# Como corrigir o erro de Amazon S3 no UpdraftPlus

O UpdraftPlus erro Amazon S3 acontece quando o plugin não consegue enviar o backup para o bucket: a conexão retorna AccessDenied, SignatureDoesNotMatch ou o bucket não e encontrado. A causa quase sempre e chave de acesso ou secret key erradas, regiao do bucket diferente da configurada, ou o usuário IAM sem permissão de upload.

## O que é o UpdraftPlus erro Amazon S3?

O Amazon S3 e um dos destinos remotos do UpdraftPlus: o plugin envia o backup gerado no servidor para um bucket da AWS usando uma chave de acesso e uma secret key de um usuário IAM. O erro de Amazon S3 ocorre quando essa autenticacao ou a permissão do usuário falha, ou quando o bucket informado não bate com a regiao real. Nesse cenario o backup até roda localmente, mas a etapa de envio para a nuvem para com erro e o backup não fica salvo no S3.

## Como identificar

- O log do backup termina com "AccessDenied" ou "403 Forbidden" na etapa de envio para o S3.
- O UpdraftPlus mostra "The request signature we calculated does not match" (SignatureDoesNotMatch), indicando secret key incorreta.
- O teste do botão "Test S3 Settings" retorna falha de conexão ou "bucket not found" / "NoSuchBucket".
- O backup conclui localmente, mas a aba Existing Backups não lista o arquivo no destino remoto Amazon S3.

**Antes de começar:** Use um usuário IAM dedicado so para o backup, com a policy restrita a este bucket, e nunca a chave root da conta AWS. Se a chave atual vazou ou ficou em log, desative-a no IAM antes de gerar a nova, para que uma credencial exposta não de acesso de gravacao ao seu bucket.

## Como prevenir

- Crie um usuário IAM dedicado ao backup com policy restrita ao bucket, separado de qualquer outro acesso AWS
- Anote a regiao do bucket no momento da criação e confira que ela bate com a selecionada no UpdraftPlus
- Rode o Test S3 Settings sempre que rotacionar a chave ou trocar de bucket, antes de confiar no agendamento

Erros relacionados

- [Como corrigir o erro de Dropbox no UpdraftPlus](https://full.services/wp-fixer/corrigir-erro-dropbox-updraftplus/)
- [Como corrigir o erro de OneDrive no UpdraftPlus](https://full.services/wp-fixer/corrigir-erro-onedrive-updraftplus/)
- [Como corrigir o erro de permissão de pasta no UpdraftPlus](https://full.services/wp-fixer/corrigir-erro-permissao-pasta-updraftplus/)

## Causa

- Access Key ID ou Secret Access Key digitadas com erro, espaco extra ou de um usuário IAM já desativado na AWS, gerando SignatureDoesNotMatch ou AccessDenied.
- Regiao do bucket diferente da regiao configurada no UpdraftPlus (ex.: bucket criado em sa-east-1 e plugin apontando para us-east-1), fazendo o endpoint do S3 recusar a chamada.
- Nome do bucket digitado errado no campo S3 Location, ou com prefixo como s3:// e barra final, quando o campo aceita apenas o nome puro do bucket.
- Usuário IAM sem as permissões minimas de upload (s3:PutObject, s3:ListBucket, s3:GetBucketLocation) na policy anexada, retornando AccessDenied mesmo com a chave correta.
- Bloqueio de saida na porta 443 (HTTPS) do servidor de hospedagem ou firewall, impedindo o WordPress de alcancar o endpoint da AWS.

## Como resolver

1. Refaca a chave de acesso no IAM da AWS: no console da AWS, gere um novo par de chaves para o usuário IAM e cole sem espacos no UpdraftPlus. O caminho do menu e.

```
IAM -> Users -> seu-usuário -> Security credentials -> Create access key
```

2. Confirme a regiao correta do bucket: veja em qual regiao o bucket foi criado no console S3 e selecione exatamente essa regiao no UpdraftPlus. Regiao errada e a causa mais comum de falha silenciosa. A regiao aparece na coluna AWS Region da lista de buckets em.

```
S3 -> Buckets -> coluna AWS Region
```

3. Digite apenas o nome do bucket: no campo S3 Location informe somente o nome puro do bucket, sem protocolo nem barra. Exemplos do que NÃO usar e do formato correto:

```
Errado: s3://meu-bucket-backups/
Correto: meu-bucket-backups
```

4. Anexe a policy IAM com as permissões de upload: no usuário IAM, anexe uma policy que libere listar e gravar objetos no bucket. As acoes minimas exigidas pelo UpdraftPlus são:

```
s3:ListBucket
s3:GetBucketLocation
s3:PutObject
s3:GetObject
s3:DeleteObject
s3:ListAllMyBuckets
```

5. Valide com o botão Test S3 Settings: depois de salvar, clique em Test S3 Settings na tela do UpdraftPlus. O teste deve gravar e apagar um arquivo de prova no bucket e retornar sucesso antes de você confiar no próximo backup agendado.

```
Configurações -> UpdraftPlus Backups -> Settings -> Test S3 Settings
```


## Código

```json
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:ListBucket",
        "s3:GetBucketLocation",
        "s3:ListBucketMultipartUploads"
      ],
      "Resource": "arn:aws:s3:::meu-bucket-backups"
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:AbortMultipartUpload",
        "s3:DeleteObject",
        "s3:GetObject",
        "s3:PutObject"
      ],
      "Resource": "arn:aws:s3:::meu-bucket-backups/*"
    },
    {
      "Effect": "Allow",
      "Action": "s3:ListAllMyBuckets",
      "Resource": "*"
    }
  ]
}
```

## Perguntas frequentes

### Por que aparece AccessDenied mesmo com a chave certa no UpdraftPlus?

Porque a chave autentica mas o usuário IAM não tem permissão de gravar no bucket. O S3 separa autenticar de autorizar: anexe uma policy com s3:PutObject, s3:ListBucket e s3:GetBucketLocation no bucket de destino e o AccessDenied desaparece, mantendo a mesma chave.

### O que significa SignatureDoesNotMatch no envio para o S3?

Significa que a Secret Access Key esta incorreta ou foi colada com um espaco ou caractere a mais. A AWS recalcula a assinatura da requisicao com a secret e ela não bate. Gere um novo par de chaves no IAM e cole a secret limpa, sem espacos nas pontas, no campo do UpdraftPlus.

### Configurei tudo mas o teste diz que o bucket não existe. Por que?

Quase sempre e regiao errada ou nome digitado com formato invalido. Confirme no console S3 a regiao exata do bucket e selecione-a no plugin, e informe apenas o nome puro do bucket no campo S3 Location, sem s3:// nem barra final.

### Preciso dar permissão de apagar (s3:DeleteObject) ao UpdraftPlus?

Sim, se você quer que o plugin aplique a retencao e remova backups antigos no S3 automaticamente. Para maxima segurança, remova s3:DeleteObject da policy e ative o versionamento do bucket, mas entao a limpeza de backups antigos passa a ser manual.

### O backup roda mas não aparece no bucket. O que checar primeiro?

Abra o log do backup no UpdraftPlus e procure a etapa de upload para o S3. A mensagem ali (AccessDenied, SignatureDoesNotMatch ou NoSuchBucket) indica exatamente se o problema e permissão, chave ou nome/regiao do bucket, e direciona qual passo da correção aplicar.

### Posso usar a chave root da conta AWS no UpdraftPlus?

Da para usar, mas e arriscado e não recomendado. A chave root tem acesso total a conta; se vazar, o estrago e enorme. Crie um usuário IAM dedicado, com policy restrita apenas a este bucket de backup, e use a chave desse usuário no plugin.

### Mudei a regiao do bucket e o envio voltou a falhar. E normal?

Sim. O endpoint do S3 e por regiao, entao mover ou recriar o bucket em outra regiao muda o destino. Atualize a regiao selecionada no UpdraftPlus para a nova e rode o Test S3 Settings de novo para confirmar a gravacao antes do próximo agendamento.

**Fonte:** [UpdraftPlus — Configurar a conta Amazon S3](https://teamupdraft.com/documentation/updraftplus/topics/cloud-storage/amazon-s3/faqs/how-to-configure-your-amazon-s3-account/)