本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
成本
您负责支付用于运行此解决方案的 AWS 服务的费用。
自本次修订以来,估计的每月费用为:
-
小型部署(10 个账户,1 个区域-美国 East/N. Virginia): Approximately $21.17 for 300 remediations/month
-
中型部署(100 个账户,1 个区域-美国)East/N. Virginia): Approximately $134.86 for 3,000 remediations/month
-
大规模部署(1,000 个账户,10 个区域):大约 10,271.70 美元,用于每月修复 30,000 次
重要
价格可能会发生变化。有关完整详情,请参阅本解决方案中使用的每项 AWS 服务的定价页面。
注意
许多 AWS 服务都包含免费套餐,即客户可以免费使用的基本服务量。实际成本可能高于或低于提供的定价示例。
我们建议通过 AWS Cost Explorer 创建预算,以帮助管理成本。价格可能会发生变化。有关完整详情,请参阅本解决方案中使用的每项 AWS 服务的定价网页。
费用表示例
运行此解决方案的总成本取决于以下因素:
-
AWS Security Hub 成员账户的数量
-
主动自动调用的修正的数量
-
补救频率
此解决方案使用以下 AWS 组件,这些组件会根据您的配置产生费用。为小型、中型和大型组织提供了定价示例。
| 服务 | 免费套餐 | 定价 [美元] |
|---|---|---|
|
每个账户每月 100,000 步 |
除免费套餐外,每个基本步骤的费用为每步 0.002 美元。对于多账户自动化,所有步骤,包括在任何儿童账户中运行的步骤,都仅计入原始账户。 |
|
|
每月 5,000 秒 |
除了免费套餐之外,每个 AWS: ExecuteScript 操作步骤在每月 5,000 秒的免费套餐之后每秒收取 0.00003 美元的费用。 |
|
|
没有免费套餐 |
每月每 GB 0.046 美元 |
|
|
没有免费套餐 |
每 GB 转账 0.900 美元(跨账户或) out-of-Region |
|
|
没有免费套餐 |
前 10 万张每张支票的checks/account/Region/month费用为 0.0010 美元 接下来的 40 万张每张支票的checks/account/Region/month费用为 0.0008 美元 超过 50 万张每张支票的checks/account/Region/month费用为 0.0005 美元 |
|
|
前 10,000 events/account/Region/month 是免费的。查找与 Security Hub 的安全检查相关的摄取事件。 |
超过 10,000 人每场events/account/Region/month活动的费用为 0.00003 美元 |
|
|
基本监控指标(以 5 分钟为频率)10 个详细监控指标(频率为 1 分钟)100 万 API 请求(不适用于 GetMetricData 和 GetMetricWidgetImage) |
前 10,000 个指标每月的费用为 0.30 美元 接下来的 240,000 个指标每月花费 0.10 美元 接下来的 750,000 个指标每月花费 0.05 美元 超过 100 万个指标的费用为每月 0.02 美元 API 调用每 1,000 个请求的费用为 0.01 美元 |
|
|
3 个控制面板,每月最多可显示 50 个指标 |
每个控制面板每月 3.00 美元 |
|
|
10 个警报指标(不适用于高分辨率警报) |
标准分辨率(60 秒)费用为每个警报 0.10 美元 高分辨率(10 秒)的费用为每个警报指标 0.30 美元 标准分辨率异常检测费用为每个警报 0.30 美元 高分辨率异常检测费用为每个警报 0.90 美元 每个警报的复合费用为 0.50 美元 |
|
|
5GB 数据(摄取、存档存储以及通过 Logs Insights 查询扫描的数据) |
每 GB 0.50 美元 |
|
|
5GB 数据(摄取、存档存储以及通过 Logs Insights 查询扫描的数据) |
扫描的每 GB 数据为 0.005 美元 |
|
|
包括除自定义事件之外的所有事件 |
自定义事件每百万事件 1.00 美元跨账户事件每百万事件 1.00 美元 |
|
|
每月 100 万次免费请求 |
每 100 万个请求 0.20 美元 |
|
|
每月 400,000 GB 秒的计算时间 |
每 GB 秒收取 0.0000166667 美元。持续时间的价格取决于您为函数分配的内存量。您可以为函数分配介于 128MB 到 10,240MB 之间任意数量的内存,以 1MB 为增量。 |
|
|
每月 4,000 次自由状态转换 |
此后每 1,000 个状态转换为 0.025 美元 |
|
|
AWS 服务发布的所有状态变更事件都是免费的 |
自定义事件每发布一百万个自定义事件的成本 第三方 (SaaS) 事件每发布一百万个事件的成本为100万美元 跨账户事件的费用为每发送一百万次跨账户事件 |
|
|
每月前 100 万个 Amazon SNS 请求是免费的 |
此后每100万个请求0.50美元 |
|
|
每月前 100 万个 Amazon SQS 请求是免费的 |
此后每 100 万至 1000 亿个请求中有 0.40 美元 |
|
|
前 25GB 的存储空间是免费的 |
此后每 100 万次持续读取和写入 2.00 美元 |
|
|
每月 20,000 个请求 |
每个 1 KMS 密钥 1.00 美元。对于自动轮换或按需轮换的 KMS 密钥,密钥的第一次和第二次轮换会增加 1 美元/月(按小时按比例分配)的成本。 |
定价示例(每月)
示例 1:每月修复 300 次
-
10 个账户,1 个区域
-
每次 30 次修复 account/Region/month
-
每月总费用为 21.17 美元
| 服务 | 假设 | 每月费用 [美元] |
|---|---|---|
|
AWS Systems Manager Automation |
步骤:大约 4 个步骤 * 300 次修复 * 0.002 美元 = 2.40 美元 时长:10 秒 * 300 次修复 * 0.00003 美元 = 0.09 美元 |
2.49 美元 |
|
AWS Security Hub |
未使用任何可计费的服务 |
$0 |
|
Amazon CloudWatch 日志 |
300 次补救 * 0.000002 美元 = 0.0006 美元 0.0006 * 0.03 = 0.000018 美元 |
< 0.01 |
|
AWS Lambda-请求 |
300 次补救 * 6 个请求 = 1,800 个请求 0.20 * 1,000,000 个请求 = 0.20 美元 |
0.20 |
|
AWS Lambda-持续时间 |
2.56M:1.875 GB 秒 * 300 次修复 * 0.0000167 美元 = 0.009375 美元 |
< 0.01 |
|
AWS Step Functions |
17 个状态转换 * 300 次修复 = 5,100 0.025 美元 * (5,100/1,000) 状态转换 = 0.15 美元 |
0.15 美元 |
|
亚马逊 EventBridge 规则 |
规则不收费 |
$0 |
|
AWS Key Management Service |
1 个密钥 * 10 个账户 * 1 个区域 * $1 = 10 美元 |
10.00 美元 |
|
Amazon DynamoDB |
2.00 * 1,000,000 次读取和写入 = 2.00 美元 |
2.00 |
|
Amazon SQS |
0.40 * 1,000,000 个请求 = 0.40 美元 |
0.40 美元 |
|
Amazon SNS |
0.50 美元 * 1,000,000 个通知 = 0.50 美元 |
0.50 美元 |
|
亚马逊 CloudWatch -指标 |
0.30 美元 * 7 个自定义指标 = 2.10 美元 0.01 美元* (300 * 3/1,000) 看跌指标 API 调用 = 0.01 美元 |
2.11 美元 |
|
亚马逊 CloudWatch -控制面板 |
3.00 美元 * 1 个仪表板 = 3.00 美元 |
3.00 美元 |
|
Amazon CloudWatch -警报 |
0.10 美元 * 3 个警报 = 0.30 美元 |
0.30 美元 |
|
总计 |
21.17 美元 |
示例 2:每月修复 3,000 次
-
100 个账户,1 个区域
-
每次 30 次修复 account/Region/month
-
每月总花费 134.86 美元
| 服务 | 假设 | 每月费用 [美元] |
|---|---|---|
|
AWS Systems Manager Automation |
步骤:大约 4 个步骤 * 3,000 次补救 * 0.002 美元 = 24.00 美元 时长:10 秒 * 3,000 次修复 * 0.00003 美元 = 0.90 美元 |
24.90 美元 |
|
AWS Security Hub |
未使用任何可计费的服务 |
$0 |
|
亚马逊 CloudWatch 日志 |
3,000 次补救 * 0.000002 美元 = 0.006 美元 0.006 * 0.03 = 0.00018 美元 |
< 0.01 |
|
AWS Lambda-请求 |
3,000 次补救 * 6 次请求 = 18,000 次请求 0.20 * 1,000,000 个请求 = 0.20 美元 |
0.20 |
|
AWS Lambda-持续时间 |
2.56M:1.875 GB 秒 * 3,000 次修复 * 0.000167 美元 = 0.09375 美元 |
0.09 美元 |
|
AWS Step Functions |
17 个状态转换 * 3,000 次修复 = 51,000 0.025 美元 * (51,000/1,000) 状态转换 = 1.275 美元 |
1.28 美元 |
|
亚马逊 EventBridge 规则 |
规则不收费 |
$0 |
|
AWS Key Management Service |
1 个密钥 * 100 个账户 * 1 个区域 * $1 = 100 美元 |
100 USD |
|
Amazon DynamoDB |
2.00 * 1,000,000 次读取和写入 = 2.00 美元 |
2.00 |
|
Amazon SQS |
0.40 * 1,000,000 个请求 = 0.40 美元 |
0.40 美元 |
|
Amazon SNS |
0.50 美元 * 1,000,000 个通知 = 0.50 美元 |
0.50 美元 |
|
亚马逊 CloudWatch -指标 |
0.30 美元 * 7 个自定义指标 = 2.10 美元 0.01 美元* (3000 * 3/1,000) 看跌指标 API 调用 = 0.09 美元 |
2.19 美元 |
|
亚马逊 CloudWatch -控制面板 |
3.00 美元 * 1 个仪表板 = 3.00 美元 |
3.00 美元 |
|
Amazon CloudWatch -警报 |
0.10 美元 * 3 个警报 = 0.30 美元 |
0.30 美元 |
|
总计 |
134.86 美元 |
示例 3:每月修复 30,000 次
-
1,000 个账户,10 个区域
-
每次 30 次修复 account/Region/month
-
每月总费用为 1,271.70 美元
| 服务 | 假设 | 每月费用 [美元] |
|---|---|---|
|
AWS Systems Manager Automation |
步骤:大约 4 个步骤 * 30,000 次补救 * 0.002 美元 = 240.00 美元 时长:10 秒 * 30,000 次修复 * 0.00003 美元 = 9.00 美元 |
249.00 美元 |
|
AWS Security Hub |
未使用任何可计费的服务 |
$0 |
|
亚马逊 CloudWatch 日志 |
30,000 次补救 * 0.000002 美元 = 0.06 美元 0.06 * 0.03 = 0.0018 美元 |
< 0.01 |
|
AWS Lambda-请求 |
30,000 次补救 * 6 次请求 = 180,000 次请求 0.20 * 1,000,000 个请求 = 0.20 美元 |
0.20 |
|
AWS Lambda-持续时间 |
2.56 亿:1.875 GB 秒 * 30,000 次修复 * 0.000167 美元 = 0.9375 美元 |
0.94 美元 |
|
AWS Step Functions |
17 个状态转换 * 30,000 次修复 = 510,000 0.025 美元 * (510,000/1,000) 状态转换 = 12.75 美元 |
12.75 美元 |
|
亚马逊 EventBridge 规则 |
规则不收费 |
$0 |
|
AWS Key Management Service |
(1 个密钥) 1 美元 * 1,000 个账户 * 10 个区域 = 10,000 美元 |
10,000 美元 |
|
Amazon DynamoDB |
0.000002 * 1,000,000 次读取和写入 = 2.00 美元 |
2.00 |
|
Amazon SQS |
0.000004 * 1,000,000 个请求 = 0.40 美元 |
0.40 美元 |
|
Amazon SNS |
0.000005 * 1,000,000 个通知 = 0.50 美元 |
0.50 美元 |
|
亚马逊 CloudWatch -指标 |
0.30 美元 * 6 个自定义指标 = 1.80 美元 0.01 美元* (30,000 * 3/1,000) 看跌指标 API 调用 = 0.90 美元 |
2.70 美元 |
|
亚马逊 CloudWatch -控制面板 |
3.00 美元 * 1 个仪表板 = 3.00 美元 |
3.00 美元 |
|
Amazon CloudWatch -警报 |
0.10 美元 * 2 个警报 = 0.20 美元 |
0.20 |
|
总计 |
10,271.70 美元 |
重要
KMS 密钥轮换成本 AWS Key Management Service (KMS) 在启用轮换后,每年自动轮换客户托管密钥一次。每次轮换每年会产生每个密钥1.00美元的成本。例如,如果单个区域有 1000 个账户,则每年可额外获得 1000 美元(1 次轮换 × 1000 个密钥 × 1.00 美元)。
可选功能的额外费用
本节列出了与该解决方案的可选功能相关的额外成本。
增强 CloudWatch 指标
如果您在部署管理堆栈时选择yes该EnableEnhancedCloudWatchMetrics参数,则该解决方案会为每个控件 ID 创建两个自定义指标和一个警报。费用取决于您要修复 IDs 的控制数量。在下表中,我们假设您 IDs 每月要修复所有96种不同的控制措施,以确定成本的上限。
| 服务 | 假设 96 个控件 IDs * 2 = 192 个自定义指标 | 每月费用 [美元] |
|---|---|---|
|
亚马逊 CloudWatch -指标 |
0.30 美元 * 192 个自定义指标 = 57.60 美元 |
57.60 美元 |
|
Amazon CloudWatch -警报 |
0.10 美元 * 96 个警报 = 9.60 美元 |
9.60 美元 |
|
总计 |
67.20 美元 |
CloudTrail 操作日志
在您为其启用操作日志功能的每个成员账户中,解决方案都会创建一个记录所有写入管理事件的 CloudTrail 跟踪。Lambda 函数会筛选出与解决方案无关的事件。这意味着费用与您账户中的管理事件总数有关,因为与解决方案无关的事件仍由跟踪捕获并由 Lambda 函数处理。
在下表中,我们假设账户中每月有 150,000 个管理事件。实际费用取决于您账户中的实际管理活动活动。
| 服务 | 假设 | 每月费用 [美元] |
|---|---|---|
|
AWS CloudTrail |
150,000 * 2.00美元/100,000 美元 = 3.00 美元 |
3.00 美元 |
|
Lambda |
150,000 * 0.2 * 0.125 = 3,750 Gb-秒 3,750 * 0.0000166667 美元 = 0.0625 美元的计算时间成本 0.15 * 0.20 美元 = 0.03 美元请求费用 0.0625 美元 + 0.03 美元 = Lambda 总成本 0.0952 美元 |
0.0925 |
|
总计 |
每个会员账户 3.09 美元 |
