本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 受信任修正者支持的 Security Hub CSPM 建议
<a name="tr-supported-sec-hub-recommendations"></a>

下表列出了支持的 Security Hub CSPM 建议、SSM 自动化文档、预配置的参数以及自动化文档的预期结果。在启用 SSM 自动化文档进行支票补救之前，请查看预期结果以帮助您根据业务需求了解可能的风险。

确保为该账户启用 Security Hub CSPM。有关更多信息，请参阅[启用 Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-enable.html)。


| 检查身份和姓名 | SSM 文档名称和预期结果 | 支持的预配置参数和约束 | 
| --- | --- | --- | 
| Security-Hub-iam-22<br />[IAM.22：应移除在 45 天内未使用的 IAM 用户证书。](https://docs.aws.amazon.com/securityhub/latest/userguide/iam-controls.html#iam-22) | **AWSManagedServices-TrustedRemediatorDeactivateIamUserUnusedCredentials** | **DeleteAccessKeys**：设置为 true 可永久删除未使用的访问密钥，设置为 false 则将其停用（使其处于非活动状态但可恢复）。<br />没有限制 | 
| 安全中心-iam-3<br />[IAM.3：IAM 用户的访问密钥应每 90 天或更短时间轮换一次。](https://docs.aws.amazon.com/securityhub/latest/userguide/iam-controls.html#iam-3) | **AWSManagedServices-TrustedRemediatorRotateIamAccessKeysOlderThan90 天** | 不允许使用预配置的参数。<br />没有限制 | 
| 安全中心-iam-8<br />[IAM.8：应移除未使用的 IAM 用户证书。](https://docs.aws.amazon.com/securityhub/latest/userguide/iam-controls.html#iam-8) | **AWSManagedServices-TrustedRemediatorDeactivateIamUserUnusedCredentials** | **DeleteAccessKeys**：设置为 true 可永久删除未使用的访问密钥，设置为 false 则将其停用（使其处于非活动状态但可恢复）。<br />没有限制 | 
| security-hub-networkfirewall-10<br />[NetworkFirewall.10: Network Firewall 防火墙应启用子网更改保护。](https://docs.aws.amazon.com/securityhub/latest/userguide/networkfirewall-controls.html#networkfirewall-10) | **AWSManagedServices-TrustedRemediatorEnableNetworkFirewallSubnetChangeProtection** | 不允许使用预配置的参数。<br />没有限制 | 
| security-hub-networkfirewall-2<br />[NetworkFirewall.2：应启用 Network Firewall 日志记录。](https://docs.aws.amazon.com/securityhub/latest/userguide/networkfirewall-controls.html#networkfirewall-2) | **AWSManagedServices-TrustedRemediatorEnableNetworkFirewallCloudWatchLog** | **LogGroupName**：要向其发送 CloudWatch 日志的日志组的名称。<br />**LogTypes**：要启用的日志类型。有效值为 `FLOW`、`ALERT`、`TLS`。<br />没有限制 | 
| security-hub-stepfunctions-1<br />[StepFunctions.1：Step Functions 状态机应该开启日志功能。](https://docs.aws.amazon.com/securityhub/latest/userguide/stepfunctions-controls.html#stepfunctions-1) | **AWSManagedServices-TrustedRemediatorEnableStepFunctionsLogging** | **LogGroupName**: Step Functions CloudWatch 日志记录的日志组名称。<br />**LoggingLevel**: Step Functions 的日志级别。有效值为 `ALL`、`ERROR`、`FATAL`。 | 
| security-hub-lambda-7<br />[Lambda.7：Lambda 函数应启用 AWS X-Ray 主动跟踪。](https://docs.aws.amazon.com/securityhub/latest/userguide/lambda-controls.html#lambda-7) | AWSManagedServices-TrustedRemediatorEnableLambdaXrayActiveTracing | 不允许使用预配置的参数。<br />没有限制 |