本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

启用全自动补救

该解决方案的另一种操作模式是在发现结果送达 Security Hub 时自动对其进行修复。

示例：为 Lambda.1 启用全自动补救措施

启用自动修复将启动对与您启用的控件相匹配的所有资源的补救措施 (Lambda.1)。

找到修复配置 DynamoDB 表

在管理员帐户中，在Outputs CloudFormation 控制台中查看管理员堆栈的。您将看到标题为的输出RemediationConfigurationDynamoDBTable。

这是修复配置 DynamoDB 表的名称，该表控制解决方案的自动修复配置。复制此输出的值，然后在 DynamoDB 控制台中找到相应的 DynamoDB 表。

修改修正配置表

在您找到 “修复配置” 表的 DynamoDB 控制台中，选择 “浏览表项目”。

表中的每一项都对应于解决方案支持的 Security Hub 控件。每个项目都有一个automatedRemediationEnabled属性，可以对其进行修改以启用对关联控件的全自动修正。

要启用 Lambda.1，请在扫描或查询项目下选择查询。在 “分区键：controlID” 下输入Lambda.1并单击 “运行”。您将看到返回的与 Lambda.1 控件相对应的单个项目。

现在，选择该Lambda.1项目，然后单击 “操作” > “编辑项目”。

最后，将automatedRemediationEnabled属性值更改为 True。单击 “保存并关闭”。

配置资源

在成员账户中，重新配置 Lambda 函数以允许公开访问。

确认补救措施解决了调查结果

Config 可能需要一些时间才能再次检测到不安全的配置。您应该会收到两个 SNS 通知。第一个将表示补救措施已启动。第二个将表示修复成功。收到第二条通知后，导航到成员账户中的 Lambda 控制台并确认已撤销公开访问权限。

（可选）为全自动修复配置筛选

如果您想限制解决方案运行修正的范围，则可以应用筛选器。这些筛选器仅适用于全自动修复，不会影响手动调用的修正。

该解决方案提供以下维度的筛选：

每个维度都可以通过修改解决方案部署的与给定维度相对应的 Systems Manager 参数来配置。Parameter Store 中的所有筛选参数都可以在/ASR/Filters/路径下的管理员帐户中找到。

每个维度都有两个配置参数，一个用于筛选值，另一个用于过滤器模式。例如，“账户 ID” 维度有两个名为/ASR/Filters/AccountFilters和的参数/ASR/Filters/AccountFilterMode。必须对两者进行修改才能配置对账户 ID 的筛选。

例如，要将全自动修正限制为仅在账户111111111111和中运行222222222222，可以将的值更改为 “111111111111、2222 /ASR/Filters/AccountFilters 22222222”。然后，将的值更改/ASR/Filters/AccountFilterMode为 “包含”。然后，该解决方案将忽略为除111111111111或2222222222之外的账户生成的任何调查结果。

每个过滤器参数都采用以逗号分隔的值列表进行筛选，并且每个 “模式” 参数可以设置为 “包含”、“排除” 或 “禁用”。