本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # IAM 角色許可錯誤的故障診斷 啟用 S3 的惡意軟體防護時,GuardDuty 會檢查您的 IAM 服務角色是否具有驗證 Amazon S3 儲存貯體擁有權所需的許可。如果這些許可遺失或設定不正確,您可能會收到下列訊息: ``` "message": "The request was rejected because provided IAM role does not have the required permissions to validate S3 bucket ownership." "type": "InvalidInputException" ``` 下列案例可協助您疑難排解此錯誤: **缺少 IAM 角色許可** + IAM 角色必須具備必要的許可,才能允許 S3 的惡意軟體防護擔任該角色。 + GuardDuty 會使用 `"s3:ListBucket"`許可驗證儲存貯體擁有權。這必須存在於您使用的 IAM 角色中。 如需許可的相關資訊,請參閱 [建立或更新 IAM 角色政策](malware-protection-s3-iam-policy-prerequisite.md)。 **IAM 角色可用性** + 當您建立新的 IAM 角色時,請等待幾分鐘讓變更達到最終一致性,然後再啟用適用於 S3 的惡意軟體防護。如果您在建立角色後立即嘗試啟用保護計畫,驗證可能會失敗。 + 對於基礎設施即程式碼 (IaC) 部署,GuardDuty 建議宣告資源相依性,以確保 IAM 角色達到最終一致性。 如需如何執行此操作的範例範本,請參閱 [GuardDuty GitHub 儲存庫](https://github.com/aws-samples/guardduty-malware-protection/tree/main/cdk)。 **跨區域啟用** 確保您的 Amazon S3 儲存貯體位於您在 GuardDuty 中為 S3 啟用惡意軟體防護的相同區域。