本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 对 S3 恶意软件防护中的 S3 对象扫描后标记失败问题进行故障排除 仅当您在受保护的存储桶中[为已扫描对象启用标记](enable-malware-protection-s3-bucket.md#tag-scanned-objects-s3-malware-protection)时,本部分的内容才适用于您。 GuardDuty 尝试向扫描的 S3 对象添加标签时,标记操作可能会导致失败。存储桶发生这种情况的可能原因为 `ACCESS_DENIED` 和 `MAX_TAG_LIMIT_EXCEEDED`。使用以下主题来了解这些扫描后标记失败的可能原因并对其进行故障排除。 **ACCESS\$1DENIED** 以下列表提供了可能导致此问题的可能原因: + 用于此受保护的 S3 存储桶的 IAM 角色缺少**AllowPostScanTag**权限。验证关联的 IAM 角色是否使用的是此存储桶策略。有关更多信息,请参阅 [创建或更新 IAM 角色策略](malware-protection-s3-iam-policy-prerequisite.md)。 + 受保护的 S3 存储桶策略不允许 GuardDuty 向此对象添加标签。 + 已扫描的 S3 对象已不再存在。 **MAX\$1TAG\$1LIMIT\$1EXCEEDED** 默认情况下,您最多可以将 10 个标签关联到一个 S3 对象。有关更多信息,请参阅下的 “ GuardDuty 向 S3 对象添加标签的注意事项” [为已扫描对象启用标记](enable-malware-protection-s3-bucket.md#tag-scanned-objects-s3-malware-protection)。