本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 GuardDuty 受管標籤監控 S3 物件掃描
<a name="monitor-enable-s3-object-tagging-malware-protection"></a>

使用啟用標記選項，讓 GuardDuty 可以在完成惡意軟體掃描後將標籤新增至 Amazon S3 物件。

**啟用標記的考量事項**
+ 當 GuardDuty 標記您的 S3 物件時，會產生相關的使用成本。如需詳細資訊，請參閱[S3 惡意軟體防護的定價和使用成本](pricing-malware-protection-for-s3-guardduty.md)。
+ 您必須保留與此儲存貯體相關聯的偏好 IAM 角色所需的標記許可；否則，GuardDuty 無法將標籤新增至掃描的物件。IAM 角色已包含將標籤新增至掃描 S3 物件的許可。如需詳細資訊，請參閱[建立或更新 IAM 角色政策](malware-protection-s3-iam-policy-prerequisite.md)。
+ 根據預設，您最多可以將 10 個標籤與 S3 物件建立關聯。如需詳細資訊，請參閱[使用標籤型存取控制 (TBAC)](tag-based-access-s3-malware-protection.md)。

啟用 S3 儲存貯體或特定字首的標記後，任何新上傳且已掃描的物件都會有下列鍵值對格式的關聯標籤：

`GuardDutyMalwareScanStatus`:`Scan-Result-Status`

如需潛在標籤值的資訊，請參閱 [S3 物件潛在掃描狀態和結果狀態](monitoring-malware-protection-s3-scans-gdu.md#s3-object-scan-result-value-malware-protection)。

# 針對 S3 惡意軟體防護中的 S3 物件掃描後標籤失敗進行故障診斷
<a name="troubleshoot-s3-post-scan-tag-failures"></a>

本節僅適用於您在受保護的儲存貯[啟用掃描物件的標記](enable-malware-protection-s3-bucket.md#tag-scanned-objects-s3-malware-protection)體中的情況。

當 GuardDuty 嘗試將標籤新增至掃描的 S3 物件時，標記動作可能會導致失敗。您的儲存貯體可能發生這種情況的潛在原因是 `ACCESS_DENIED`和 `MAX_TAG_LIMIT_EXCEEDED`。使用以下主題來了解這些掃描後標籤失敗原因的潛在原因，並進行故障診斷。

**ACCESS\$1DENIED**  
下列清單提供可能導致此問題的潛在原因：  
+ 用於此受保護 S3 儲存貯體的 IAM 角色缺少 **AllowPostScanTag** 許可。確認相關聯的 IAM 角色使用此儲存貯體政策。如需詳細資訊，請參閱[建立或更新 IAM 角色政策](malware-protection-s3-iam-policy-prerequisite.md)。
+ 受保護的 S3 儲存貯體政策不允許 GuardDuty 將標籤新增至此物件。
+ 掃描的 S3 物件不再存在。

**MAX\$1TAG\$1LIMIT\$1EXCEEDED**  
根據預設，您最多可以將 10 個標籤與 S3 物件建立關聯。如需詳細資訊，請參閱 下的 GuardDuty 將標籤新增至 S3 物件的考量[啟用掃描物件的標記](enable-malware-protection-s3-bucket.md#tag-scanned-objects-s3-malware-protection)。