翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# IAM ロールのアクセス許可エラーのトラブルシューティング
<a name="troubleshoot-malware-protection-s3-iam-role-permissions-error"></a>

Malware Protection for S3 を有効にすると、GuardDuty は IAM サービスロールに Amazon S3 バケットの所有権を検証するために必要なアクセス許可があるかどうかをチェックします。これらのアクセス許可がないか、正しく設定されていない場合は、以下のメッセージが表示されます。

```
"message": "The request was rejected because provided IAM role does not have the required permissions to validate S3 bucket ownership."
"type": "InvalidInputException"
```

以下のシナリオは、このエラーのトラブルシューティングに役立ちます。

**IAM ロールのアクセス許可がない**  
+ IAM ロールには、Malware Protection for S3 がロールを引き受けられるようにするために必要なアクセス許可が必要です。
+ GuardDuty は、`"s3:ListBucket"` アクセス許可を使用してバケットの所有権を検証します。これは、使用する IAM ロールに存在する必要があります。
アクセス許可については、「[IAM ロールポリシーの作成または更新](malware-protection-s3-iam-policy-prerequisite.md)」を参照してください。

**IAM ロールの可用性**  
+ 新しい IAM ロールを作成するときは、Malware Protection for S3 を有効にする前に、変更が結果整合性に達するまで数分かかります。ロールの作成直後に保護プランを有効にしようとすると、検証が失敗する可能性があります。
+ Infrastructure as Code (IaC) デプロイの場合、GuardDuty は IAM ロールが最終的な一貫性に達するようにリソースの依存関係を宣言することをお勧めします。

  これを行う方法のサンプルテンプレートについては、「[GuardDuty GitHub リポジトリ](https://github.com/aws-samples/guardduty-malware-protection/tree/main/cdk)」を参照してください。

**クロスリージョン有効化**  
Amazon S3 バケットが、GuardDuty で Malware Protection for S3 を有効にするリージョンと同じリージョンにあることを確認します。