对 IAM 角色权限错误进行问题排查
启用 S3 恶意软件防护时,GuardDuty 会检查您的 IAM 服务角色是否具有验证 Amazon S3 存储桶所有权的必要权限。如果这些权限缺失或配置错误,您可能会收到以下消息:
"message": "The request was rejected because provided IAM role does not have the required permissions to validate S3 bucket ownership." "type": "InvalidInputException"
以下场景可帮助您对此错误进行问题排查:
- IAM 角色权限缺失:
-
-
IAM 角色必须具有所需权限才能允许 S3 恶意软件防护代入该角色。
-
GuardDuty 使用
"s3:ListBucket"权限验证存储桶所有权。您使用的 IAM 角色必须具有此权限。
有关权限的信息,请参阅创建或更新 IAM 角色策略。
-
- IAM 角色可用性
-
-
创建新的 IAM 角色时,请等待几分钟让更改达到最终一致性,然后再启用 S3 恶意软件防护。如果在创建角色后立即尝试启用防护计划,验证可能会失败。
-
对于基础设施即代码(IaC)部署,GuardDuty 建议声明资源依赖关系,确保 IAM 角色达到最终一致性。
有关如何执行此操作的示例模板,请参阅 GuardDuty GitHub 存储库
。
-
- 跨区域启用
-
确保您的 Amazon S3 存储桶位于您在 GuardDDuty 中启用 S3 恶意软件防护的相同区域中。
