本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 GuardDuty 托管标签监控 S3 对象扫描
<a name="monitor-enable-s3-object-tagging-malware-protection"></a>

使用启用标记选项， GuardDuty 以便在完成恶意软件扫描后向您的 Amazon S3 对象添加标签。

**启用标记的注意事项**
+  GuardDuty 标记您的 S3 对象时会产生相关的使用成本。有关更多信息，请参阅 [S3 恶意软件防护的定价和使用成本](pricing-malware-protection-for-s3-guardduty.md)。
+ 您必须保留与该存储桶关联的首选 IAM 角色所需的标签权限；否则，将 GuardDuty 无法向扫描的对象添加标签。该 IAM 角色已经包含向已扫描对象添加标签的权限。有关更多信息，请参阅 [创建或更新 IAM 角色策略](malware-protection-s3-iam-policy-prerequisite.md)。
+ 默认情况下，您最多可以将 10 个标签关联到一个 S3 对象。有关更多信息，请参阅 [使用基于标签的访问控制（TBAC）](tag-based-access-s3-malware-protection.md)。

为 S3 存储桶或特定前缀启用标记后，任何新上传的已扫描对象都将具有以下键值对格式的关联标签：

`GuardDutyMalwareScanStatus`:`Scan-Result-Status`

有关可能的标签值的信息，请参阅 [可能的 S3 对象扫描状态和结果状态](monitoring-malware-protection-s3-scans-gdu.md#s3-object-scan-result-value-malware-protection)。

# 对 S3 恶意软件防护中的 S3 对象扫描后标记失败问题进行故障排除
<a name="troubleshoot-s3-post-scan-tag-failures"></a>

仅当您在受保护的存储桶中[为已扫描对象启用标记](enable-malware-protection-s3-bucket.md#tag-scanned-objects-s3-malware-protection)时，本部分的内容才适用于您。

 GuardDuty 尝试向扫描的 S3 对象添加标签时，标记操作可能会导致失败。存储桶发生这种情况的可能原因为 `ACCESS_DENIED` 和 `MAX_TAG_LIMIT_EXCEEDED`。使用以下主题来了解这些扫描后标记失败的可能原因并对其进行故障排除。

**ACCESS\$1DENIED**  
以下列表提供了可能导致此问题的可能原因：  
+ 用于此受保护的 S3 存储桶的 IAM 角色缺少**AllowPostScanTag**权限。验证关联的 IAM 角色是否使用的是此存储桶策略。有关更多信息，请参阅 [创建或更新 IAM 角色策略](malware-protection-s3-iam-policy-prerequisite.md)。
+ 受保护的 S3 存储桶策略不允许 GuardDuty 向此对象添加标签。
+ 已扫描的 S3 对象已不再存在。

**MAX\$1TAG\$1LIMIT\$1EXCEEDED**  
默认情况下，您最多可以将 10 个标签关联到一个 S3 对象。有关更多信息，请参阅下的 “ GuardDuty 向 S3 对象添加标签的注意事项” [为已扫描对象启用标记](enable-malware-protection-s3-bucket.md#tag-scanned-objects-s3-malware-protection)。