本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

啟用完全自動化的修補

解決方案的另一種操作模式是在問題清單送達 Security Hub 時自動修復問題清單。

範例：啟用 Lambda 的全自動化修復。1

啟用自動修復會在符合您啟用之控制項 (Lambda.1) 的所有資源上啟動修復。

找到修復組態 DynamoDB 資料表

在管理員帳戶中，檢視 CloudFormation 主控台中管理員堆疊Outputs的 。您將看到名為 的輸出RemediationConfigurationDynamoDBTable。

這是 Remediation Configuration DynamoDB 資料表的名稱，可控制解決方案的自動修復組態。複製此輸出的值，並在 DynamoDB 主控台中找到對應的 DynamoDB 資料表。

修改修復組態表

在您已找到修復組態資料表的 DynamoDB 主控台中，選取探索資料表項目。

資料表中的每個項目對應至解決方案支援的 Security Hub 控制項。每個項目都有可修改的automatedRemediationEnabled屬性，以啟用相關聯控制項的全自動化修復。

若要啟用 Lambda.1，請在掃描或查詢項目下選取查詢。在分割區索引鍵下：controlId 輸入 Lambda.1 ，然後按一下執行。您將看到傳回的單一項目對應至 Lambda.1 控制項。

現在，選取Lambda.1項目，然後按一下動作 > 編輯項目。

最後，將automatedRemediationEnabled屬性值變更為 True。按一下儲存並關閉。

設定 資源

在成員帳戶中，重新設定 Lambda 函數以允許公開存取。

確認修復已解決問題清單

Config 可能需要一些時間才能再次偵測不安全的組態。您應該會收到兩個 SNS 通知。第一個 表示已啟動修復。第二個表示修復成功。收到第二個通知後，導覽至成員帳戶中的 Lambda 主控台，並確認公有存取權已撤銷。

（選用） 設定完全自動化修復的篩選

如果您想要限制解決方案執行修復的範圍，您可以套用篩選條件。這些篩選條件僅適用於完全自動化的修補，不會影響手動調用的修補。

解決方案提供下列維度的篩選：

每個維度都可以透過修改由對應於指定維度的解決方案所部署的 Systems Manager 參數來設定。參數存放區中的所有篩選參數都可以位於 /ASR/Filters/ 路徑下的管理員帳戶中。

每個維度有兩個用於組態的參數，一個用於篩選值，另一個用於篩選模式。例如，帳戶 ID 維度有兩個名為 /ASR/Filters/AccountFilters和 的參數/ASR/Filters/AccountFilterMode。兩者都必須修改，才能設定帳戶 ID 的篩選。

例如，若要限制完全自動化的修補僅在帳戶 111111111111和 中執行222222222222，請將 的值變更為 /ASR/Filters/AccountFilters "111111111111， 222222222222"。然後，將 的值/ASR/Filters/AccountFilterMode變更為「包含」。然後，解決方案會忽略為 111111111111 或 222222222222 以外的帳戶產生的任何問題清單。

每個篩選參數都會取得以逗號分隔的值清單來篩選，而且每個「模式」參數可以設定為包含、排除或停用。