设置自动修复

要对不合规的资源应用补救，您可以从预先填充的列表中选择要关联的修正操作，也可以使用SSM文档创建自己的自定义修复操作。 AWS Config 中提供了建议的补救措施列表 AWS Management Console。

Setting Up Auto Remediation (Console)

在中 AWS Management Console，您可以选择通过将修复操作与规则关联来自动修复不合规的资源。 AWS Config 借助所有修正操作，您可以选择手动或自动修正。

登录 AWS Management Console 并打开 AWS Config 控制台，网址为https://console.aws.amazon.com/config/。
选择左侧的规则，然后在规则页面上，选择添加规则以向规则列表中添加新规则。

对于现有规则，从规则列表中选择不合规规则，然后选择操作下拉列表。
从操作下拉列表中，选择管理修正。选择“自动修正”，然后从建议列表中选择相应的修正操作。

注意
您只能管理非服务关联 AWS Config 规则的修正。有关更多信息，请参阅服务相关的 AWS 规则。

根据所选的修正操作，您将会看到特定参数，或者看不到任何参数。
选择 Auto remediation (自动修正) 以自动修正不合规的资源。

如果资源在自动修复后仍然不合规，则可以将规则设置为再次尝试自动修复。输入所需的重试次数和秒数。

注意
多次运行修正脚本会有关联的成本。只有当修正失败，并且在指定时间段内有效时才会重试；例如，在 300 秒内重试 5 次。
（可选）如果要将不合规资源的资源 ID 传递给修正操作，请选择 Resource ID parameter (资源 ID 参数)。如果选中，则在运行时会将该参数替换为要修正的资源的 ID。

每个参数都具有静态值或动态值。如果未从下拉列表中选择特定资源 ID 参数，可以为每个键输入值。如果从下拉列表中选择资源 ID 参数，可以为除所选资源 ID 参数之外的所有其他键输入值。
选择保存。此时将显示 Rules (规则) 页面。

用于故障排除失败的补救措施

要对失败的修复操作进行故障排除，您可以运行 AWS 命令行界面命令describe-remediation-execution-status来获取一组资源的修复执行的详细视图。详细信息包括修正执行步骤的状态、时间戳，以及失败步骤的任何错误消息。

即使是合规资源也可以启动自动修复

如果您使用PutRemediationConfigurationsAPI或 AWS Config 控制台为特定 AWS Config 规则启用自动修复，则它会启动针对该特定规则的所有不合规资源的修复过程。auto 修复过程依赖于定期捕获的合规性数据快照。对于在快照计划之间更新的任何不合规资源，都将继续根据上次已知的合规性数据快照进行修复。

这意味着，在某些情况下，即使是合规资源也可以启动自动修复，因为引导处理器使用的数据库可能基于上次已知的合规性数据快照得出陈旧的评估结果。

Setting Up Auto Remediation (API)

使用以下 AWS Config API操作来设置自动修复：

PutRemediationExceptions，使用特定规则为特定资源添加新的异常或更新现有异常。 AWS Config
DescribeRemediationExceptions，返回一个或多个修正异常的详细信息。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

设置手动修复

删除修正操作

设置自动修复

注意

注意