受信任修復程式支援的 Security Hub CSPM 建議

下表列出支援的 Security Hub CSPM 建議、SSM 自動化文件、預先設定的參數，以及自動化文件的預期結果。在啟用 SSM 自動化文件進行檢查修復之前，請檢閱預期成果，以協助您根據您的業務需求了解可能的風險。

請務必為帳戶啟用 Security Hub CSPM。如需詳細資訊，請參閱啟用 Security Hub CSPM。

檢查 ID 和名稱 SSM 文件名稱和預期結果支援的預先設定參數和限制條件

檢查 ID 和名稱	SSM 文件名稱和預期結果	支援的預先設定參數和限制條件
security-hub-IAM-22 IAM.22：應移除 45 天內未使用的 IAM 使用者登入資料。	AWSManagedServices-TrustedRemediatorDeactivateIamUserUnusedCredentials	DeleteAccessKeys：設定為 true 以永久刪除未使用的存取金鑰，或設定為 false 以停用它們（使其處於非作用中但可復原的狀態）。無限制條件
security-hub-IAM-3 IAM.3：IAM 使用者的存取金鑰應每 90 天或更短時間輪換一次。	AWSManagedServices-TrustedRemediatorRotateIamAccessKeysOlderThan90Days	不允許預先設定的參數。無限制條件
security-hub-IAM-8 IAM.8：應移除未使用的 IAM 使用者憑證。	AWSManagedServices-TrustedRemediatorDeactivateIamUserUnusedCredentials	DeleteAccessKeys：設定為 true 以永久刪除未使用的存取金鑰，或設定為 false 以停用它們（使其處於非作用中但可復原的狀態）。無限制條件
security-hub-networkfirewall-10 NetworkFirewall.10:Network Firewall 防火牆應啟用子網路變更保護。	AWSManagedServices-TrustedRemediatorEnableNetworkFirewallSubnetChangeProtection	不允許預先設定的參數。無限制條件
security-hub-networkfirewall-2 NetworkFirewall.2:應啟用 Network Firewall 記錄。	AWSManagedServices-TrustedRemediatorEnableNetworkFirewallCloudWatchLog	LogGroupName：要傳送日誌的 CloudWatch 日誌群組名稱。 LogTypes：要啟用的日誌類型。有效值為 `FLOW`、`ALERT`、`TLS`。無限制條件
security-hub-stepfunctions-1 StepFunctions.1:Step Functions 狀態機器應該已開啟記錄。	AWSManagedServices-TrustedRemediatorEnableStepFunctionsLogging	LogGroupName：Step Functions 記錄的 CloudWatch 日誌群組名稱。 LoggingLevel：Step Functions 的記錄層級。有效值為 `ALL`、`ERROR`、`FATAL`。

security-hub-IAM-22

IAM.22：應移除 45 天內未使用的 IAM 使用者登入資料。

AWSManagedServices-TrustedRemediatorDeactivateIamUserUnusedCredentials

DeleteAccessKeys：設定為 true 以永久刪除未使用的存取金鑰，或設定為 false 以停用它們（使其處於非作用中但可復原的狀態）。

無限制條件

security-hub-IAM-3

IAM.3：IAM 使用者的存取金鑰應每 90 天或更短時間輪換一次。

AWSManagedServices-TrustedRemediatorRotateIamAccessKeysOlderThan90Days

不允許預先設定的參數。

無限制條件

security-hub-IAM-8

IAM.8：應移除未使用的 IAM 使用者憑證。