenden Beispiel ermöglicht einem Benutzer das Verwalten von Umgebungen und anderen Ressourcen innerhalb einer bestimmten Elastic Beanstalk-Anwendung. Die Richtlinie verweigert Elastic Beanstalk-Aktionen auf Ressourcen anderer Anwendungen und verweigert auch die Erstellung und Löschung von Elastic Beanstalk-Anwendungen.
Anmerkung
Die Richtlinie verweigert nicht den Zugriff auf Ressourcen durch andere Services. Es zeigt eine effektive Möglichkeit zum Verteilen von Verantwortlichkeiten für die Verwaltung von Elastic Beanstalk-Anwendungen über verschiedene Benutzer, nicht als Möglichkeit zum Sichern der zugrundeliegenden Ressourcen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "elasticbeanstalk:CreateApplication", "elasticbeanstalk:DeleteApplication" ], "Resource": [ "*" ] }, { "Effect": "Deny", "Action": [ "elasticbeanstalk:CreateApplicationVersion", "elasticbeanstalk:CreateConfigurationTemplate", "elasticbeanstalk:CreateEnvironment", "elasticbeanstalk:DeleteApplicationVersion", "elasticbeanstalk:DeleteConfigurationTemplate", "elasticbeanstalk:DeleteEnvironmentConfiguration", "elasticbeanstalk:DescribeApplicationVersions", "elasticbeanstalk:DescribeConfigurationOptions", "elasticbeanstalk:DescribeConfigurationSettings", "elasticbeanstalk:DescribeEnvironmentResources", "elasticbeanstalk:DescribeEnvironments", "elasticbeanstalk:DescribeEvents", "elasticbeanstalk:DeleteEnvironmentConfiguration", "elasticbeanstalk:RebuildEnvironment", "elasticbeanstalk:RequestEnvironmentInfo", "elasticbeanstalk:RestartAppServer", "elasticbeanstalk:RetrieveEnvironmentInfo", "elasticbeanstalk:SwapEnvironmentCNAMEs", "elasticbeanstalk:TerminateEnvironment", "elasticbeanstalk:UpdateApplicationVersion", "elasticbeanstalk:UpdateConfigurationTemplate", "elasticbeanstalk:UpdateEnvironment", "elasticbeanstalk:RetrieveEnvironmentInfo", "elasticbeanstalk:ValidateConfigurationSettings" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "elasticbeanstalk:InApplication": [ "arn:aws:elasticbeanstalk:us-east-2:123456789012:application/myapplication" ] } } } ] }
