Solução de problemas de erro de permissões de perfil do IAM
Ao ativar a Proteção contra Malware para S3, o GuardDuty verifica se seu perfil de serviço do IAM tem as permissões necessárias para validar a propriedade do bucket do Amazon S3. Se essas permissões estiverem ausentes ou configuradas incorretamente, você poderá receber a seguinte mensagem:
"message": "The request was rejected because provided IAM role does not have the required permissions to validate S3 bucket ownership." "type": "InvalidInputException"
Os cenários a seguir podem ajudar a solucionar esse erro:
- Permissões de perfil do IAM ausentes
-
-
O perfil do IAM deve ter as permissões necessárias para permitir que a Proteção contra Malware para S3 assuma esse perfil.
-
O GuardDuty valida a propriedade do bucket com a permissão
"s3:ListBucket". Isso deve estar presente no perfil do IAM que você usa.
Para obter mais informações sobre as permissões, consulte Criar ou atualizar a política do perfil do IAM.
-
- Disponibilidade do perfil do IAM
-
-
Ao criar um novo perfil do IAM, aguarde alguns minutos para que as alterações atinjam a consistência final antes de habilitar a Proteção contra Malware para S3. Se você tentar ativar o plano de proteção imediatamente após criar o perfil, a validação poderá falhar.
-
Para implantações de infraestrutura como código (IaC), o GuardDuty recomenda declarar uma dependência de recursos para garantir que o perfil do IAM alcance uma eventual consistência.
Para exemplos de modelos sobre como fazer isso, consulte o repositório do GuardDuty no GitHub
.
-
- Habilitação entre regiões
-
Um bucket do Amazon S3 deve existir na mesma região em que você está habilitando a Proteção contra Malware para S3 no GuardDuty.
