本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 受信任修復程式支援的 Security Hub CSPM 建議
<a name="tr-supported-sec-hub-recommendations"></a>

下表列出支援的 Security Hub CSPM 建議、SSM 自動化文件、預先設定的參數，以及自動化文件的預期結果。在啟用 SSM 自動化文件進行檢查修復之前，請檢閱預期成果，以協助您根據您的業務需求了解可能的風險。

請務必為帳戶啟用 Security Hub CSPM。如需詳細資訊，請參閱[啟用 Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-enable.html)。


| 檢查 ID 和名稱 | SSM 文件名稱和預期結果 | 支援的預先設定參數和限制條件 | 
| --- | --- | --- | 
| security-hub-IAM-22<br />[IAM.22：應移除 45 天內未使用的 IAM 使用者登入資料。](https://docs.aws.amazon.com/securityhub/latest/userguide/iam-controls.html#iam-22) | **AWSManagedServices-TrustedRemediatorDeactivateIamUserUnusedCredentials** | **DeleteAccessKeys**：設定為 true 以永久刪除未使用的存取金鑰，或設定為 false 以停用它們 （使其處於非作用中但可復原的狀態）。<br />無限制條件 | 
| security-hub-IAM-3<br />[IAM.3：IAM 使用者的存取金鑰應每 90 天或更短時間輪換一次。](https://docs.aws.amazon.com/securityhub/latest/userguide/iam-controls.html#iam-3) | **AWSManagedServices-TrustedRemediatorRotateIamAccessKeysOlderThan90Days** | 不允許預先設定的參數。<br />無限制條件 | 
| security-hub-IAM-8<br />[IAM.8：應移除未使用的 IAM 使用者憑證。 ](https://docs.aws.amazon.com/securityhub/latest/userguide/iam-controls.html#iam-8) | **AWSManagedServices-TrustedRemediatorDeactivateIamUserUnusedCredentials** | **DeleteAccessKeys**：設定為 true 以永久刪除未使用的存取金鑰，或設定為 false 以停用它們 （使其處於非作用中但可復原的狀態）。<br />無限制條件 | 
| security-hub-networkfirewall-10<br />[NetworkFirewall.10:Network Firewall 防火牆應啟用子網路變更保護。](https://docs.aws.amazon.com/securityhub/latest/userguide/networkfirewall-controls.html#networkfirewall-10) | **AWSManagedServices-TrustedRemediatorEnableNetworkFirewallSubnetChangeProtection** | 不允許預先設定的參數。<br />無限制條件 | 
| security-hub-networkfirewall-2<br />[NetworkFirewall.2:應啟用 Network Firewall 記錄。](https://docs.aws.amazon.com/securityhub/latest/userguide/networkfirewall-controls.html#networkfirewall-2) | **AWSManagedServices-TrustedRemediatorEnableNetworkFirewallCloudWatchLog** | **LogGroupName**：要傳送日誌的 CloudWatch 日誌群組名稱。<br />**LogTypes**：要啟用的日誌類型。有效值為 `FLOW`、`ALERT`、`TLS`。<br />無限制條件 | 
| security-hub-stepfunctions-1<br />[StepFunctions.1:Step Functions 狀態機器應該已開啟記錄。](https://docs.aws.amazon.com/securityhub/latest/userguide/stepfunctions-controls.html#stepfunctions-1) | **AWSManagedServices-TrustedRemediatorEnableStepFunctionsLogging** | **LogGroupName**：Step Functions 記錄的 CloudWatch 日誌群組名稱。<br />**LoggingLevel**：Step Functions 的記錄層級。有效值為 `ALL`、`ERROR`、`FATAL`。 |