As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Configurando a proteção contra malware para S3 para seu bucket
Para que a Proteção contra Malware para S3 verifique e (opcionalmente) adicione tags aos seus objetos do S3, você pode usar funções de serviço que tenham as permissões necessárias para realizar ações de verificação de malware em seu nome. Para obter mais informações sobre o uso de perfis de serviço para habilitar a proteção contra malware para o S3, consulte [Service Access](https://docs.aws.amazon.com//guardduty/latest/ug/enable-malware-protection-s3-bucket.html#service-access-s3-malware-protection). Essa função é diferente da função [vinculada ao serviço de Proteção contra GuardDuty Malware](https://docs.aws.amazon.com//guardduty/latest/ug/using-service-linked-roles.html).
Se você preferir usar funções do IAM, você pode anexar uma função do IAM que inclua as permissões necessárias para digitalizar e (opcionalmente) adicionar tags aos seus objetos do S3. GuardDuty em seguida, assume essa função do IAM para realizar essas ações em seu nome. Você precisará desse nome de perfil do IAM no momento de habilitar esse plano de proteção para seu bucket do Amazon S3.
Se você estiver usando perfil do IAM, para toda vez que quiser proteger um bucket do Amazon S3, você deve executar as duas etapas listadas nesta seção.
Para ativar a proteção contra malware para o S3, você precisará de detalhes como o nome do bucket do S3, prefixos de objeto, se quiser focar a proteção em prefixos específicos, e o nome do perfil do IAM com as permissões necessárias.
As etapas permanecem as mesmas, independentemente de você começar a usar o Malware Protection for S3 de forma independente ou ativá-lo como parte do GuardDuty serviço.
**Tópicos**
1. [Criar ou atualizar a política do perfil do IAM](malware-protection-s3-iam-policy-prerequisite.md)
1. [Habilitando a proteção contra malware para S3 para seu bucket](enable-malware-protection-s3-bucket.md)
1. [Solução de problemas de erro de permissões de perfil do IAM](troubleshoot-malware-protection-s3-iam-role-permissions-error.md)
# Habilitando a proteção contra malware para S3 para seu bucket
Esta seção fornece etapas detalhadas sobre como habilitar a Proteção contra Malware para S3 para um bucket em sua própria conta. Antes de continuar, analise as seguintes considerações:
+ Quando você ativa esse plano de proteção usando o GuardDuty console, ele inclui a etapa para criar uma nova função ou usar uma função existente na seção **Acesso ao serviço**.
+ Ao habilitar esse plano de proteção usando a GuardDuty API ou a CLI, é necessário [Criar ou atualizar a política do perfil do IAM](malware-protection-s3-iam-policy-prerequisite.md) antes de continuar.
+ Independentemente de como você habilitar esse plano de proteção, você deve ter as [Permissões para criar um recurso do plano de Proteção contra malware](#malware-protection-s3-permissions-prerequisite) necessárias.
**Considerando o controle de utilização do bucket do Amazon S3**
O controle de utilização do S3 pode limitar a taxa na qual os dados podem ser transferidos de ou para seus buckets do Amazon S3. Isso pode potencialmente atrasar as verificações de malware de seus objetos recém-carregados.
Se você espera grandes volumes de solicitações `GET` e `PUT` para seus buckets do S3, considere implementar medidas para evitar o controle de utilização. Para obter informações sobre como fazer isso, consulte [Prevenir o controle de utilização do Amazon S3](https://docs.aws.amazon.com/athena/latest/ug/performance-tuning-s3-throttling.html) no *Guia do usuário do Amazon Athena*.
**Topics**
## Permissões para criar um recurso do plano de Proteção contra malware
Quando você ativa a Proteção contra Malware para o S3 em um bucket do Amazon S3 GuardDuty , cria um recurso do plano de Proteção contra Malware que atua como um identificador para o plano de proteção do bucket. Se você ainda não estiver usando a [AWS política gerenciada: AmazonGuardDutyFullAccess\$1v2 (recomendado)](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2), adicione as seguintes permissões para criar esse recurso:
+ `guardDuty:CreateMalwareProtectionPlan`
+ `iam:PassRole`
Você pode usar o seguinte exemplo de política personalizada e *placeholder values* substituí-la pelos valores apropriados para sua conta:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::111122223333:role/role-name",
"Condition": {
"StringEquals": {
"iam:PassedToService": "malware-protection-plan.guardduty.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"guardduty:CreateMalwareProtectionPlan"
],
"Resource": "*"
}
]
}
```
------
## Ativando a proteção contra malware para S3 usando o console GuardDuty
As seções a seguir fornecem uma step-by-step explicação passo a passo, como você experimentará no GuardDuty console.
**Para habilitar a Proteção contra Malware para S3 usando o console GuardDuty **
### Entre nos detalhes do bucket do S3
Use as etapas a seguir para fornecer detalhes do bucket do Amazon S3:
1. Faça login no Console de gerenciamento da AWS e abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Usando o Região da AWS seletor no canto superior direito da página, selecione a região em que você deseja ativar a Proteção contra Malware para o S3.
1. No painel de navegação, escolha **Proteção contra Malware para S3**
1. Na seção **Buckets protegidos**, escolha **Habilitar para ativar** a Proteção contra Malware para S3 para um bucket S3 que pertence ao seu Conta da AWS.
1. Em **Inserir detalhes do bucket do S3**, insira o nome do **Bucket do Amazon S3**. Como alternativa, escolha **Browse S3** para selecionar um bucket S3.
O Região da AWS do bucket do S3 e o Conta da AWS local em que você ativa a Proteção contra Malware para o S3 devem ser os mesmos. Por exemplo, se sua conta pertence à região `us-east-1`, a região do bucket do Amazon S3 também deve ser `us-east-1`.
1. Em **Prefixo**, você pode selecionar **Todos os objetos no bucket do S3** ou **Objetos que começam com um prefixo específico**.
+ Selecione **Todos os objetos no bucket do S3** quando quiser GuardDuty escanear todos os objetos recém-carregados no bucket selecionado.
+ Selecione **Objetos que começam com um prefixo específico** quando quiser verificar os objetos recém-carregados que pertencem a um prefixo específico. Essa opção ajuda você a focar no escopo da verificação de malware somente nos prefixos de objeto selecionados. Para obter informações sobre como usar pastas no Amazon S3, consulte [Organizar objetos no console do Amazon S3 usando pastas](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-folders.html) no *Manual do usuário do Amazon S3*.
Escolha **Adicionar prefixo** e insira o prefixo. Você pode adicionar até cinco prefixos.
### Ativar marcação para objetos verificados
Esta é uma etapa **opcional**. Quando você ativa a opção de marcação antes de um objeto ser carregado no seu bucket, depois de concluir a verificação, GuardDuty adicionará uma tag predefinida com a chave como `GuardDutyMalwareScanStatus` e o valor como resultado da verificação. Para usar a Proteção contra Malware para S3 de forma otimizada, recomendamos ativar a opção de adicionar uma tag aos objetos do S3 após o término da verificação. O custo padrão da atribuição de tags de objetos do S3 é aplicável. Para obter mais informações, consulte [Preço e custo de uso da Proteção contra Malware para S3](pricing-malware-protection-for-s3-guardduty.md).
**Por que você deve ativar a marcação?**
+ Ativar a marcação é uma das maneiras de saber sobre o resultado da verificação de malware. Para obter informações sobre o resultado de uma verificação de malware do S3, consulte [Monitorando verificações de objetos do S3 na Proteção contra Malware para S3](monitoring-malware-protection-s3-scans-gdu.md).
+ Configure uma política de controle de acesso baseado em tags (TBAC) em seu bucket do S3 que contém o objeto potencialmente malicioso. Para obter informações sobre como implementar um controle de acesso baseado em tags (TBAC), consulte. [Usando controle de acesso baseado em tags (TBAC) com proteção contra malware para S3](tag-based-access-s3-malware-protection.md)
**Considerações GuardDuty para adicionar uma tag ao seu objeto do S3:**
+ Por padrão. você pode associar até 10 tags a um objeto. Para obter informações, consulte [Categorizando o armazenamento usando tags](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-tagging.html) no *Guia do usuário do Amazon S3*.
Se todas as 10 tags já estiverem em uso, não GuardDuty será possível adicionar a tag predefinida ao objeto digitalizado. GuardDuty também publica o resultado da verificação no seu barramento de EventBridge eventos padrão. Para obter mais informações, consulte [Monitoramento de escaneamentos de objetos do S3 com a Amazon EventBridge](monitor-with-eventbridge-s3-malware-protection.md).
+ Quando a função do IAM selecionada não inclui a permissão GuardDuty para marcar o objeto do S3, mesmo com a marcação ativada para seu bucket protegido, não GuardDuty será possível adicionar uma tag a esse objeto escaneado do S3. Para obter mais informações sobre como criar uma permissão do perfil do IAM para marcação de tag, consulte [Criar ou atualizar a política do perfil do IAM](malware-protection-s3-iam-policy-prerequisite.md).
GuardDuty também publica o resultado da verificação no seu barramento de EventBridge eventos padrão. Para obter mais informações, consulte [Monitoramento de escaneamentos de objetos do S3 com a Amazon EventBridge](monitor-with-eventbridge-s3-malware-protection.md).
**Para selecionar uma opção em **Marcar objetos verificados****
+ Quando **quiser** adicionar tags GuardDuty aos objetos digitalizados do S3, selecione **Marcar** objetos.
+ Quando você **não quiser** adicionar tags GuardDuty aos objetos digitalizados do S3, selecione **Não marcar** objetos.
### Acesso ao serviço
Use as etapas a seguir para escolher um perfil de serviço existente ou criar um novo perfil de serviço que tenha as permissões necessárias para executar ações de verificação de malware em seu nome. Essas ações podem incluir a verificação dos objetos S3 recém-carregados e (opcionalmente) a adição de tags a esses objetos. Para mais informações sobre as permissões que esse perfil terá, consulte [Criar ou atualizar a política do perfil do IAM](malware-protection-s3-iam-policy-prerequisite.md).
Na seção **Acesso ao serviço** selecione uma das seguintes opções:
1. **Criar e usar um novo perfil de serviço** — Você pode criar e usar um novo perfil de serviço que tenha as permissões necessárias para realizar a verificação de malware.
Em **Nome da função**, você pode escolher usar o nome pré-preenchido por GuardDuty ou inserir um nome significativo de sua escolha para identificar a função. Por exemplo, `GuardDutyS3MalwareScanRole`. O nome do perfil deve ter de 1 a 64 caracteres. Os caracteres válidos são a-z, A-Z, 0-9 e caracteres “\$1=,.@-\$1”.
1. **Usar um perfil de serviço existente** — Você pode escolher um perfil de serviço existente na lista de **Nome do perfil de serviço**.
1. Em **Modelo de política**, você pode visualizar a política do seu bucket do S3. Verifique se você inseriu ou selecionou um bucket do S3 na seção de detalhes **Inserir bucket do S3**.
1. Em **Nome do perfil de serviço**, escolha um perfil de serviço na lista de perfis de serviço.
Você pode fazer alterações na política com base em seus requisitos. Para obter mais detalhes sobre como criar ou atualizar um perfil do IAM, consulte [Criar ou atualizar a política de perfil do IAM](https://docs.aws.amazon.com//guardduty/latest/ug/malware-protection-s3-iam-policy-prerequisite.html).
Para problemas com as permissões de perfil do IAM, consulte [Solução de problemas de erro de permissões de perfil do IAM](troubleshoot-malware-protection-s3-iam-role-permissions-error.md).
### (Opcional) Etiquetar ID do plano de proteção contra malware
Essa é uma etapa opcional que ajuda você a adicionar tags ao recurso do plano de proteção contra malware que seriam criadas para seu recurso de bucket do S3.
Cada tag tem duas partes: uma chave de tag e um valor de tag opcional. Para obter mais informações sobre marcação e seus benefícios, consulte Recursos de [marcação AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Para adicionar tags ao seu recurso de plano de proteção contra malware**
1. Digite uma **chave** e, opcionalmente, um **valor** para a tag. A chave e o valor da tag diferenciam maiúsculas de minúsculas. Para obter informações sobre os nomes da chave e do valor da tag, consulte [Limites e requisitos de nomenclatura da tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).
1. Para adicionar mais tags ao seu recurso do plano de Proteção contra Malware, escolha **Adicionar nova tag** e repita a etapa anterior. Você pode adicionar até 50 tags a cada recurso.
1. Escolha **Habilitar**.
## Habilitando a proteção contra malware para S3 usando API/CLI
Esta seção inclui as etapas para quando você deseja habilitar o Malware Protection for S3 programaticamente em seu ambiente. AWS Isso requer o nome do recurso da Amazon (ARN) do perfil do IAM que você criou nesta etapa - [Criar ou atualizar a política do perfil do IAM](malware-protection-s3-iam-policy-prerequisite.md).
**Para habilitar a proteção contra malware para S3 de forma programática usando API/CLI**
+ **Usando a API**
Execute o [CreateMalwareProtectionPlan](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMalwareProtectionPlan.html)para ativar o Malware Protection for S3 em um bucket que pertence à sua própria conta.
+ **Usando AWS CLI**
Dependendo de como você deseja habilitar a Proteção contra Malware para S3, a lista a seguir fornece AWS CLI exemplos de comandos para casos de uso específicos. Ao executar esses comandos, substitua o*placeholder examples shown in red*, pelos valores apropriados para sua conta.
**AWS CLI exemplos de comandos**
+ Use o AWS CLI comando a seguir para ativar o Malware Protection for S3 em um bucket sem marcação para objetos escaneados do S3:
```
aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource "S3Bucket"={"BucketName"="amzn-s3-demo-bucket1"}
```
+ Use o AWS CLI comando a seguir para ativar o Malware Protection for S3 para um bucket com prefixos de objeto específicos e sem marcação para objetos escaneados do S3:
```
aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource '{"S3Bucket":{"BucketName":"amzn-s3-demo-bucket1", "ObjectPrefixes": ["Object1","Object1"]}}'
```
+ Use o AWS CLI comando a seguir para ativar o Malware Protection for S3 para um bucket com a marcação de objetos escaneados do S3 ativada:
```
aws guardduty create-malware-protection-plan --role "arn:aws:iam::111122223333:role/role-name" --protected-resource "S3Bucket"={"BucketName"="amzn-s3-demo-bucket1"} --actions "Tagging"={"Status"="ENABLED"}
```
Depois de executar esses comandos com êxito, um ID exclusivo do plano de Proteção contra Malware será gerado. Para realizar ações como atualizar ou desativar o plano de proteção do seu bucket, você precisará desse ID do plano de proteção contra malware.
Para problemas com as permissões de perfil do IAM, consulte [Solução de problemas de erro de permissões de perfil do IAM](troubleshoot-malware-protection-s3-iam-role-permissions-error.md).
# Criar ou atualizar a política do perfil do IAM
Para que a Proteção contra Malware Protection para S3 verifique e (opcionalmente) adicione tags aos seus objetos do S3, você pode usar perfis de serviço que tenham as permissões necessárias para realizar ações de verificação de malware em seu nome. Para obter mais informações sobre o uso de perfis de serviço para habilitar a proteção contra malware para o S3, consulte [Service Access](https://docs.aws.amazon.com//guardduty/latest/ug/enable-malware-protection-s3-bucket.html#service-access-s3-malware-protection). Essa função é diferente da função [vinculada ao serviço de Proteção contra GuardDuty Malware](https://docs.aws.amazon.com//guardduty/latest/ug/using-service-linked-roles.html).
Se você preferir usar perfis do IAM, pode anexar um perfil do IAM que inclua as permissões necessárias para verificar e (opcionalmente) adicionar tags aos seus objetos do S3. Você deve criar um perfil do IAM ou atualizar o perfil existente para incluir essas permissões. Como essas permissões são necessárias para cada bucket do Amazon S3 para o qual você habilita a proteção contra malware para o S3, você precisa executar essa etapa para cada bucket do Amazon S3 que você deve proteger.
A lista a seguir explica como determinadas permissões ajudam a GuardDuty realizar a verificação de malware em seu nome:
+ Permita que EventBridge as ações da Amazon criem e gerenciem a regra EventBridge gerenciada para que o Malware Protection for S3 possa ouvir suas notificações de objetos do S3.
Para obter mais informações, consulte [as regras EventBridge gerenciadas](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html#eb-rules-managed) da *Amazon no Guia EventBridge do usuário da Amazon*.
+ Permita que o Amazon S3 e EventBridge as ações enviem notificações EventBridge para todos os eventos neste bucket
Para obter mais informações, consulte [Habilitando a Amazon EventBridge](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-event-notifications-eventbridge.html) no Guia do *usuário do Amazon S3*.
+ Permita que as ações do Amazon S3 acessem o objeto S3 carregado e adicionem uma tag predefinida,`GuardDutyMalwareScanStatus`, ao objeto S3 verificado. Ao usar um prefixo de objeto, adicione uma condição `s3:prefix` somente nos prefixos de destino. Isso GuardDuty impede o acesso a todos os objetos do S3 em seu bucket.
+ Permita que as ações-chave do KMS acessem o objeto antes de verificar e colocar um objeto de teste em buckets com a criptografia DSSE-KMS e SSE-KMS compatível.
**nota**
Essa etapa é necessária sempre que você ativa a Proteção de Malware para S3 em um bucket na sua conta. Se você já tem um perfil do IAM, pode atualizar sua política para incluir os detalhes de outro recurso do bucket do Amazon S3. O tópico [Adicionar permissões de política do IAM](#attach-iam-policy-s3-malware-protection) fornece um exemplo de como fazer isso.
Use as etapas a seguir para criar ou atualizar uma política e um perfil do IAM.
**Topics**
+ [Adicionar permissões de política do IAM](#attach-iam-policy-s3-malware-protection)
+ [Adicionar Política de relação de confiança](#add-iam-trust-policy-s3-malware-protection)
## Adicionar permissões de política do IAM
Você pode optar por atualizar a política em linha de um perfil do IAM existente ou criar um novo perfil do IAM. Para obter mais informações sobre as etapas, consulte [Criar perfis do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html), ou [Modificar uma política de permissões de perfil](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-modify_permissions-policy) no *Guia do usuário do IAM*.
Adicione o seguinte modelo de permissões ao seu perfil do IAM preferido. Substitua os seguintes valores de espaço reservado por valores apropriados associados à sua conta:
+ Para*amzn-s3-demo-bucket*, substitua pelo nome do seu bucket do Amazon S3.
Para usar o mesmo perfil do IAM para mais de um recurso de bucket do S3, atualize uma política existente conforme exibido no exemplo a seguir:
```
...
...
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*",
"arn:aws:s3:::amzn-s3-demo-bucket2/*"
],
...
...
```
Certifique-se de adicionar uma vírgula (,) antes de adicionar um novo ARN associado ao bucket do S3. Faça isso sempre que você se referir a um bucket do S3 `Resource` no modelo de política.
+ Para*111122223333*, substitua pelo seu Conta da AWS ID.
+ Para*us-east-1*, substitua pelo seu Região da AWS.
+ Para *APKAEIBAERJR2EXAMPLE*, substitua pelo ID da chave gerenciada pelo cliente. Se seu bucket do S3 for criptografado usando uma AWS KMS chave, adicionaremos as permissões relevantes se você escolher a opção [Criar uma nova função](https://docs.aws.amazon.com//guardduty/latest/ug/enable-malware-protection-s3-bucket.html) ao configurar a proteção contra malware para seu bucket.
```
"Resource": "arn:aws:kms:us-east-1:111122223333:key/*"
```
**Modelo de política de perfil do IAM**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowManagedRuleToSendS3EventsToGuardDuty",
"Effect": "Allow",
"Action": [
"events:PutRule",
"events:DeleteRule",
"events:PutTargets",
"events:RemoveTargets"
],
"Resource": [
"arn:aws:events:us-east-1:111122223333:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*"
],
"Condition": {
"StringLike": {
"events:ManagedBy": "malware-protection-plan.guardduty.amazonaws.com"
}
}
},
{
"Sid": "AllowGuardDutyToMonitorEventBridgeManagedRule",
"Effect": "Allow",
"Action": [
"events:DescribeRule",
"events:ListTargetsByRule"
],
"Resource": [
"arn:aws:events:us-east-1:111122223333:rule/DO-NOT-DELETE-AmazonGuardDutyMalwareProtectionS3*"
]
},
{
"Sid": "AllowPostScanTag",
"Effect": "Allow",
"Action": [
"s3:PutObjectTagging",
"s3:GetObjectTagging",
"s3:PutObjectVersionTagging",
"s3:GetObjectVersionTagging"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
},
{
"Sid": "AllowEnableS3EventBridgeEvents",
"Effect": "Allow",
"Action": [
"s3:PutBucketNotification",
"s3:GetBucketNotification"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Sid": "AllowPutValidationObject",
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/malware-protection-resource-validation-object"
]
},
{
"Sid": "AllowCheckBucketOwnership",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Sid": "AllowMalwareScan",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
},
{
"Sid": "AllowDecryptForMalwareScan",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/APKAEIBAERJR2EXAMPLE",
"Condition": {
"StringLike": {
"kms:ViaService": "s3.us-east-1.amazonaws.com"
}
}
}
]
}
```
------
## Adicionar Política de relação de confiança
Anexe a política a seguir ao seu perfil do IAM: Para obter mais informações, consulte [Modificar uma política de confiança de perfil (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-managingrole_edit-trust-policy).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "malware-protection-plan.guardduty.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Solução de problemas de erro de permissões de perfil do IAM
Ao ativar a Proteção contra malware para o S3, GuardDuty verifique se sua função de serviço do IAM tem as permissões necessárias para validar a propriedade do bucket do Amazon S3. Se essas permissões estiverem ausentes ou configuradas incorretamente, você poderá receber a seguinte mensagem:
```
"message": "The request was rejected because provided IAM role does not have the required permissions to validate S3 bucket ownership."
"type": "InvalidInputException"
```
Os cenários a seguir podem ajudar a solucionar esse erro:
**Permissões de função do IAM ausentes**
+ O perfil do IAM deve ter as permissões necessárias para permitir que a Proteção contra Malware para S3 assuma esse perfil.
+ GuardDuty valida a propriedade do bucket com a `"s3:ListBucket"` permissão. Isso deve estar presente no perfil do IAM que você usa.
Para obter mais informações sobre as permissões, consulte [Criar ou atualizar a política do perfil do IAM](malware-protection-s3-iam-policy-prerequisite.md).
**Disponibilidade do perfil do IAM**
+ Ao criar um novo perfil do IAM, aguarde alguns minutos para que as alterações atinjam a consistência final antes de habilitar a Proteção contra Malware para S3. Se você tentar ativar o plano de proteção imediatamente após criar o perfil, a validação poderá falhar.
+ Para implantações de infraestrutura como código (IaC), GuardDuty recomenda declarar uma dependência de recursos para garantir que a função do IAM alcance uma eventual consistência.
Para exemplos de modelos sobre como fazer isso, consulte [GuardDuty GitHubrepositório.](https://github.com/aws-samples/guardduty-malware-protection/tree/main/cdk)
**Habilitação entre regiões**
Certifique-se de que seu bucket do Amazon S3 esteja na mesma região em que você está habilitando a proteção contra malware para o S3. GuardDuty