기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
에 대한 ID 기반 정책 예제 AWS Audit Manager
기본적으로 사용자 및 역할에는 Audit Manager 리소스를 생성하거나 수정할 수 있는 권한이 없습니다. 또한 AWS Management Console, AWS Command Line Interface (AWS CLI) 또는 AWS API를 사용하여 작업을 수행할 수 없습니다. 사용자에게 사용자가 필요한 리소스에서 작업을 수행할 권한을 부여하려면 IAM 관리자가 IAM 정책을 생성하면 됩니다. 그런 다음 관리자가 IAM 정책을 역할에 추가하고, 사용자가 역할을 맡을 수 있습니다.
이러한 예제 JSON 정책 문서를 사용하여 IAM ID 기반 정책을 생성하는 방법을 알아보려면 IAM 사용 설명서의 IAM 정책 생성을 참조하십시오.
각 리소스 유형에 대한 ARN 형식을 포함하여 AWS Audit Manager에서 정의한 작업 및 리소스 유형에 대한 자세한 내용은 서비스 인증 참조에서 AWS Audit Manager에 대한 작업, 리소스 및 조건 키를 참조하세요.
목차
정책 모범 사례
ID 기반 정책에 따라 계정에서 사용자가 Audit Manager 리소스를 생성, 액세스 또는 삭제할 수 있는지 여부가 결정됩니다. 이 작업으로 인해 AWS 계정에 비용이 발생할 수 있습니다. ID 기반 정책을 생성하거나 편집할 때는 다음 지침과 권장 사항을 따릅니다.
-
AWS 관리형 정책으로 시작하고 최소 권한 권한으로 이동 — 사용자와 워크로드에 권한을 부여하려면 여러 일반적인 사용 사례에 권한을 부여하는 AWS 관리형 정책을 사용하세요. 해당 내용은 에서 사용할 수 있습니다. AWS 계정사용 사례에 맞는 AWS 고객 관리형 정책을 정의하여 권한을 더 줄이는 것이 좋습니다. 자세한 내용은 IAM 사용 설명서의 AWS 관리형 정책 또는 직무에 대한AWS 관리형 정책을 참조하십시오.
-
최소 권한 적용 – IAM 정책을 사용하여 권한을 설정하는 경우, 태스크를 수행하는 데 필요한 권한만 부여합니다. 이렇게 하려면 최소 권한으로 알려진 특정 조건에서 특정 리소스에 대해 수행할 수 있는 작업을 정의합니다. IAM을 사용하여 권한을 적용하는 방법에 대한 자세한 정보는 IAM 사용 설명서의 IAM의 정책 및 권한을 참조하십시오.
-
IAM 정책의 조건을 사용하여 액세스 추가 제한 – 정책에 조건을 추가하여 작업 및 리소스에 대한 액세스를 제한할 수 있습니다. 예를 들어 SSL을 사용하여 모든 요청을 전송해야 한다고 지정하는 정책 조건을 작성할 수 있습니다. 예를 AWS 서비스들어 특정 작업을 통해 서비스 작업을 사용하는 경우 조건을 사용하여 서비스 작업에 대한 액세스 권한을 부여할 수도 AWS CloudFormation있습니다. 자세한 내용은 IAM 사용 설명서의 IAM JSON 정책 요소: 조건을 참조하십시오.
-
IAM Access Analyzer를 통해 IAM 정책을 확인하여 안전하고 기능적인 권한 보장 - IAM Access Analyzer에서는 IAM 정책 언어(JSON)와 모범 사례가 정책에서 준수되도록 신규 및 기존 정책을 확인합니다. IAM Access Analyzer는 100개 이상의 정책 확인 항목과 실행 가능한 추천을 제공하여 안전하고 기능적인 정책을 작성하도록 돕습니다. 자세한 내용은 IAM 사용 설명서의 IAM Access Analyzer 정책 검증을 참조하십시오.
-
멀티 팩터 인증 (MFA) 필요 - IAM 사용자 또는 루트 사용자가 필요한 시나리오가 있는 경우 추가 보안을 위해 AWS 계정 MFA를 활성화하십시오. API 작업을 직접적으로 호출할 때 MFA가 필요하면 정책에 MFA 조건을 추가합니다. 자세한 내용은 IAM 사용 설명서의 MFA 보호 API 액세스 구성을 참조하십시오.
IAM의 모범 사례에 대한 자세한 내용은 IAM 사용 설명서의 IAM의 보안 모범 사례를 참조하십시오.
Audit Manager를 활성화하는 데 필요한 최소 권한 허용
이 예제에서는 관리자 역할이 없는 계정이 AWS Audit Manager을 활성화하도록 허용하는 방법을 보여줍니다.
참고
여기서 제공하는 것은 Audit Manager를 활성화하는 데 필요한 최소 권한을 부여하는 기본 정책입니다. 다음 정책의 모든 권한이 필요합니다. 이 정책 중 일부를 생략하면 Audit Manager를 사용할 수 없습니다.
시간을 내어 특정 요구 사항에 맞게 권한을 사용자 지정하는 것이 좋습니다. 도움이 필요한 경우 관리자 또는 AWS Support
Audit Manager를 활성화하는 데 필요한 최소 액세스 권한을 부여하려면 다음 권한을 사용하십시오.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "auditmanager:*", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "auditmanager.amazonaws.com" } } }, { "Sid": "CreateEventsAccess", "Effect": "Allow", "Action": [ "events:PutRule" ], "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "events:source": [ "aws.securityhub" ] } } }, { "Sid": "EventsAccess", "Effect": "Allow", "Action": [ "events:PutTargets" ], "Resource": "arn:aws:events:*:*:rule/AuditManagerSecurityHubFindingsReceiver" }, { "Effect": "Allow", "Action": "kms:ListAliases", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "auditmanager.amazonaws.com" } } } ] }
또는 API만 호출하는 사용자에게 최소 콘솔 권한을 허용할 필요는 없습니다. AWS CLI AWS 그 대신, 수행하려는 API 작업과 일치하는 작업에만 액세스할 수 있도록 합니다.
사용자에게 AWS Audit Manager에 대한 전체 관리자 액세스를 허용합니다.
다음 예제 정책은 관리자에게 전체 액세스 권한을 AWS Audit Manager부여합니다.
예 1(관리형 정책,AWSAuditManagerAdministratorAccess)
AWSAuditManagerAdministratorAccess정책에는 Audit Manager를 사용하거나 사용하지 않도록 설정하는 기능, Audit Manager 설정을 변경하는 기능, 평가, 프레임워크, 제어 및 평가 보고서와 같은 모든 Audit Manager 리소스를 관리하는 기능이 포함됩니다.
예 2(평가 보고서 대상 권한)
이 정책은 특정 S3 버킷에 액세스하고, 버킷에 파일을 추가하고 버킷에서 파일을 삭제할 수 있는 권한을 부여합니다. 이렇게 하면 지정된 버킷을 Audit Manager에서 평가 보고서 대상으로 사용할 수 있습니다.
placeholder text를 사용자 고유의 정보로 바꿉니다. 평가 보고서 대상으로 사용하는 S3 버킷과 평가 보고서를 암호화하는 데 사용하는 KMS 키를 포함하십시오.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:ListBucket", "s3:DeleteObject", "s3:GetBucketLocation", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:::DOC-EXAMPLE-DESTINATION-BUCKET/*" } ] }, { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" } ] }
예 3(대상 권한 내보내기)
다음 정책은 증거 찾기 쿼리 결과를 지정된 S3 버킷에 CloudTrail 전달할 수 있도록 허용합니다. 보안 모범 사례로서 IAM 글로벌 조건 키는 이벤트 데이터 스토어에 대해서만 S3 버킷에 CloudTrail 쓰도록 하는 aws:SourceArn 데 도움이 됩니다.
다음과 같이 자리 표시자 텍스트를 사용자 고유의 정보로 바꾸십시오.
-
DOC-EXAMPLE-DESTINATION-BUCKET을 내보내기 대상으로 사용하는 S3 버킷으로 바꿉니다.
-
myQueryRunning지역을 구성에 AWS 리전 적합한 지역으로교체하십시오. -
내 계정AWS 계정 ID를 사용된 ID로 바꾸십시오. CloudTrail S3 버킷의 AWS 계정 ID와 동일하지 않을 수 있습니다. 조직 이벤트 데이터 저장소인 경우 관리 계정에는 AWS 계정 를 사용해야 합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": [ "s3:PutObject*", "s3:Abort*" ], "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-DESTINATION-BUCKET", "arn:aws:s3:::DOC-EXAMPLE-DESTINATION-BUCKET/*" ], "Condition": { "StringEquals": { "AWS:SourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*" } } }, { "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::DOC-EXAMPLE-DESTINATION-BUCKET", "Condition": { "StringEquals": { "AWS:SourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*" } } }, { "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": [ "kms:Decrypt*", "kms:GenerateDataKey*" ], "Resource": "*" }, { "Effect": "Allow", "Principal": { "Service": "s3.amazonaws.com" }, "Action": [ "kms:Decrypt*", "kms:GenerateDataKey*" ], "Resource": "*" } ] }
예 4(증거 찾기를 활성화할 수 있는 권한)
증거 찾기 기능을 활성화하고 사용하려면 다음 권한 정책이 필요합니다. 이 정책 설명을 통해 Audit Manager는 CloudTrail Lake 이벤트 데이터 저장소를 생성하고 검색 쿼리를 실행할 수 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ManageCloudTrailLakeQueryAccess", "Effect": "Allow", "Action": [ "cloudtrail:StartQuery", "cloudtrail:DescribeQuery", "cloudtrail:GetQueryResults", "cloudtrail:CancelQuery" ], "Resource": "arn:aws:cloudtrail:*:*:eventdatastore/*" }, { "Sid": "ManageCloudTrailLakeAccess", "Effect": "Allow", "Action": [ "cloudtrail:CreateEventDataStore" ], "Resource": "arn:aws:cloudtrail:*:*:eventdatastore/*" } ] }
예제 5(증거 찾기를 비활성화할 수 있는 권한)
이 예제 정책은 Audit Manager에서 증거 찾기 기능을 비활성화할 수 있는 권한을 부여합니다. 여기에는 기능을 처음 활성화했을 때 생성된 이벤트 데이터 저장소를 삭제하는 작업이 포함됩니다.
이 정책을 사용하기 전에 자리 표시자 텍스트를 사용자의 고유한 정보로 바꿉니다. 증거 찾기를 활성화했을 때 생성된 이벤트 데이터 저장소의 UUID를 지정해야 합니다. Audit Manager 설정에서 이벤트 데이터 스토어의 ARN을 검색할 수 있습니다. 자세한 내용은 AWS Audit Manager API GetSettings참조를 참조하십시오.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudtrail:DeleteEventDataStore", "cloudtrail:UpdateEventDataStore" ], "Resource": "arn:aws:cloudtrail:::event-data-store-UUID" } ] }
AWS Audit Manager에 대한 사용자 관리 액세스 허용
이 예에서는 AWS Audit Manager에 대한 비관리자 관리 액세스를 허용하는 방법을 보여줍니다.
이 정책은 모든 Audit Manager 리소스(평가, 프레임워크 및 제어)를 관리할 수 있는 권한을 부여하지만 Audit Manager를 사용하거나 사용하지 않도록 설정하거나 Audit Manager 설정을 수정할 수 있는 권한은 부여하지 않습니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AuditManagerAccess", "Effect": "Allow", "Action": [ "auditmanager:AssociateAssessmentReportEvidenceFolder", "auditmanager:BatchAssociateAssessmentReportEvidence", "auditmanager:BatchCreateDelegationByAssessment", "auditmanager:BatchDeleteDelegationByAssessment", "auditmanager:BatchDisassociateAssessmentReportEvidence", "auditmanager:BatchImportEvidenceToAssessmentControl", "auditmanager:CreateAssessment", "auditmanager:CreateAssessmentFramework", "auditmanager:CreateAssessmentReport", "auditmanager:CreateControl", "auditmanager:DeleteControl", "auditmanager:DeleteAssessment", "auditmanager:DeleteAssessmentFramework", "auditmanager:DeleteAssessmentFrameworkShare", "auditmanager:DeleteAssessmentReport", "auditmanager:DisassociateAssessmentReportEvidenceFolder", "auditmanager:GetAccountStatus", "auditmanager:GetAssessment", "auditmanager:GetAssessmentFramework", "auditmanager:GetControl", "auditmanager:GetServicesInScope", "auditmanager:GetSettings", "auditmanager:GetAssessmentReportUrl", "auditmanager:GetChangeLogs", "auditmanager:GetDelegations", "auditmanager:GetEvidence", "auditmanager:GetEvidenceByEvidenceFolder", "auditmanager:GetEvidenceFileUploadUrl", "auditmanager:GetEvidenceFolder", "auditmanager:GetEvidenceFoldersByAssessment", "auditmanager:GetEvidenceFoldersByAssessmentControl", "auditmanager:GetInsights", "auditmanager:GetInsightsByAssessment", "auditmanager:GetOrganizationAdminAccount", "auditmanager:ListAssessments", "auditmanager:ListAssessmentReports", "auditmanager:ListControls", "auditmanager:ListKeywordsForDataSource", "auditmanager:ListNotifications", "auditmanager:ListAssessmentControlInsightsByControlDomain", "auditmanager:ListAssessmentFrameworks", "auditmanager:ListAssessmentFrameworkShareRequests", "auditmanager:ListControlDomainInsights", "auditmanager:ListControlDomainInsightsByAssessment", "auditmanager:ListControlInsightsByControlDomain", "auditmanager:ListTagsForResource", "auditmanager:StartAssessmentFrameworkShare", "auditmanager:TagResource", "auditmanager:UntagResource", "auditmanager:UpdateControl", "auditmanager:UpdateAssessment", "auditmanager:UpdateAssessmentControl", "auditmanager:UpdateAssessmentControlSetStatus", "auditmanager:UpdateAssessmentFramework", "auditmanager:UpdateAssessmentFrameworkShare", "auditmanager:UpdateAssessmentStatus", "auditmanager:ValidateAssessmentReportIntegrity" ], "Resource": "*" }, { "Sid": "ControlCatalogAccess", "Effect": "Allow", "Action": [ "controlcatalog:ListCommonControls", "controlcatalog:ListDomains", "controlcatalog:ListObjectives" ], "Resource": "*" }, { "Sid": "OrganizationsAccess", "Effect": "Allow", "Action": [ "organizations:ListAccountsForParent", "organizations:ListAccounts", "organizations:DescribeOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:ListParents", "organizations:ListChildren" ], "Resource": "*" }, { "Sid": "IAMAccess", "Effect": "Allow", "Action": [ "iam:GetUser", "iam:ListUsers", "iam:ListRoles" ], "Resource": "*" }, { "Sid": "S3Access", "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "KmsAccess", "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:ListKeys", "kms:ListAliases" ], "Resource": "*" }, { "Sid": "SNSAccess", "Effect": "Allow", "Action": [ "sns:ListTopics" ], "Resource": "*" }, { "Sid": "TagAccess", "Effect": "Allow", "Action": [ "tag:GetResources" ], "Resource": "*" } ] }
사용자에게 읽기 전용 액세스 허용 AWS Audit Manager
이 정책은 평가, 프레임워크, 제어 등의 AWS Audit Manager 리소스에 대한 읽기 전용 액세스를 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AuditManagerAccess", "Effect": "Allow", "Action": [ "auditmanager:Get*", "auditmanager:List*" ], "Resource": "*" } ] }
사용자가 자신의 고유한 권한을 볼 수 있도록 허용
이 예제는 IAM 사용자가 자신의 사용자 ID에 연결된 인라인 및 관리형 정책을 볼 수 있도록 허용하는 정책을 생성하는 방법을 보여줍니다. 이 정책에는 콘솔에서 또는 API를 사용하여 프로그래밍 방식으로 이 작업을 완료할 수 있는 권한이 포함됩니다. AWS CLI AWS
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
Amazon SNS 주제에 알림 전송 허용 AWS Audit Manager
이 예제의 정책은 Audit Manager에 기존 Amazon SNS 주제에 알림을 보낼 수 있는 권한을 부여합니다.
다음 정책에서 권한을 가져오는 보안 주체는 Audit Manager 서비스 주체인 auditmanager.amazonaws.com입니다. 정책 문의 주체가 AWS 서비스 주체인 경우, 정책의 aws:SourceArn 또는 aws:SourceAccount 전역 조건 키를 사용하는 것이 좋습니다. 이러한 글로벌 조건 컨텍스트 키를 사용하면 대리인이 혼동되는 시나리오를 방지하는 데 도움이 될 수 있습니다.
예제 1(SNS 주제에 대한 권한)
Audit Manager는 이 정책 설명을 사용하여 지정된 SNS 주제에 이벤트를 게시할 수 있습니다. 지정된 SNS 주제에 대한 게시 요청은 모두 정책 조건을 충족해야 합니다.
이 정책을 사용하려면 자리 표시자 텍스트를 사용자의 고유한 정보로 바꿉니다. 다음에 유의하세요.
-
이 정책에서
aws:SourceArn조건 키를 사용하는 경우 값은 알림을 보내는 Audit Manager 리소스의 ARN이어야 합니다. 아래 예시에서는aws:SourceArn가 리소스 ID에 와일드카드(*)를 사용합니다. 이렇게 하면 모든 Audit Manager 리소스에 대해 Audit Manager에서 오는 모든 요청이 허용됩니다.aws:SourceArn글로벌 조건 키를 사용하면StringLike또는ArnLike조건 연산자를 사용할 수 있습니다. 모범 사례로ArnLike를 사용하는 방법이 가장 좋습니다. -
aws:SourceAccount조건 키를 사용하는 경우StringEquals또는StringLike조건 연산자를 사용할 수 있습니다. 모범 사례로StringEquals를 사용하여 최소 권한을 구현하는 것이 가장 좋습니다. -
aws:SourceAccount와aws:SourceArn를 모두 사용하는 경우 계정 값에 동일한 계정 ID가 표시되어야 합니다.
{ "Version": "2012-10-17", "Statement": { "Sid": "AllowAuditManagerToUseSNSTopic", "Effect": "Allow", "Principal": { "Service": "auditmanager.amazonaws.com" }, "Action": "SNS:Publish", "Resource": "arn:aws:sns:region:accountID:topicName", "Condition": { "StringEquals": { "aws:SourceAccount": "accountID" }, "ArnLike": { "aws:SourceArn": "arn:aws:auditmanager:region:accountID:*" } } } }
다음 대체 예시에서는 StringLike 조건 연산자와 함께 aws:SourceArn 조건 키만 사용합니다.
"Condition": { "StringLike": { "aws:SourceArn": "arn:aws:auditmanager:region:accountID:*" } }
다음 대체 예제에서는 StringLike 조건 연산자와 함께 aws:SourceAccount 조건 키만 사용합니다.
"Condition": { "StringLike": { "aws:SourceAccount": "accountID" } }
예제 2(SNS 주제에 연결된 KMS 키에 대한 권한)
이 정책 설명을 통해 Audit Manager는 KMS 키를 사용하여 SNS 주제를 암호화하는 데 사용하는 데이터 키를 생성할 수 있습니다. 지정된 작업에 KMS 키를 사용하려는 모든 요청은 정책 조건을 충족해야 합니다.
이 정책을 사용하려면 자리 표시자 텍스트를 사용자의 고유한 정보로 바꿉니다. 다음에 유의하세요.
-
이 정책에서
aws:SourceArn조건 키를 사용하는 경우 값은 암호화되는 리소스의 ARN이어야 합니다. 예를 들어, 이 경우에는 계정의 SNS 주제입니다. 값을 ARN 또는 와일드카드 문자(*)가 있는 ARN 또는 ARN 패턴으로 설정합니다.aws:SourceArn조건 키와 함께StringLike또는ArnLike조건 연산자를 사용할 수 있습니다. 모범 사례로ArnLike를 사용하는 것이 좋습니다. -
aws:SourceAccount조건 키를 사용하는 경우StringEquals또는StringLike조건 연산자를 사용할 수 있습니다. 모범 사례로StringEquals를 사용하여 최소 권한을 구현하는 것이 가장 좋습니다. SNS 주제의 ARN을 모르면aws:SourceAccount을 사용할 수 있습니다. -
aws:SourceAccount와aws:SourceArn를 모두 사용하는 경우 계정 값에 동일한 계정 ID가 표시되어야 합니다.
{ "Version": "2012-10-17", "Statement": { "Sid": "AllowAuditManagerToUseKMSKey", "Effect": "Allow", "Principal": { "Service": "auditmanager.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:region:accountID:key/*", "Condition": { "StringEquals": { "aws:SourceAccount": "accountID" } "ArnLike": { "aws:SourceArn": "arn:aws:sns:region:accountID:topicName" } } } ] }
다음 대체 예시에서는 StringLike 조건 연산자와 함께 aws:SourceArn 조건 키만 사용합니다.
"Condition": { "StringLike": { "aws:SourceArn": "arn:aws:sns:region:accountID:topicName" } }
다음 대체 예제에서는 StringLike 조건 연산자와 함께 aws:SourceAccount 조건 키만 사용합니다.
"Condition": { "StringLike": { "aws:SourceAccount": "accountID" } }
사용자가 증거 찾기에서 검색 쿼리를 실행하도록 허용
다음 정책은 CloudTrail Lake 이벤트 데이터 스토어에 쿼리를 수행할 권한을 부여합니다. 이 권한 정책은 증거 찾기 기능을 사용하려는 경우 필요합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ManageCloudTrailLakeQueryAccess", "Effect": "Allow", "Action": [ "cloudtrail:StartQuery", "cloudtrail:DescribeQuery", "cloudtrail:GetQueryResults", "cloudtrail:CancelQuery" ], "Resource": "*" } ] }
