Pourquoi l'action de correction automatique AWS Config du document SSM AWS-ConfigureS3BucketLogging échoue et affiche l'erreur « (MalformedXML) » lors de l'appel de l'API PutBucketLogging ?

Date de la dernière mise à jour : 01/09/2020

J'ai suivi les instructions pour configurer la correction automatique des ressources Amazon Simple Storage Service (Amazon S3) non conformes.

Par exemple, j'ai utilisé le document AWS SSM Automation AWS-ConfigureS3BucketLogging avec la règle gérée AWS Config s3-bucket-logging-enabled pour corriger automatiquement les compartiments Amazon S3 non conformes.

Toutefois, l'action de correction échoue et affiche une erreur similaire à ce qui suit :

  • Erreur de console AWS Config « Action execution failed (details) » (« L'exécution de la correction a échoué (détails)) ».
  • Erreur de console AWS Systems Manager « Step fails when it is Execute/Cancelling action » (« Échec au moment d'exécuter ou d'annuler la correction »). Une erreur s'est produite (MalformedXML) au moment d'appeler l'opération PutBucketLogging : le fichier XML que vous avez fourni n'était pas correctement formé ou n'a pas été validé par rapport à notre schéma publié. Pour plus de détails sur le diagnostic, reportez-vous au guide de résolution des problèmes liés à l'automatisation des services. »
  • Erreur de PutBucketLogging de l'événement AWS CloudTrail « The XML you provided was not well-formed or did not validate against our published schema » (« Le fichier XML que vous avez fourni n'était pas correctement formé ou n'a pas été validé par rapport à notre schéma publié »).  

Brève description

Un compartiment Amazon S3 configuré en tant que compartiment cible pour recevoir la journalisation des accès au serveur doit donner l'autorisation d'écrire au Log Delivery group (groupe de livraison des journaux), sinon l'action de correction échouera.

Résolution

Accordez au groupe de livraison des journaux Amazon S3 un accès d'écriture dans la liste de contrôle d'accès (ACL) du compartiment cible. Pour en savoir plus, consultez la section Comment définir des autorisations de compartiment ACL ?