設定自動修復

若要在不合規的資源上套用修復，您可以從預先填入的清單中選擇您要關聯的修復動作，或使用 SSM 文件建立自訂修復動作。 AWS Config 在 中提供建議的修復動作清單 AWS Management Console。

Setting Up Auto Remediation (Console)

在 中 AWS Management Console，您可以選擇將修復動作與 AWS Config 規則建立關聯，以自動修復不合規的資源。您可以對所有修補動作選擇手動或自動修補。

1. 登入 AWS Management Console 並在 開啟 AWS Config 主控台https://console.aws.amazon.com/config/。

2. 選擇左側的 Rules (規則)，然後在 Rules (規則) 頁面上選擇 Add Rule (新增規則)，將規則新增至規則清單。

   對於現有的規則，請從規則清單中選取不合規的規則，然後選擇 動作 下拉式清單。

3. 從 動作 下拉式清單中，選擇 管理修復。選取「自動修復」，然後從建議清單中選擇適當的修復動作。

   注意

   您只能管理非服務連結 AWS Config 規則的修復。如需詳細資訊，請參閱《服務連結 AWS 規則》。

   視選取的修復動作而定，您會看到特定參數，或看不到任何參數。

4. 選擇 Auto remediation (自動修補) 來自動修補不合規的資源。

   如果資源在自動修復後仍然不合規，您可以將規則設定為再次嘗試自動修復。輸入所需的重試次數和秒數。

   注意

   多次執行修補指令碼需要支付相關費用。只有在修復失敗時才會發生重試，且會在指定期間內進行；例如，300 秒內重試 5 次。

5. (選用)：如果您想要將不合規資源的資源 ID 傳遞到修復動作，請選擇 資源 ID 參數。若已選取，則該參數會在執行時間替換為要修復的資源 ID。

   每個參數都有靜態值或動態值。如果您未從下拉式清單中選擇特定資源 ID 參數，則可以輸入每個金鑰的值。如果您從下拉式清單中選擇一個資源 ID 參數，則可以輸入所有其他金鑰 (選取的資源 ID 參數除外) 的值。

6. 選擇 儲存。即會顯示 規則 頁面。

用於故障診斷失敗的修復動作

對於故障診斷失敗的修復動作，您可以執行 AWS 命令列介面命令describe-remediation-execution-status，以取得一組資源的修復執行詳細資訊。詳細資訊包括修復執行步驟的狀態、時間戳記，以及失敗步驟的任何錯誤訊息。

即使對合規資源而言，也可以啟動自動修復

如果您使用 PutRemediationConfigurationsAPI或 AWS Config 主控台為特定 AWS Config 規則啟用自動修復，則會針對該特定規則的所有不合規資源啟動修復程序。自動修復程序依賴定期擷取的合規資料快照。在快照排程之間更新的任何不合規資源將繼續根據上次已知的合規資料快照進行補救。

這表示在某些情況下，即使對於合規資源，也可以啟動自動修復，因為引導處理器會使用資料庫，該資料庫會根據上次已知的合規資料快照，具有過時的評估結果。

Setting Up Auto Remediation (API)

使用下列 AWS Config API操作設定自動修復：

• PutRemediationExceptions，為具有特定 AWS Config 規則的特定資源新增新的例外狀況或更新現有的例外狀況。

• DescribeRemediationExceptions，會傳回一或多個修復例外的詳細資訊。