本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# EC2 恶意软件防护问题
本节列出了您在设置或使用 EC2 恶意软件防护时可能遇到的错误。
## 启用 GuardDuty-initiated 恶意软件扫描时缺少所需的 Amazon Organizations 管理权限
当你想通过使用管理多个帐户时 Amazon Organizations ,却出现此错误 —`The request failed because you do not have required AWS Organization master permission.`,那么你就失去了为组织中的多个账户启用 GuardDuty-initiated 恶意软件扫描的权限。
有关为管理账户提供权限的更多信息,请参阅[建立可信访问权限以启用 GuardDuty-initiated 恶意软件扫描](configure-malware-protection-guardduty-initiated-multi-account.md#delegated-admin-different-management-account)。
## 我正在启动 On-demand 恶意软件扫描,但它会导致缺少所需权限错误。
如果您收到错误消息,提示您没有在 Amazon EC2 实例上启动 On-demand 恶意软件扫描所需的权限,请确认您已将[Amazon 托管策略:AmazonGuardDutyFullAccess\_v2(推荐)](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2)策略附加到您的 IAM 角色。
如果您是某个 Amazon 组织的成员,但仍收到相同的错误,请使用您的管理账号进行连接。有关更多信息,请参阅 [Amazon Organizations SCP-访问被拒绝](malware-protection-getting-started-on-demand-scan.md#malware-protection-on-demand-scan-org-scp)。
## 我在使用 EC2 恶意软件防护时遇到 `iam:GetRole` 错误。
如果您收到此错误-`Unable to get role: AWSServiceRoleForAmazonGuardDutyMalwareProtection`,则表示您缺少启用 GuardDuty-initiated 恶意软件扫描或使用 On-demand 恶意软件扫描的权限。确认您已将 [Amazon 托管策略:AmazonGuardDutyFullAccess\_v2(推荐)](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2) 策略附加到 IAM 角色。
## 我是 GuardDuty 管理员帐户,需要启用 GuardDuty-initiated 恶意软件扫描,但不使用 Amazon 托管策略: AmazonGuardDutyFullAccess 进行管理 GuardDuty。
+ 将与您一起使用的 IAM 角色配置 GuardDuty 为具有启用 GuardDuty-initiated 恶意软件扫描所需的权限。有关所需权限的更多信息,请参阅[为 EC2 恶意软件防护创建服务相关角色](https://docs.amazonaws.cn/guardduty/latest/ug/slr-permissions-malware-protection.html#create-slr)。
+ 将 [Amazon 托管策略:AmazonGuardDutyFullAccess\_v2(推荐)](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2) 附加到您的 IAM 角色。这将帮助您为成员帐户启用 GuardDuty-initiated 恶意软件扫描。