本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用成本估算器
访问成本估算器
从 Security Hub 登录页面访问成本估算器
-
使用您的 AWS 组织管理 AWS 账户凭据登录您的账户。在 v2/home 上打开 us-east-1 区域的 Security Hub 控制台。https://console.aws.amazon.com/securityhub/
-
在登录页面上,找到定价卡。
-
选择 “估算成本”。
在 Security Hub 启用和配置步骤中访问成本估算器
-
在入门界面的新 Security Hub 卡片中找到定价。
-
选择 “查看估算值”。
要从 Amazon Inspector 或 Securit GuardDuty y Hub CSPM 控制台访问成本估算器
-
导航到服务仪表板或摘要页面。
-
在定价信息卡中选择 “比较价格”。
了解成本估算器接口
页面布局
“成本估算器” 页面包含三个主要部分:
-
概述部分 — 解释统一安全管理和成本优化的好处。
-
定价信息-包含功能类别和定价等级的可扩展面板。
-
定价对比表 — Side-by-side 成本比较和功能详情。
定价对比表
表格标题包括 view/edit 模式控件和重置选项。该表分两列显示成本:
-
个人服务-单独安全服务的当前或估计成本。
-
S@@ ecurity Hub — 使用简化的定价模型估算成本。
定价区域
第一列显示定价背景信息,包括关于估算值使用 us-east-1 定价进行计算的注释。徽章表示估算中不包括企业折扣。
查看成本估算
使用成本估算器时,您可以查看、编辑、重置和导出估算值。
默认情况下,成本估算器在视图模式下打开。
查看成本估算
-
使用中描述的方法之一访问成本估算器。访问成本估算器
-
查看摘要行中的每月总成本。
-
查看能力组及其详细的成本明细。
-
选择权能名称以在弹出框中查看描述。
视图模式下的数据源
估算器显示来自多个来源的数据,由标签表示:
-
默认-来自 AWS Cost Explorer (过去 30 天)的数据。
-
$-/mo-成本数据不可用(当无法访问 Cost Explorer 时显示)。
-
自定义用法-用户输入的值。
-
未启用 — 在 Cost Explorer 权限不存在时显示。
特定于账户的行为
以下内容描述了成本估算器如何在不同类型的账户和配置中发挥作用。
委派的管理员和成员账户
配置跨账户访问权限后:
-
Cost Explorer 数据可在组织范围内使用。
-
默认情况下以查看模式打开(与管理账户相同)。可以切换到编辑模式来修改估计值。
未配置跨账户访问权限:
-
警报显示:“该账户的组织使用数据不可用”。
-
默认情况下以编辑模式打开,便于手动输入。
-
点击警报中的 “查看说明” 以获取设置指导。
管理账户
创建跨账户角色后:
-
“跨账户访问” 部分显示配置状态。
-
显示推荐的验证策略。
-
提供在 IAM 控制台中查看角色的链接。
未创建跨账户角色:
-
“跨账户访问” 部分显示设置指南。
-
提供带有预先填充策略的 step-by-step说明。
-
直接链接到 IAM 控制台以创建角色。
无法验证角色状态:
-
如果没有呼叫权限
iam:GetRole,则控制台无法确定您是否创建了必要的角色。 -
显示 “无法验证” 以及相应的错误消息。
独立账户
未创建跨账户角色:
-
现有行为没有变化。
-
Cost Explorer 数据在启用后可用。
-
默认情况下以视图模式打开。
编辑使用量值
编辑模式允许您修改维度值并查看实时成本更新。
编辑使用量值
-
在表格标题中选择 “编辑”。
-
在维度输入字段中输入值。
-
自动查看更新的费用。
-
选择 “查看” 可返回到查看模式。
重要
-
当您离开成本估算器页面时,编辑内容不会保存
-
修改后的估算值使用 us-east-1(弗吉尼亚北部)定价,不包括企业折扣
-
在 “仅显示当前成本” 模式下进行编辑会自动切换回预估模式
重置估算器
此操作会清除所有自定义值并从 Cost Explorer 中重新加载默认数据。
将所有值重置为默认值
-
在表格标题中选择 “重置”。
-
在确认对话框中,选择重置。
导出估计值
而在成本估算器中,您的估算数据可以导出为PDF文件。
导出成本估算
-
确保您处于查看模式。
-
在页眉中选择 “下载 PDF”。
PDF 会自动下载,文件名为:SecurityHub-Cost-Estimate-YYYY-MM-DD.pdf.
问题排查
本节介绍使用成本估算器时可能出现的常见问题和解决方案
没有可用的 Cost Explorer 数据
问题
提醒显示 “您的账户没有可用的费用数据”。
按账户类型划分的解决方案
解决方案取决于您的账户类型:
| Account Type (账户类型) | 解决方案 |
|---|---|
| 管理账户 | 启用 Cost Explorer 并等待 24 小时进行数据处理 |
| 委托管理员 | 联系管理账户管理员申请访问权限 |
| 会员账号 | 请联系管理账户或授权管理员获取访问权限 |
| 独立账户 | 启用 Cost Explorer 并等待 24 小时进行数据处理 |
解决办法
在编辑模式下输入自定义值。
跨账户访问不起作用
问题
“授权的管理员或成员账户显示 “该账户的组织使用数据不可用” 警报。
可能的原因和解决方案
-
管理账户中不存在跨账户角色。
-
解决方案:请联系管理账户管理员创建角色。
-
成本估算器为管理账户用户提供指导性设置说明。
-
-
角色名称不完全匹配。
-
必填角色名:
AwsSecurityHubCostEstimatorCrossAccountRole. -
解决方案:验证 IAM 控制台中的角色名称是否完全匹配(区分大小写)。
-
-
信任政策不允许您开设账户。
-
解决方案:验证信任策略主体包括您的账户 ID 和角色名称。
-
格式:
arn:aws:iam::{YOUR_ACCOUNT_ID}:role/{YOUR_ROLE_NAME}。
-
-
缺少 AssumeRole 权限。
-
解决方案:验证您的 IAM 委托人是否拥有
sts:AssumeRole权限。 -
请联系您的 AWS 管理员添加此权限。
-
解决办法:
在编辑模式下输入自定义值,无需使用 Cost Explorer 数据即可手动估算成本。
获取详细说明
-
点击提醒中的 “查看说明” 链接,打开一个包含以下内容的模式:
-
Step-by-step 设置指南
-
预先填充的策略模板
-
针对您的错误的疑难解答提示
-
权限错误
问题
特定 API 操作出现 “访问被拒绝” 错误。
解决权限错误
-
记下错误消息中被拒绝的操作(例如
ce:GetCostAndUsage)。 -
选择 “复制” 以复制错误详情。
-
将错误详细信息发送给您的 AWS 管理员。
-
请求中列出的必需 IAM 权限所需的 IAM 权限。
注意
如果缺少权限,您仍然可以使用编辑模式手动输入值,除非定价 API 访问被拒绝(禁止所有成本估算)。
功能显示 “未启用”
问题
功能显示 “未启用” 状态。
说明
当您拥有 Cost Explorer 访问权限但该功能当前未处于活动状态时,就会显示此状态。如果您改为看到$-/mo,则表示您的账户类型不可用 Cost Explorer 数据。
查看成本估算
-
选择 “编辑” 进入编辑模式。
-
输入权能的维度值。
-
查看更新的成本估算。
能力显示 “不适用”
问题
能力在 “个人服务” 列中显示 “不适用”。
说明
此功能只能通过 Security Hub 的简化定价提供,不能作为独立服务提供。
修改后的费用与 Cost Explorer 不匹配
问题
编辑后的费用与最初的 Cost Explorer 值不同。
说明
修改后的估算值使用 us-east-1(弗吉尼亚北部)的定价率,不包括企业折扣。Cost Explorer 数据反映了实际成本和适用的折扣。
