コスト、リージョン、およびパフォーマンスに関する考慮事項

サーバー側の暗号化を適用すると、 AWS KMS API の使用料金とキーコストが適用されます。カスタム KMS マスターキーとは異なり、(Default) aws/kinesis カスタマーマスターキー (CMK) は無料で提供されています。ただし、引き続きユーザーに代わって Amazon Kinesis Data Streams によって発生する API の使用料を支払う必要があります。

API の使用料金は、カスタムキーを含めたすべての CMK に適用されます。Kinesis Data Streams は、データキーを回転させている場合、約 5 分ごとに AWS KMS を呼び出します。30 日間で、Kinesis ストリームによって開始される AWS KMS API コールの合計コストは、数ドル未満である必要があります。このコストは、データプロデューサーとコンシューマーで使用するユーザー認証情報の数に応じて増加します。各ユーザー認証情報には、 への一意の API コールが必要なためです AWS KMS。認証に IAM ロールを使用すると、各ロールの継承コールは、一意のユーザー認証情報になります。KMS コストを節約するには、assume role コールによって返されるユーザー認証情報をキャッシュしておくとよい場合があります。

以下は、リソース別の料金の説明です。

キー

• （ AWS エイリアス = aws/kinesis) によって管理される Kinesis の CMK は無料です。

• ユーザー生成の KMS キーは、KMS キー料金の対象となります。詳細については、AWS Key Management Service の料金を参照してください。

API の使用料金は、カスタムキーを含めたすべての CMK に適用されます。Kinesis Data Streams は、データキーを回転させている場合、約 5 分ごとに KMS を呼び出します。1 か月 (30 日) では、Kinesis Data Streams によって開始された KMS API コールの合計コストは、数ドル未満になるはずです。このコストは、データプロデューサーとコンシューマーで使用するユーザー認証情報の数に応じて異なることに注意してください。これは、各ユーザー認証情報には AWS KMS への一意の API コールが必要なためです。認証に IAM ロールを使用すると、それぞれ assume-role-callが一意のユーザー認証情報を生成するため、KMS コストを節約 assume-role-call するために から返されたユーザー認証情報をキャッシュできます。

KMS API の使用

暗号化されたストリームごとに、TIP から読み取り、リーダーとライター間で単一の IAM アカウント/ユーザーアクセスキーを使用する場合、Kinesis サービスは 5分ごとに約 12 回 AWS KMS を呼び出します。TIP から読み取らないと、 AWS KMS サービスへの呼び出しが増える可能性があります。新しいデータ暗号化キーを生成する API リクエストには、 AWS KMS 使用コストがかかります。詳細については、AWS Key Management Service の料金: 使用量を参照してください。

リージョン別のサーバー側暗号化の利用可能性

現在、Kinesis ストリームのサーバー側の暗号化は、 AWS GovCloud （米国西部) や中国リージョンなど、Kinesis Data Streams でサポートされているすべてのリージョンで利用できます。Kinesis Data Streams がサポートされているるリージョンについては、https://docs.aws.amazon.com/general/latest/gr/ak.htmlを参照してください。

パフォーマンスに関する考慮事項

暗号化適用のサービスオーバーヘッドにより、サーバー側の暗号化を適用とすると、PutRecord、PutRecords、および GetRecords の標準的なレイテンシーが増加します (100μs 未満)。