受信任修正者支持的 Security Hub CSPM 建议

下表列出了支持的 Security Hub CSPM 建议、SSM 自动化文档、预配置的参数以及自动化文档的预期结果。在启用 SSM 自动化文档进行支票补救之前，请查看预期结果以帮助您根据业务需求了解可能的风险。

确保为该账户启用 Security Hub CSPM。有关更多信息，请参阅启用 Security Hub CSPM。

检查身份和姓名 SSM 文档名称和预期结果支持的预配置参数和约束

检查身份和姓名	SSM 文档名称和预期结果	支持的预配置参数和约束
Security-Hub-iam-22 IAM.22：应移除在 45 天内未使用的 IAM 用户证书。	AWSManagedServices-TrustedRemediatorDeactivateIamUserUnusedCredentials	DeleteAccessKeys：设置为 true 可永久删除未使用的访问密钥，设置为 false 则将其停用（使其处于非活动状态但可恢复）。没有限制
安全中心-iam-3 IAM.3：IAM 用户的访问密钥应每 90 天或更短时间轮换一次。	AWSManagedServices-TrustedRemediatorRotateIamAccessKeysOlderThan90 天	不允许使用预配置的参数。没有限制
安全中心-iam-8 IAM.8：应移除未使用的 IAM 用户证书。	AWSManagedServices-TrustedRemediatorDeactivateIamUserUnusedCredentials	DeleteAccessKeys：设置为 true 可永久删除未使用的访问密钥，设置为 false 则将其停用（使其处于非活动状态但可恢复）。没有限制
security-hub-networkfirewall-10 NetworkFirewall.10: Network Firewall 防火墙应启用子网更改保护。	AWSManagedServices-TrustedRemediatorEnableNetworkFirewallSubnetChangeProtection	不允许使用预配置的参数。没有限制
security-hub-networkfirewall-2 NetworkFirewall.2：应启用 Network Firewall 日志记录。	AWSManagedServices-TrustedRemediatorEnableNetworkFirewallCloudWatchLog	LogGroupName：要向其发送 CloudWatch 日志的日志组的名称。 LogTypes：要启用的日志类型。有效值为 `FLOW`、`ALERT`、`TLS`。没有限制
security-hub-stepfunctions-1 StepFunctions.1：Step Functions 状态机应该开启日志功能。	AWSManagedServices-TrustedRemediatorEnableStepFunctionsLogging	LogGroupName: Step Functions CloudWatch 日志记录的日志组名称。 LoggingLevel: Step Functions 的日志级别。有效值为 `ALL`、`ERROR`、`FATAL`。
security-hub-lambda-7 Lambda.7：Lambda 函数应启用 AWS X-Ray 主动跟踪。	AWSManagedServices-TrustedRemediatorEnableLambdaXrayActiveTracing	不允许使用预配置的参数。没有限制

Security-Hub-iam-22

IAM.22：应移除在 45 天内未使用的 IAM 用户证书。

AWSManagedServices-TrustedRemediatorDeactivateIamUserUnusedCredentials

DeleteAccessKeys：设置为 true 可永久删除未使用的访问密钥，设置为 false 则将其停用（使其处于非活动状态但可恢复）。

没有限制

安全中心-iam-3

IAM.3：IAM 用户的访问密钥应每 90 天或更短时间轮换一次。

AWSManagedServices-TrustedRemediatorRotateIamAccessKeysOlderThan90 天

不允许使用预配置的参数。

没有限制

安全中心-iam-8

IAM.8：应移除未使用的 IAM 用户证书。