排除 S3 恶意软件防护中的 S3 对象扫描后标签故障

仅当您在受保护的存储桶为扫描的对象启用标记中时，本部分才适用于您。

GuardDuty 尝试向扫描的 S3 对象添加标签时，标记操作可能会导致失败。您的存储桶可能发生这种情况的潜在原因是ACCESS_DENIED和MAX_TAG_LIMIT_EXCEEDED。使用以下主题来了解这些扫描后标签失败原因的潜在原因并对其进行故障排除。

ACCESS_DENIED

以下列表提供了可能导致此问题的潜在原因：

• 用于此受保护的 S3 存储桶的IAM角色缺少AllowPostScanTag权限。验证关联IAM角色是否使用此存储桶策略。有关更多信息，请参阅 先决条件-创建或更新IAM角色策略。

• 受保护的 S3 存储桶策略不允许 GuardDuty 向此对象添加标签。

• 扫描的 S3 对象已不存在。

MAX_TAG_LIMIT_EXCEEDED

默认情况下，您最多可以将 10 个标签与一个 S3 对象关联。有关更多信息，请参阅下的 “ GuardDuty 向 S3 对象添加标签的注意事项” 为扫描的对象启用标记。