Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Surveillance et gestion des coûts
Comme pour tout autre outil Service AWS, il est important de comprendre l'effet de la configuration et de l'utilisation d'Amazon Cognito sur votre AWS facture. Dans le cadre de vos préparatifs en vue du déploiement de groupes d'utilisateurs en production, mettez en place un système de surveillance et de protection de l'activité et de la consommation de ressources. Lorsque vous savez où chercher et quelles actions entraînent des coûts supplémentaires, vous pouvez mettre en place des précautions pour éviter les surprises sur votre facture.
Amazon Cognito facture les dimensions suivantes de votre utilisation.
-
Groupe d'utilisateurs utilisateurs actifs par mois (MAUs)
-
Groupe d'utilisateurs MAUs connecté avec OIDC ou SAML fédération
-
MAUsdans un groupe d'utilisateurs doté de fonctionnalités de sécurité avancées
-
Groupe d'utilisateurs actifs, clients d'applications et volume de demandes d'autorisation machine à machine (M2M) avec octroi d'informations d'identification client
-
Utilisation achetée supérieure aux quotas par défaut pour certaines catégories de groupes d'utilisateurs APIs
En outre, les fonctionnalités de votre groupe d'utilisateurs, telles que les e-mails, SMS les messages et les déclencheurs Lambda, peuvent entraîner des coûts pour les services dépendants. Pour un aperçu complet, consultez la section Tarification d'Amazon Cognito
Visualisation et anticipation des coûts
Les événements à volume élevé, tels que les lancements de produits et l'ouverture à de nouvelles bases d'utilisateurs, peuvent augmenter votre MAU nombre et avoir un impact sur les coûts. Estimez le nombre de nouveaux utilisateurs à l'avance et observez l'activité au fur et à mesure. Il se peut que vous souhaitiez adapter le volume en achetant une capacité de quota supplémentaire ou contrôler le volume à l'aide de mesures de sécurité supplémentaires.
Vous pouvez consulter et générer des rapports sur vos AWS coûts dans la AWS Billing and Cost Management consoleCognito
pour afficher votre consommation. Pour plus d’informations, consultez la section Viewing your bill (Affichage d’une facture) dans le Guide de l’utilisateur AWS Billing .
Pour surveiller les taux de API demandes, consultez la métrique d'utilisation dans la console Service Quotas. Par exemple, les demandes d'informations d'identification des clients s'affichent sous forme de taux de ClientAuthentication demandes. Dans votre facture, ces demandes sont associées à l'application cliente qui les a produites. Grâce à ces informations, vous pouvez répartir équitablement les coûts entre les locataires dans une architecture multi-locataires.
Pour connaître le nombre de demandes M2M sur une période donnée, vous pouvez également envoyer des AWS CloudTrail événements à CloudWatch Logs à des fins d'analyse. Recherchez dans vos CloudTrail événements les Token_POST
événements bénéficiant d'une autorisation d'identification client. La requête CloudWatch Insights suivante renvoie ce nombre.
filter eventName = "Token_POST" and @message like '"grant_type":["client_credentials"]' | stats count(*)
Gestion des coûts
Amazon Cognito facture en fonction du nombre d'utilisateurs, de l'utilisation des fonctionnalités et du volume de demandes. Voici quelques conseils pour gérer les coûts dans Amazon Cognito,
N'activez pas les utilisateurs inactifs
Les opérations typiques qui rendent un utilisateur actif sont la connexion, l'inscription et la réinitialisation du mot de passe. Pour une liste plus complète, voirMonthly active users (Utilisateurs actifs mensuels). Amazon Cognito ne prend pas en compte les utilisateurs inactifs dans le calcul de votre facture. Évitez toute opération qui active un utilisateur. Au lieu de l'AdminGetUserAPIopération, interrogez les utilisateurs avec l'ListUsersopération. N'effectuez pas de tests administratifs volumineux sur les opérations du groupe d'utilisateurs avec des utilisateurs inactifs.
Lier les utilisateurs fédérés
Les utilisateurs qui se connectent avec un fournisseur d'identité SAML 2.0 ou OpenID Connect (OIDC) ont un coût plus élevé que les utilisateurs locaux. Vous pouvez associer ces utilisateurs à un profil utilisateur local. Un utilisateur lié peut se connecter en tant qu'utilisateur local avec les attributs et les accès fournis avec son utilisateur fédéré. Les utilisateurs issus d'un compte local associé SAML ou OIDC IdPs qui, au cours d'un mois, ne se connectent qu'à l'aide d'un compte local associé sont facturés comme des utilisateurs locaux.
Gérez les taux de demandes
Si votre groupe d'utilisateurs approche de la limite supérieure de votre quota, vous pouvez envisager d'acheter de la capacité supplémentaire pour gérer le volume. Vous pourriez être en mesure de réduire le volume de demandes dans votre application. Pour de plus amples informations, veuillez consulter Optimisation des taux de demandes pour les limites de quotas.
Demandez un nouveau jeton uniquement lorsque vous en avez besoin
L'autorisation de machine à machine (M2M) avec l'octroi d'informations d'identification aux clients peut atteindre un volume élevé de demandes de jetons. Chaque nouvelle demande de jeton a un effet sur votre quota de taux de demandes et sur le montant de votre facture. Pour optimiser les coûts, incluez les paramètres d'expiration des jetons et la gestion des jetons dans la conception de vos applications.
-
Jetons d'accès au cache afin que, lorsque votre application demande un nouveau jeton, elle reçoive une version mise en cache d'un jeton émis précédemment. Lorsque vous implémentez cette méthode, votre proxy de mise en cache agit comme une protection contre les applications qui demandent des jetons d'accès sans se rendre compte de l'expiration des jetons précédemment acquis. La mise en cache des jetons est idéale pour les microservices de courte durée tels que les fonctions Lambda et les conteneurs Docker.
-
Mettez en œuvre des mécanismes de gestion des jetons dans vos applications qui tiennent compte de l'expiration des jetons. Ne demandez pas de nouveau jeton avant que les jetons précédents ne soient sur le point d'expirer. La meilleure pratique consiste à actualiser les jetons à environ 75 % de leur durée de vie. Cette pratique maximise la durée des jetons tout en garantissant la continuité des utilisateurs dans votre application.
Évaluez les besoins de confidentialité et de disponibilité de chaque application et configurez le client de l'application du pool d'utilisateurs pour émettre des jetons d'accès avec une période de validité appropriée. La durée du jeton personnalisé fonctionne mieux avec des serveurs à durée de vie plus longue APIs et capables de gérer en permanence la fréquence des demandes d'informations d'identification.
Supprimer les informations d'identification client non utilisées (clients d'applications)
Les factures d'autorisation M2M sont basées sur deux facteurs : le taux de demandes de jetons et le nombre de clients de l'application qui accordent des identifiants aux clients. Lorsque les clients de l'application pour l'autorisation M2M ne sont pas utilisés, supprimez-les ou retirez leur autorisation d'émettre des informations d'identification client. Pour plus d'informations sur la gestion de la configuration du client d'application, consultezParamètres spécifiques à l'application avec les clients d'applications.
Gérez la sécurité avancée
Lorsque vous configurez des fonctionnalités de sécurité avancées dans un groupe d'utilisateurs, le taux de facturation de sécurité avancé s'applique MAUs à tous les membres du groupe d'utilisateurs. Si certains de vos utilisateurs n'ont pas besoin de fonctionnalités de sécurité avancées, séparez-les dans un autre groupe d'utilisateurs.