

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Supervisión de los escaneos de objetos de S3 con etiquetas GuardDuty gestionadas
<a name="monitor-enable-s3-object-tagging-malware-protection"></a>

Utilice la opción de habilitar el etiquetado para GuardDuty poder añadir etiquetas a su objeto de Amazon S3 después de completar el análisis de malware.

**Consideraciones para habilitar el etiquetado**
+ Al GuardDuty etiquetar sus objetos de S3, hay un costo de uso asociado. Para obtener más información, consulte [Precios y costo de uso de la protección contra malware para S3](pricing-malware-protection-for-s3-guardduty.md).
+ Debe conservar los permisos de etiquetado necesarios para su función de IAM preferida asociada a este segmento; de lo contrario, no GuardDuty podrá añadir etiquetas a los objetos escaneados. El rol de IAM ya incluye los permisos para agregar etiquetas a los objetos de S3 analizados. Para obtener más información, consulte [Crear o actualizar la política del rol de IAM](malware-protection-s3-iam-policy-prerequisite.md).
+ De forma predeterminada, puede asociar hasta 10 etiquetas a un objeto de S3. Para obtener más información, consulte [Utilizar el control de acceso basado en etiquetas (TBAC)](tag-based-access-s3-malware-protection.md).

Después de habilitar el etiquetado para un bucket de S3 o prefijos específicos, cualquier objeto nuevo cargado que sea analizado tendrá una etiqueta asociada en el siguiente formato de par de clave y valor:

`GuardDutyMalwareScanStatus`:`Scan-Result-Status`

Para obtener información sobre los posibles valores de las etiquetas, consulte [Estado potencial de análisis de objeto de S3 y estado del producto](monitoring-malware-protection-s3-scans-gdu.md#s3-object-scan-result-value-malware-protection).

# Solucionar problemas de errores de etiquetas posteriores al análisis de objetos de S3 en la protección contra malware para S3
<a name="troubleshoot-s3-post-scan-tag-failures"></a>

Esta sección solo se aplica si ha [Habilite el etiquetado para los objetos analizados](enable-malware-protection-s3-bucket.md#tag-scanned-objects-s3-malware-protection) en el bucket protegido.

Al GuardDuty intentar añadir una etiqueta al objeto de S3 escaneado, la acción de etiquetar puede provocar un error. Las posibles razones por las que esto puede ocurrir en el bucket son `ACCESS_DENIED` y `MAX_TAG_LIMIT_EXCEEDED`. Utilice los siguientes temas para comprender las posibles razones de estos errores en el etiquetado posterior al análisis y para solucionarlos.

**ACCESS\$1DENIED**  
La siguiente lista proporciona posibles razones que pueden causar este problema:  
+ Falta el permiso para la función de IAM utilizada para este bucket de S3 protegido. **AllowPostScanTag** Verificar que el rol de IAM asociado utilice esta política de bucket. Para obtener más información, consulte [Crear o actualizar la política del rol de IAM](malware-protection-s3-iam-policy-prerequisite.md).
+ La política de bucket de S3 protegido no permite añadir etiquetas GuardDuty a este objeto.
+ El objeto de S3 analizado ya no existe.

**MAX\$1TAG\$1LIMIT\$1EXCEEDED**  
De forma predeterminada, puede asociar hasta 10 etiquetas a un objeto de S3. Para obtener más información, consulte la sección Consideraciones sobre GuardDuty cómo añadir una etiqueta a un objeto [Habilite el etiquetado para los objetos analizados](enable-malware-protection-s3-bucket.md#tag-scanned-objects-s3-malware-protection) de S3.