本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
成本
运行此解决方案所用的 AWS 服务费用由您承担。从本次修订开始,在美国东部(弗吉尼亚北部)使用默认设置运行此解决方案的成本约 AWS 区域 为 21.17 美元(每月 300 次修复),每月 3,000 次修复 134.86 美元,每月 30,000 次修复 1,281.01 美元。价格可能会发生变化。有关完整详情,请参阅此解决方案中使用的每项 AWS 服务的定价页面。
注意
许多AWS服务都包括免费套餐,即客户可以免费使用的基本服务量。实际成本可能高于或低于提供的定价示例。
我们建议通过创建预算AWS Cost Explorer来帮助管理成本。价格可能会发生变化。有关完整详情,请参阅此解决方案中使用的每项 AWS 服务的定价网页。
费用表示例
运行此解决方案的总成本取决于以下因素:
-
AWS Security Hub 成员账号的数量
-
主动自动调用的修正的数量
-
补救的频率
此解决方案使用以下 AWS 组件,这些组件会根据您的配置产生费用。为小型、中型和大型组织提供了定价示例。
| 服务 | 免费套餐 | 定价 [USD] |
|---|---|---|
| AWS Systems Manager 自动化-步数 |
每个账户每月 100,000 步 | 除免费套餐外,每个基本步骤的费用为每步 0.002 美元。对于多账户自动化,所有步骤,包括在任何儿童账户中运行的步骤,都仅计入原始账户。 |
| AWS Systems Manager 自动化-步骤持续时间 |
每月 5,000 秒 | 除了免费套餐之外,每个 aws: executeScript action 步骤在每月 5,000 秒的免费套餐之后每秒收取 0.00003 美元的费用。 |
| AWS Systems Manager 自动化-存储 |
没有免费套餐 | 每月每 GB 0.046 美元 |
| AWS Systems Manager 自动化-数据传输 |
没有免费套餐 | 每 GB 转账 0.900 美元(跨账户或) out-of-Region |
| AWS Security Hub -安全检查 |
没有免费套餐 |
前 10 万张每张支票的checks/account/Region/month费用为 0.0010 美元 接下来的 40 万张每张支票的checks/account/Region/month费用为 0.0008 美元 超过 50 万张每张支票的checks/account/Region/month费用为 0.0005 美元 |
| AWS Security Hub -查找摄取事件 |
前 10,000 events/account/Region/month 是免费的。查找与 Security Hub 的安全检查相关的摄取事件。 | 超过 10,000 人每场events/account/Region/month活动的费用为 0.00003 美元 |
| 亚马逊 CloudWatch -指标 |
基本监控指标(以 5 分钟为频率)10 个详细监控指标(频率为 1 分钟)100 万个API请求(不适用于 GetMetricData和 GetMetricWidgetImage) |
前 10,000 个指标每月花费 0.30 美元 接下来的 240,000 个指标每月花费 0.10 美元 接下来的 750,000 个指标每月花费 0.05 美元 超过 100 万个指标的费用为每月 0.02 美元 API每 1,000 个请求的通话费用为 0.01 美元 |
| 亚马逊 CloudWatch -控制面板 |
3 个控制面板,每月最多可显示 50 个指标 | 每个控制面板每月 3.00 美元 |
| Amazon CloudWatch -警报 |
10 个警报指标(不适用于高分辨率警报) |
标准分辨率(60 秒)费用为每个警报 0.10 美元 高分辨率(10 秒)的费用为每个警报指标 0.30 美元 标准分辨率异常检测费用为每个警报 0.30 美元 高分辨率异常检测费用为每个警报 0.90 美元 每个警报的复合费用为 0.50 美元 |
| Amazon CloudWatch -日志收集 |
5GB 数据(摄取、存档存储以及通过 Logs Insights 查询扫描的数据) | 每 GB 0.50 美元 |
| Amazon CloudWatch -日志存储 |
5GB 数据(摄取、存档存储以及通过 Logs Insights 查询扫描的数据) | 扫描的每 GB 数据为 0.005 美元 |
| 亚马逊 CloudWatch -活动 |
包括除自定义事件之外的所有事件 | 自定义事件每百万事件 1.00 美元跨账户事件每百万事件 1.00 美元 |
| AWS Lambda -请求 |
每月 100 万次免费请求 | 每 100 万个请求 0.20 美元 |
| AWS Lambda -持续时间 |
每月 400,000 GB 秒的计算时间 | 每 GB 秒收取 0.0000166667 美元。持续时间的价格取决于您为函数分配的内存量。您可以为函数分配介于 128MB 到 10,240MB 之间任意数量的内存,以 1MB 为增量。 |
| AWS Step Functions -状态转换 |
每月 4,000 次自由状态转换 | 此后每 1,000 个状态转换为 0.025 美元 |
| Amazon EventBridge |
AWS 服务发布的所有状态变更事件都是免费的 | 自定义事件每发布一百万个自定义事件的成本 第三方 (SaaS) 事件每发布一百万个事件的成本为100万美元 跨账户事件的费用为每发送一百万次跨账户事件 |
| Amazon SNS |
每月前 100 万个 Amazon SNS 请求是免费的 | 此后每100万个请求0.50美元 |
| Amazon SQS |
每月前 100 万个 Amazon SQS 请求是免费的 | 此后每 100 万至 1000 亿个请求中有 0.40 美元 |
| Amazon DynamoDB |
前 25GB 的存储空间是免费的 | 此后每 100 万次持续读取和写入 2.00 美元 |
定价示例(每月)
示例 1:每月修复 300 次
-
10 个账户,1 个区域
-
每次 30 次修复 account/Region/month
-
每月总费用为 21.17 美元
| 服务 | 假设 | 月度费用 [USD] |
|---|---|---|
| AWS Systems Manager 自动化 |
步骤:大约 4 个步骤 * 300 次修复 * 0.002 美元 = 2.40 美元 时长:10 秒 * 300 次修复 * 0.00003 美元 = 0.09 美元 |
2.49 美元 |
| AWS Security Hub | 未使用任何可计费的服务 | $0 |
| Amazon CloudWatch 日志 |
300 次补救 * 0.000002 美元 = 0.0006 美元 0.0006 * 0.03 = 0.000018 美元 |
< 0.01 美元 |
| AWS Lambda -请求 |
300 次补救 * 6 个请求 = 1,800 个请求 0.20 * 1,000,000 个请求 = 0.20 美元 |
0.20 美元 |
| AWS Lambda -持续时间 | 2.56M:1.875 GB 秒 * 300 次修复 * 0.0000167 美元 = 0.009375 美元 | < 0.01 美元 |
| AWS Step Functions |
17 个状态转换 * 300 次修复 = 5,100 0.025 美元 * (5,100/1,000) 状态转换 = 0.15 美元 |
0.15 美元 |
| 亚马逊 EventBridge 规则 | 规则不收费 | $0 |
| AWS Key Management Service | 1 个密钥 * 10 个账户 * 1 个区域 * $1 = 10 美元 | 10.00 美元 |
| Amazon DynamoDB | 2.00 * 1,000,000 次读取和写入 = 2.00 美元 | 2.00 美元 |
| Amazon SQS | 0.40 * 1,000,000 个请求 = 0.40 美元 | 0.40 美元 |
| Amazon SNS | 0.50 美元 * 1,000,000 个通知 = 0.50 美元 | 0.50 美元 |
| 亚马逊 CloudWatch -指标 |
0.30 美元 * 7 个自定义指标 = 2.10 美元 0.01 美元* (300 * 3/1,000) 看跌期权指标API调用 = 0.01 美元 |
2.11 美元 |
| Amazon CloudWatch -控制面板 | 3.00 美元 * 1 个仪表板 = 3.00 美元 | 3.00 美元 |
| 亚马逊 CloudWatch — 警报 | 0.10 美元 * 3 个警报 = 0.30 美元 | 0.30 美元 |
| 总计 | 21.17 美元 |
示例 2:每月修复 3,000 次
-
100 个账户,1 个区域
-
每次 30 次修复 account/Region/month
-
每月总花费 134.86 美元
| 服务 | 假设 | 月度费用 [USD] |
|---|---|---|
| AWS Systems Manager 自动化 |
步骤:大约 4 个步骤 * 3,000 次补救 * 0.002 美元 = 24.00 美元 时长:10 秒 * 3,000 次修复 * 0.00003 美元 = 0.90 美元 |
24.90 美元 |
| AWS Security Hub | 未使用任何可计费的服务 | $0 |
| Amazon CloudWatch 日志 |
3,000 次补救 * 0.000002 美元 = 0.006 美元 0.006 * 0.03 = 0.00018 美元 |
< 0.01 美元 |
| AWS Lambda -请求 |
3,000 次补救 * 6 次请求 = 18,000 次请求 0.20 * 1,000,000 个请求 = 0.20 美元 |
0.20 美元 |
| AWS Lambda -持续时间 | 2.56M:1.875 GB 秒 * 3,000 次修复 * 0.000167 美元 = 0.09375 美元 | 0.09 美元 |
| AWS Step Functions |
17 个状态转换 * 3,000 次修复 = 51,000 0.025 美元 * (51,000/1,000) 状态转换 = 1.275 美元 |
1.28 美元 |
| 亚马逊 EventBridge 规则 | 规则不收费 | $0 |
| AWS Key Management Service | 1 个密钥 * 100 个账户 * 1 个区域 * $1 = 100 美元 | 100 USD |
| Amazon DynamoDB | 2.00 * 1,000,000 次读取和写入 = 2.00 美元 | 2.00 美元 |
| Amazon SQS | 0.40 * 1,000,000 个请求 = 0.40 美元 | 0.40 美元 |
| Amazon SNS | 0.50 美元 * 1,000,000 个通知 = 0.50 美元 | 0.50 美元 |
| 亚马逊 CloudWatch -指标 |
0.30 美元 * 7 个自定义指标 = 2.10 美元 0.01 美元* (3000 * 3/1,000) 看跌期权指标API调用 = 0.09 美元 |
2.19 美元 |
| Amazon CloudWatch -控制面板 | 3.00 美元 * 1 个仪表板 = 3.00 美元 | 3.00 美元 |
| 亚马逊 CloudWatch — 警报 | 0.10 美元 * 3 个警报 = 0.30 美元 | 0.30 美元 |
| 总计 | 134.86 美元 |
示例 3:每月修复 30,000 次
-
1,000 个账户,1 个区域
-
每次 30 次修复 account/Region/month
-
每月总费用为1,281.01美元
| 服务 | 假设 | 月度费用 [USD] |
|---|---|---|
| AWS Systems Manager 自动化 |
步骤:大约 4 个步骤 * 30,000 次补救 * 0.002 美元 = 240.00 美元 时长:10 秒 * 30,000 次修复 * 0.00003 美元 = 9.00 美元 |
249.00 美元 |
| AWS Security Hub | 未使用任何可计费的服务 | $0 |
| Amazon CloudWatch 日志 |
30,000 次补救 * 0.000002 美元 = 0.06 美元 0.06 * 0.03 = 0.0018 美元 |
< 0.01 美元 |
| AWS Lambda -请求 |
30,000 次补救 * 6 次请求 = 180,000 次请求 0.20 * 1,000,000 个请求 = 0.20 美元 |
0.20 美元 |
| AWS Lambda -持续时间 | 2.56 亿:1.875 GB 秒 * 30,000 次修复 * 0.000167 美元 = 0.9375 美元 | 0.94 美元 |
| AWS Step Functions |
17 个状态转换 * 30,000 次修复 = 510,000 0.025 美元 * (510,000/1,000) 状态转换 = 12.75 美元 |
12.75 美元 |
| 亚马逊 EventBridge 规则 | 规则不收费 | $0 |
| AWS Key Management Service | 1 个密钥 * 1,000 个账户 * 1 个区域 * $1 = 1,000 美元 | 1,000 美元 |
| Amazon DynamoDB | 0.000002 * 1,000,000 次读取和写入 = 2.00 美元 | 2.00 美元 |
| Amazon SQS | 0.000004 * 1,000,000 个请求 = 0.40 美元 | 0.40 美元 |
| Amazon SNS | 0.000005 * 1,000,000 个通知 = 0.50 美元 | 0.50 美元 |
| 亚马逊 CloudWatch -指标 |
0.30 美元 * 6 个自定义指标 = 1.80 美元 0.01 美元* (30,000 * 3/1,000) 看跌期权指标看涨期权 = 0. API 90 美元 |
2.70 美元 |
| Amazon CloudWatch -控制面板 | 3.00 美元 * 1 个仪表板 = 3.00 美元 | 3.00 美元 |
| 亚马逊 CloudWatch — 警报 | 0.10 美元 * 2 个警报 = 0.20 美元 | 0.20 美元 |
| Amazon CloudWatch — 应用程序见解 |
0.10 美元 * 40 个警报(最大值)= 4.00 美元 0.53 美元* 10 GB 日志数据(估计值) = 5.30 美元 0.00267 * 5 OpsItems (估计值) = ~0.01 美元 |
9.31 美元 |
| 总计 | 1,281.01 美元 |
可选功能的额外费用
本节列出了与该解决方案的可选功能相关的额外成本。
增强的 CloudWatch 指标
如果您在部署管理堆栈时选择yes该EnableEnhancedCloudWatchMetrics参数,则该解决方案会为每个控件 ID 创建两个自定义指标和一个警报。费用取决于您要修复IDs的控制数量。在下表中,我们假设您IDs每月要修复所有96种不同的控制措施,以确定成本的上限。
| 服务 |
假设 96 个控件 IDs * 2 = 192 个自定义指标 |
月度费用 [USD] |
|---|---|---|
| 亚马逊 CloudWatch -指标 | 0.30 美元 * 192 个自定义指标 = 57.60 美元 | 57.60 美元 |
| Amazon CloudWatch -警报 | 0.10 美元 * 96 个警报 = 9.60 美元 | 9.60 美元 |
| 总计 | 67.20 美元 |
CloudTrail 操作日志
在您为其启用操作日志功能的每个成员账户中,解决方案都会创建一个记录所有写入管理事件的 CloudTrail 跟踪。Lambda 函数会筛选出与解决方案无关的事件。这意味着费用与您账户中的管理事件总数有关,因为与解决方案无关的事件仍由跟踪捕获并由 Lambda 函数处理。
在下表中,我们假设账户中每月有 150,000 个管理事件。实际费用取决于您账户中的实际管理活动活动。
| 服务 | 假设 | 月度费用 [USD] |
|---|---|---|
| AWS CloudTrail | 150,000 * 2.00美元/100,000 美元 = 3.00 美元 | 3.00 美元 |
| Lambda |
150,000 * 0.2 * 0.125 = 3,750 Gb-秒 3,750 * 0.0000166667 美元 = 0.0625 美元的计算时间成本 0.15 * 0.20 美元 = 0.03 美元请求费用 0.0625 美元 + 0.03 美元 = Lambda 总成本 0.0952 美元 |
0.0925 美元 |
| 总计 | 每个会员账户 3.09 美元 |
