本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
成本
您必須負責用來執行此解決方案的 AWS 服務成本。
截至此修訂,估計每月成本為:
-
小型部署 (10 個帳戶,1 個區域 - 美國東部/北部。 維吉尼亞州):每月 300 個修補約 21.17 美元
-
中型部署 (100 個帳戶,1 個區域 - 美國東部/北部。 維吉尼亞州):每月 3,000 個修補約 134.86 USD
-
大型部署 (1,000 個帳戶,10 個區域):每月大約 10,271.70 USD 進行 30,000 次修補
重要
價格可能變動。如需完整詳細資訊,請參閱此解決方案中使用的每個 AWS 服務的定價頁面。
注意
許多 AWS 服務包含免費方案 - 客戶可免費使用的基準服務數量。實際成本可能高於或低於提供的定價範例。
我們建議您透過 AWS Cost Explorer 建立預算,以協助管理成本。價格可能變動。如需完整詳細資訊,請參閱此解決方案中使用的每個 AWS 服務的定價網頁。
成本表範例
執行此解決方案的總成本取決於下列因素:
-
AWS Security Hub 成員帳戶的數量
-
作用中自動調用修復的數量
-
修復的頻率
此解決方案使用以下 AWS 元件,這會根據您的組態產生成本。定價範例適用於小型、中型和大型組織。
| 服務 | 免費方案 | 定價 【美元】 |
|---|---|---|
|
每月每個帳戶 100,000 個步驟 |
除了免費方案之外,每個基本步驟都會按每個步驟收取 0.002 USD。對於多帳戶自動化,包括在任何子帳戶中執行的所有步驟只會計入原始帳戶。 |
|
|
每月 5,000 秒 |
除了免費方案之外,在每月 5,000 秒的免費方案之後,每個 aws:executeScript 動作步驟每秒都會收費 0.00003 USD。 |
|
|
無免費方案 |
每月每 GB 0.046 美元 |
|
|
無免費方案 |
每轉移 GB 0.900 美元 (跨帳戶或out-of-Region) |
|
|
無免費方案 |
前 100,000 張checks/account/Region/每月每張支票 0.0010 美元 接下來 400,000 張checks/account/Region/每月每張支票 0.0008 USD 超過 500,000 張checks/account/Region/每月每張支票 0.0005 美元 |
|
|
前 10,000 個events/account/Region/月是免費的。尋找與 Security Hub 安全檢查相關聯的擷取事件。 |
超過 10,000 個events/account/Region/每月每個事件 0.00003 美元 |
|
|
基本監控指標 (頻率為 5 分鐘) 10 個詳細監控指標 (頻率為 1 分鐘) 1 百萬個 API 請求 (不適用於 GetMetricData 和 GetMetricWidgetImage) |
前 10,000 個指標每月花費 0.30 美元 接下來的 240,000 個指標費用為每月 0.10 USD 接下來的 750,000 個指標費用為每月 0.05 USD 指標 每月超過 1,000,000 個指標成本 0.02 USD API 呼叫每 1,000 個請求 0.01 美元 |
|
|
3 儀表板,每月最多 50 個指標 |
每月每個儀表板 3.00 美元 |
|
|
10 個警示指標 (不適用於高解析度警示) |
標準解析度 (60 秒) 每個警示指標的成本為 0.10 美元 高解析度 (10 秒) 每個警示指標的成本為 0.30 美元 標準解決異常偵測每個警示 0.30 USD 高解析度異常偵測每個警示的成本為 0.90 美元 每個警示的複合成本為 0.50 美元 |
|
|
5GB 資料 (由 Logs Insights 查詢掃描的擷取、封存儲存和資料) |
每 GB 0.50 美元 |
|
|
5GB 資料 (由 Logs Insights 查詢掃描的擷取、封存儲存和資料) |
掃描的資料每 GB 0.005 美元 |
|
|
包含自訂事件以外的所有事件 |
自訂事件的每百萬事件 1.00 美元跨帳戶事件的每百萬事件 1.00 美元 |
|
|
每月 1M個免費請求 |
每 1M00 萬個請求 0.20 美元 |
|
|
每月 400,000 GB 的運算時間 |
每 GB-秒 0.0000166667 USD。持續時間的價格取決於您配置給函數的記憶體數量。您可以將任意數量的記憶體配置到 128MB 到 10,240MB 之間的函數,以 1MB 為單位遞增。 |
|
|
每月 4,000 次免費狀態轉換 |
之後每 1,000 個州轉換 $0.025 |
|
|
AWS 服務發佈的所有狀態變更事件都是免費的 |
自訂事件每發佈一百萬美元的自訂事件 第三方 (SaaS) 事件每發佈一百萬美元的事件 跨帳戶事件每傳送 100 萬美金的跨帳戶事件 |
|
|
每月前 100 萬個 Amazon SNS 請求是免費的 |
之後每 100 萬個請求 0.50 美元 |
|
|
每月前 100 萬個 Amazon SQS 請求是免費的 |
之後每 100 萬到 1,000 億個請求 0.40 美元 |
|
|
前 25GB 的儲存空間是免費的 |
之後每 100 萬次一致讀取和寫入 2.00 美元 |
|
|
每月 20,000 個請求 |
每 1 個 KMS 金鑰 1.00 美元。對於您自動或隨需輪換的 KMS 金鑰,金鑰的第一次和第二次輪換會增加每月 1 USD (按比例分配的每小時) 的成本。 |
定價範例 (每月)
範例 1:每月 300 個修補
-
10 個帳戶、1 個區域
-
每個account/Region/month 30 個修補
-
每月總成本 21.17 美元
| 服務 | 前提 | 每月費用 【USD】 |
|---|---|---|
|
AWS Systems Manager 自動化 |
步驟:~4 個步驟 * 300 個修補 * $0.002 = $2.40 持續時間:10 秒 * 300 個修補 * $0.00003 = $0.09 |
2.49 美元 |
|
AWS Security Hub |
未使用計費服務 |
0 USD |
|
Amazon CloudWatch Logs |
300 個修補 * $0.00002 = $0.0006 $0.0006 * 0.03 = $0.000018 |
< 0.01 美元 |
|
AWS Lambda - 請求 |
300 個修補 * 6 個請求 = 1,800 個請求 $0.20 * 1,000,000 個請求 = $0.20 |
0.20 美元 |
|
AWS Lambda - 持續時間 |
256M:1.875 GB 秒 * 300 個修補 * $0.0000167 = $0.009375 |
< 0.01 美元 |
|
AWS Step Functions |
17 個狀態轉換 * 300 個修復 = 5,100 $0.025 * (5,100/1,000) 州轉換 = $0.15 |
0.15 美元 |
|
Amazon EventBridge 規則 |
規則不收費 |
0 USD |
|
AWS Key Management Service |
1 個金鑰 * 10 個帳戶 * 1 個區域 * $1 = $10 |
10.00 美元 |
|
Amazon DynamoDB |
$2.00 * 1,000,000 讀取和寫入 = $2.00 |
2.00 美元 |
|
Amazon SQS |
$0.40 * 1,000,000 個請求 = $0.40 |
0.40 美元 |
|
Amazon SNS |
$0.50 * 1,000,000 個通知 = $0.50 |
0.50 美元 |
|
Amazon CloudWatch - 指標 |
$0.30 * 7 個自訂指標 = $2.10 $0.01 * (300 * 3 / 1,000) 放置指標 API 呼叫 = $0.01 |
2.11 美元 |
|
Amazon CloudWatch - 儀表板 |
$3.00 * 1 個儀表板 = $3.00 |
3.00 美元 |
|
Amazon CloudWatch - 警示 |
$0.10 * 3 個警示 = $0.30 |
0.30 美元 |
|
總計 |
21.17 美元 |
範例 2:每月 3,000 個修補
-
100 個帳戶、1 個區域
-
每個account/Region/month 30 個修補
-
每月總成本 134.86 美元
| 服務 | 前提 | 每月費用 【USD】 |
|---|---|---|
|
AWS Systems Manager 自動化 |
步驟:~4 個步驟 * 3,000 個修補 * $0.002 = $24.00 持續時間:10 秒 * 3,000 個修補 * 0.0000 美元3 = 0.90 美元 |
24.90 美元 |
|
AWS Security Hub |
未使用計費服務 |
0 USD |
|
Amazon CloudWatch Logs |
3,000 個修補 * $0.00002 = $0.006 $0.006 * 0.03 = $0.00018 |
< 0.01 美元 |
|
AWS Lambda - 請求 |
3,000 個修補 * 6 個請求 = 18,000 個請求 $0.20 * 1,000,000 個請求 = $0.20 |
0.20 美元 |
|
AWS Lambda - 持續時間 |
256M:1.875 GB 秒 * 3,000 個修補 * $0.000167 = $0.09375 |
0.09 美元 |
|
AWS Step Functions |
17 個狀態轉換 * 3,000 個修補 = 51,000 個 $0.025 * (51,000/1,000) 州轉換 = $1.275 |
1.28 美元 |
|
Amazon EventBridge 規則 |
規則不收費 |
0 USD |
|
AWS Key Management Service |
1 個金鑰 * 100 個帳戶 * 1 個區域 * $1 = $100 |
100 美元 |
|
Amazon DynamoDB |
$2.00 * 1,000,000 讀取和寫入 = $2.00 |
2.00 美元 |
|
Amazon SQS |
$0.40 * 1,000,000 個請求 = $0.40 |
0.40 美元 |
|
Amazon SNS |
$0.50 * 1,000,000 個通知 = $0.50 |
0.50 美元 |
|
Amazon CloudWatch - 指標 |
$0.30 * 7 個自訂指標 = $2.10 $0.01 * (3000 * 3 / 1,000) 放置指標 API 呼叫 = $0.09 |
2.19 美元 |
|
Amazon CloudWatch - 儀表板 |
$3.00 * 1 個儀表板 = $3.00 |
3.00 美元 |
|
Amazon CloudWatch - 警示 |
$0.10 * 3 個警示 = $0.30 |
0.30 美元 |
|
總計 |
134.86 美元 |
範例 3:每月 30,000 個修補
-
1,000 個帳戶、10 個區域
-
每個account/Region/month 30 個修補
-
每月總成本 $1,271.70
| 服務 | 前提 | 每月費用 【USD】 |
|---|---|---|
|
AWS Systems Manager 自動化 |
步驟:~4 個步驟 * 30,000 個修補 * $0.002 = $240.00 持續時間:10 秒 * 30,000 個修補 * 0.0000 美元3 = 9.00 美元 |
249.00 美元 |
|
AWS Security Hub |
未使用計費服務 |
0 USD |
|
Amazon CloudWatch Logs |
30,000 個修補 * $0.00002 = $0.06 $0.06 * 0.03 = $0.0018 |
< 0.01 美元 |
|
AWS Lambda - 請求 |
30,000 個修補 * 6 個請求 = 180,000 個請求 $0.20 * 1,000,000 個請求 = $0.20 |
0.20 美元 |
|
AWS Lambda - 持續時間 |
256M:1.875 GB 秒 * 30,000 個修補 * 0.000167 美元 = 0.9375 美元 |
0.94 美元 |
|
AWS Step Functions |
17 個狀態轉換 * 30,000 個修補 = 510,000 個 $0.025 * (510,000/1,000) 州轉換 = $12.75 |
12.75 美元 |
|
Amazon EventBridge 規則 |
規則不收費 |
0 USD |
|
AWS Key Management Service |
(1 個金鑰) $1 * 1,000 個帳戶 * 10 個區域 = $10,000 |
10,000 美元 |
|
Amazon DynamoDB |
$0.00002 * 1,000,000 讀取和寫入 = $2.00 |
2.00 美元 |
|
Amazon SQS |
$0.00004 * 1,000,000 個請求 = $0.40 |
0.40 美元 |
|
Amazon SNS |
$0.00005 * 1,000,000 個通知 = $0.50 |
0.50 美元 |
|
Amazon CloudWatch - 指標 |
$0.30 * 6 個自訂指標 = $1.80 $0.01 * (30,000 * 3 / 1,000) 放置指標 API 呼叫 = $0.90 |
2.70 美元 |
|
Amazon CloudWatch - 儀表板 |
$3.00 * 1 個儀表板 = $3.00 |
3.00 美元 |
|
Amazon CloudWatch - 警示 |
$0.10 * 2 個警示 = $0.20 |
0.20 美元 |
|
總計 |
10,271.70 美元 |
重要
啟用輪換時,KMS Key Rotation Costs AWS Key Management Service (KMS) 每年會自動輪換一次客戶受管金鑰。每次輪換都會產生每個金鑰每年 1.00 USD 的成本。例如,在單一區域中擁有 1000 個帳戶,這會產生額外的每年 1000 美元 (1 個輪換 × 1000 個金鑰 × 1.00 美元)。
選用功能的額外費用
本節識別與此解決方案的選用功能相關的額外費用。
增強型 CloudWatch 指標
如果您在部署管理員堆疊時yes為 EnableEnhancedCloudWatchMetrics 參數選取 ,解決方案會為每個控制項 ID 建立兩個自訂指標和一個警示。成本取決於您要修復IDs 數目。在下表中,我們假設您每月修復全部 96 個不同的控制 IDs,以判斷成本上限。
| 服務 | 假設 96 IDs * 2 = 192 個自訂指標 | 每月費用 【USD】 |
|---|---|---|
|
Amazon CloudWatch - 指標 |
$0.30 * 192 個自訂指標 = $57.60 |
57.60 美元 |
|
Amazon CloudWatch - 警示 |
$0.10 * 96 個警示 = $9.60 |
9.60 美元 |
|
總計 |
67.20 美元 |
CloudTrail 動作日誌
在您啟用動作日誌功能的每個成員帳戶中,解決方案會建立 CloudTrail 追蹤記錄所有寫入管理事件。Lambda 函數會篩選出與解決方案無關的事件。這表示成本與您帳戶中的管理事件總數有關,因為與解決方案無關的事件仍由追蹤擷取並由 Lambda 函數處理。
對於下表,我們假設帳戶中每個月有 150,000 個管理事件。實際成本取決於您帳戶中的實際管理事件活動。
| 服務 | 前提 | 每月費用 【USD】 |
|---|---|---|
|
AWS CloudTrail |
150,000 * $2.00/100,000 = $3.00 |
3.00 美元 |
|
Lambda |
150,000 * 0.2 * 0.125 = 3,750 GB-秒 3,750 * $0.0000166667 = $0.0625 運算時間成本 0.15 * $0.20 = $0.03 請求成本 $0.0625 + $0.03 = $0.0952 總 Lambda 成本 |
0.0925 美元 |
|
總計 |
每個成員帳戶 3.09 美元 |
