Überwachung der Kosten - Amazon Cognito
Kosten anzeigen und antizipierenVerwalten von Kosten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Überwachung der Kosten

Amazon Cognito berechnet Gebühren für die folgenden Dimensionen Ihrer Nutzung.

  • Benutzerpool monatlich aktive Nutzer () MAUs

  • Benutzerpool, der bei OIDC oder im SAML Verbund MAUs angemeldet ist

  • MAUsin einem Benutzerpool mit erweiterten Sicherheitsfunktionen

  • Aktive Benutzer bündeln App-Clients und fordern Volumen für die Machine-to-Machine-Autorisierung (M2M) an, wobei die Kundenanmeldedaten gewährt werden

  • Gekaufte Nutzung über den Standardkontingenten für einige Kategorien von Benutzerpools APIs

Darüber hinaus können Funktionen Ihres Benutzerpools wie E-Mail-Nachrichten, SMS Nachrichten und Lambda-Trigger Kosten für abhängige Dienste verursachen. Eine vollständige Übersicht finden Sie unter Amazon Cognito Pricing.

Kosten anzeigen und antizipieren

In der AWS Billing and Cost Management Konsole können Sie Ihre AWS Kosten einsehen und entsprechende Berichte erstellen. Ihre aktuellen Gebühren für Amazon Cognito finden Sie im Abschnitt Abrechnung und Zahlungen. Filtern Sie unter Rechnungen, Gebühren nach Service nach Service nach, Cognito um Ihre Nutzung einzusehen. Weitere Informationen finden Sie unter Anzeigen Ihrer Rechnung im AWS Billing -Benutzerhandbuch.

Um die API Anforderungsraten zu überwachen, überprüfen Sie die Nutzungsmetrik in der Service-Kontingents-Konsole. Beispielsweise werden Anfragen zu Kundenanmeldedaten als Rate der ClientAuthentication Anfragen angezeigt. In Ihrer Rechnung sind diese Anfragen dem App-Client zugeordnet, der sie erstellt hat. Mit diesen Informationen können Sie die Kosten in einer Mehrmandantenarchitektur gerecht auf die Mieter verteilen.

Um die Anzahl der M2M-Anfragen für einen bestimmten Zeitraum zu ermitteln, können Sie AWS CloudTrail Ereignisse auch zur CloudWatch Analyse an Logs senden. Fragen Sie Ihre CloudTrail Ereignisse nach Token_POST Ereignissen ab, für die Sie Kundendaten erhalten haben. Die folgende CloudWatch Insights-Abfrage gibt diese Anzahl zurück.

filter eventName = "Token_POST" and @message like '"grant_type":["client_credentials"]' | stats count(*)

Verwalten von Kosten

Amazon Cognito berechnet auf der Grundlage der Benutzerzahl, der Nutzung der Funktionen und des Anforderungsvolumens. Im Folgenden finden Sie einige Tipps zur Kostenverwaltung in Amazon Cognito:

Aktivieren Sie keine inaktiven Benutzer

Typische Vorgänge, bei denen ein Benutzer aktiv wird, sind Anmeldung, Registrierung und Zurücksetzen des Passworts. Eine ausführlichere Liste finden Sie unter. Monthly active users (Aktive Benutzer pro Monat) Amazon Cognito zählt inaktive Benutzer nicht auf Ihre Rechnung. Vermeiden Sie alle Vorgänge, bei denen ein Benutzer aktiv wird. Fragen Sie Benutzer statt der AdminGetUserAPIOperation mit der ListUsersOperation ab. Führen Sie keine umfangreichen administrativen Tests von Benutzerpool-Vorgängen mit inaktiven Benutzern durch.

Verbundene Benutzer verknüpfen

Benutzer, die sich mit einem SAML 2.0- oder OpenID Connect (OIDC) -Identitätsanbieter anmelden, haben höhere Kosten als lokale Benutzer. Sie können diese Benutzer mit einem lokalen Benutzerprofil verknüpfen. Ein verknüpfter Benutzer kann sich als lokaler Benutzer mit den Attributen und Zugriffsrechten anmelden, die für seinen Verbundbenutzer gelten. Benutzern von SAML oder, OIDC IdPs die sich im Laufe eines Monats nur mit einem verknüpften lokalen Konto anmelden, wird dies als lokale Benutzer abgerechnet.

Tarife für Anfragen verwalten

Wenn sich Ihr Benutzerpool der Obergrenze Ihres Kontingents nähert, könnten Sie erwägen, zusätzliche Kapazität zu erwerben, um das Volumen zu bewältigen. Möglicherweise können Sie das Volumen der Anfragen in Ihrer Anwendung reduzieren. Weitere Informationen finden Sie unter Optimieren Sie die Anforderungsraten für Kontingentgrenzen.

Fordern Sie nur dann ein neues Token an, wenn Sie eines benötigen

Bei der Machine-to-Machine-Autorisierung (M2M) mit der Gewährung von Kundenanmeldedaten kann es zu einer hohen Anzahl von Token-Anfragen kommen. Jede neue Token-Anfrage wirkt sich auf Ihre Quote für Anfragen und die Höhe Ihrer Rechnung aus. Um die Kosten zu optimieren, sollten Sie die Einstellungen für das Ablaufen von Token und die Token-Handhabung in das Design Ihrer Anwendungen einbeziehen.

  • Zwischenspeichern Sie Zugriffstoken, sodass Ihre Anwendung, wenn sie ein neues Token anfordert, eine zwischengespeicherte Version eines zuvor ausgegebenen Tokens erhält. Wenn Sie diese Methode implementieren, schützt Ihr Caching-Proxy vor Anwendungen, die Zugriffstoken anfordern, ohne sich des Ablaufs zuvor erworbener Token bewusst zu sein. Das Zwischenspeichern von Tokens ist ideal für kurzlebige Microservices wie Lambda-Funktionen und Docker-Container.

  • Implementieren Sie in Ihren Anwendungen Mechanismen zur Token-Behandlung, die den Ablauf von Tokens berücksichtigen. Fordern Sie kein neues Token an, bis frühere Token bald ablaufen. Es hat sich bewährt, Token nach etwa 75% der Token-Lebensdauer zu aktualisieren. Diese Vorgehensweise maximiert die Tokendauer und gewährleistet gleichzeitig die Benutzerkontinuität in Ihrer Anwendung.

    Bewerten Sie die Vertraulichkeits- und Verfügbarkeitsanforderungen jeder Anwendung und konfigurieren Sie den Benutzerpool-App-Client so, dass Zugriffstoken mit einer angemessenen Gültigkeitsdauer ausgestellt werden. Die Dauer eines benutzerdefinierten Tokens eignet sich am besten für Server mit einer längeren Lebensdauer APIs und Servern, die die Häufigkeit von Anfragen nach Anmeldeinformationen dauerhaft verwalten können.

Löschen Sie ungenutzte Client-Anmeldeinformationen (App-Clients).

Die Abrechnung der M2M-Autorisierung basiert auf zwei Faktoren: der Rate der Token-Anfragen und der Anzahl der App-Clients, die Kundenanmeldedaten gewähren. Wenn App-Clients für die M2M-Autorisierung nicht verwendet werden, löschen Sie sie oder entziehen Sie ihnen die Autorisierung zur Ausgabe von Kundenanmeldedaten. Weitere Informationen zur Verwaltung der App-Client-Konfiguration finden Sie unterApp-Clients für Benutzerpools.

Erweiterte Sicherheit verwalten

Wenn Sie erweiterte Sicherheitsfunktionen in einem Benutzerpool konfigurieren, gilt der Abrechnungstarif für erweiterte Sicherheitsfunktionen für alle Benutzer MAUs im Benutzerpool. Wenn Sie Benutzer haben, die keine erweiterten Sicherheitsfunktionen benötigen, teilen Sie sie in einen anderen Benutzerpool auf.