Solución de problemas de errores de permisos de roles de IAM
Al activar la protección contra malware para S3, GuardDuty comprueba si su rol de servicio de IAM tiene los permisos necesarios para validar la propiedad del bucket de Amazon S3. Si estos permisos faltan o están mal configurados, es posible que reciba el siguiente mensaje:
"message": "The request was rejected because provided IAM role does not have the required permissions to validate S3 bucket ownership." "type": "InvalidInputException"
Los siguientes escenarios pueden ayudarlo a solucionar este error:
- Faltan permisos de roles de IAM
-
-
El rol de IAM debe tener los permisos necesarios para permitir la protección contra malware para que S3 asuma el rol.
-
GuardDuty valida la propiedad del bucket con el permiso
"s3:ListBucket". Debe estar presente en el rol de IAM que se utiliza.
Para obtener información acerca de los permisos, consulte Crear o actualizar la política del rol de IAM .
-
- Disponibilidad del rol de IAM
-
-
Al crear un nuevo rol de IAM, espere unos minutos para que los cambios alcancen una coherencia final antes de activar la protección contra malware para S3. Si intenta activar el plan de protección inmediatamente después de crear el rol, la validación podría fallar.
-
Para las implementaciones de infraestructura como código (IaC), GuardDuty recomienda declarar una dependencia de recursos para garantizar que el rol de IAM alcance una coherencia final.
Para ver plantillas de ejemplo sobre cómo hacerlo, consulte el repositorio GuardDuty en GitHub
.
-
- Habilitación entre regiones
-
Compruebe que su bucket de Amazon S3 esté en la misma región en la que está activando la protección contra malware para S3 en GuardDuty.
