監控和管理成本 - Amazon Cognito
檢視和預測成本管理成本

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

監控和管理成本

如同任何其他 一樣 AWS 服務,了解 Amazon Cognito 組態和用量對 AWS 帳單的影響非常重要。作為將使用者集區部署到生產環境準備的一部分,請設定活動和資源消耗的監控和防護措施。當您知道要查看何處以及哪些動作會產生額外的成本時,您可以設定避免帳單意外的預防措施。

Amazon Cognito 會針對您的用量收取下列維度的費用。

  • 使用者集區每月作用中使用者 (MAUs)

  • 使用 SAML OIDC或 聯合MAUs登入的使用者集區

  • MAUs 在具有進階安全功能的使用者集區中

  • 使用用戶端憑證授予的作用中使用者集區應用程式用戶端和機器對機器 (M2M) 授權的請求磁碟區

  • 某些類別的使用者集區購買用量超過預設配額 APIs

此外,電子郵件訊息、SMS訊息和 Lambda 觸發程序等使用者集區的功能,可能會產生相依服務的成本。如需完整概觀,請參閱 Amazon Cognito 定價

檢視和預測成本

產品啟動和開啟至新使用者基礎等大量事件可能會增加您的MAU計數,並產生成本影響。預先估計新使用者計數,並在活動發生時觀察活動。您可能會發現想要容納購買額外配額容量的磁碟區,或使用其他安全措施控制磁碟區。

您可以在AWS Billing and Cost Management 主控台 中檢視和報告您的 AWS 成本。您可以在帳單和付款區段中找到 Amazon Cognito 的最新費用。在帳單 下,依服務 收費,在 上篩選 Cognito 以檢視您的用量。如需詳細資訊,請參閱 AWS Billing 使用者指南中的檢視您的帳單

若要監控API請求率,請檢閱 Service Quotas 主控台中的使用率指標。例如,用戶端憑證請求顯示為 ClientAuthentication 請求速率 。在您的帳單中,這些請求會與產生這些請求的應用程式用戶端相關聯。透過此資訊,您可以公平地將成本分配給多租戶架構 中的租戶

若要取得一段時間內的 M2M 請求計數,您也可以將AWS CloudTrail 事件傳送至 CloudWatch Logs 進行分析。Token_POST 使用用戶端憑證授予來查詢 CloudTrail 事件。下列 CloudWatch Insights 查詢會傳回此計數。

filter eventName = "Token_POST" and @message like '"grant_type":["client_credentials"]' | stats count(*)

管理成本

根據使用者計數、功能用量和請求磁碟區計算的 Amazon Cognito 帳單。以下是在 Amazon Cognito 中管理成本的一些提示,

請勿啟用非作用中使用者

讓使用者處於作用中狀態的典型操作是登入、註冊和密碼重設。如需更完整的清單,請參閱 每月作用中使用者。Amazon Cognito 不會將非作用中使用者計入您的帳單。避免任何將使用者設定為作用中的操作。使用 AdminGetUser API 操作來查詢使用者,而不是 ListUsers操作。請勿對非作用中使用者執行使用者集區操作的大量管理測試。

連結聯合使用者

使用 SAML 2.0 或 OpenID Connect (OIDC) 身分提供者登入的使用者成本高於本機使用者 。您可以將這些使用者連結至本機使用者設定檔 。連結的使用者可以以本機使用者身分登入,其中包含聯合使用者隨附的屬性和存取權。來自 SAML或 OIDC IdPs 的使用者,在一個月內,僅以連結的本機帳戶登入時,會以本機使用者身分計費。

管理請求率

如果您的使用者集區接近配額上限,您可以考慮購買額外的容量來處理磁碟區。您可能可以減少應用程式中的請求量。如需詳細資訊,請參閱最佳化配額限制的請求率

只有在您需要時才請求新的權杖

具有用戶端憑證授予的機器對機器 (M2M) 授權可以達到大量的字符請求。每個新的權杖請求都會對您的請求率配額和帳單大小產生影響。若要最佳化成本,請在應用程式的設計中包含權杖過期設定和權杖處理。

  • 快取存取權杖,以便在應用程式請求新的權杖時,它會收到先前發行權杖的快取版本。當您實作此方法時,快取代理會作為防護,防止請求存取權杖的應用程式,而不必注意先前取得的權杖過期。快取權杖非常適合短期微服務,例如 Lambda 函數和 Docker 容器。

  • 在考量權杖過期的應用程式中實作權杖處理機制。在先前的權杖即將過期之前,請勿請求新的權杖。作為最佳實務,重新整理權杖的容量約為權杖生命週期的 75%。此做法會將權杖持續時間最大化,同時確保應用程式中的使用者連續性。

    評估每個應用程式的機密性和可用性需求,並設定使用者集區應用程式用戶端以發行具有適當有效期的存取權杖。自訂權杖持續時間最適合長時間使用,APIs以及可以持續管理憑證請求頻率的伺服器。

刪除未使用的用戶端憑證應用程式用戶端

M2M 授權帳單基於兩個因素:權杖請求的速率和執行用戶端憑證授予的應用程式用戶端數量。未使用 M2M 授權的應用程式用戶端時,請刪除它們或移除其發出用戶端憑證的授權。如需管理應用程式用戶端組態的詳細資訊,請參閱 使用應用程式用戶端的應用程式特定設定

管理進階安全性

當您在使用者集區中設定進階安全功能時,進階安全計費費率會套用至使用者集區MAUs中的所有 。如果您有不需要進階安全功能的使用者,請將他們分開到另一個使用者集區。