Solución de problemas de errores de permisos de roles de IAM - Amazon GuardDuty

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Solución de problemas de errores de permisos de roles de IAM

Al habilitar Malware Protection para S3, GuardDuty comprueba si su función de servicio de IAM tiene los permisos necesarios para validar la propiedad del bucket de Amazon S3. Si estos permisos faltan o están mal configurados, es posible que reciba el siguiente mensaje:

"message": "The request was rejected because provided IAM role does not have the required permissions to validate S3 bucket ownership."
"type": "InvalidInputException"

Los siguientes escenarios pueden ayudarlo a solucionar este error:

Faltan permisos para el rol de IAM

  • El rol de IAM debe tener los permisos necesarios para permitir la protección contra malware para que S3 asuma el rol.

  • GuardDuty valida la propiedad del bucket con el "s3:ListBucket" permiso. Debe estar presente en el rol de IAM que se utiliza.

Para obtener información acerca de los permisos, consulte Crear o actualizar la política del rol de IAM .

Disponibilidad del rol de IAM

  • Al crear un nuevo rol de IAM, espere unos minutos para que los cambios alcancen una coherencia final antes de activar la protección contra malware para S3. Si intenta activar el plan de protección inmediatamente después de crear el rol, la validación podría fallar.

  • En el caso de las implementaciones de Infrastructure as Code (IaC), GuardDuty recomienda declarar una dependencia de los recursos para garantizar que la función de IAM alcance una coherencia definitiva.

    Para ver ejemplos de plantillas sobre cómo hacerlo, consulta el repositorio. GuardDuty GitHub

Habilitación entre regiones

Asegúrese de que su bucket de Amazon S3 esté en la misma región en la que está habilitando Malware Protection for S3 GuardDuty.