成本、區域和效能考量因素

套用伺服器端加密時，您需要支付 AWS KMS API 使用量和金鑰成本。有別於自訂 KMS 主金鑰，(Default) aws/kinesis 客戶主金鑰 (CMK) 為免費提供。不過您仍然必須支付 Amazon Kinesis Data Streams 代表您產生的 API 使用成本。

API 使用成本適用於每個 CMK (包括自訂)。Kinesis Data Streams 在輪換資料金鑰時，大約每五分鐘呼叫一次 AWS KMS 。在 30 天的一個月內，Kinesis 串流發起的 AWS KMS API 呼叫總成本應少於幾美元。此成本會隨您在資料生產者和取用者上使用的使用者認證數量而調整，因為每個使用者認證都需要唯一的 API 呼叫 AWS KMS。當您使用 IAM 角色進行身分驗證時，每次擔任角色呼叫都將產生獨一無二的使用者憑證。為節省 KMS 成本，您可能要快取由擔任角色呼叫傳回的使用者登入資料。

以下依據資源說明各項成本：

鍵

• 由 AWS (別名 =aws/kinesis) 管理的 Kinesis CMK 是免費的。

• 使用者產生的 KMS 金鑰需支付 KMS 金鑰成本。如需更多資訊，請參閱 AWS Key Management Service 定價。

API 使用成本適用於每個 CMK (包括自訂)。Kinesis Data Streams 在輪換資料金鑰時，大約每五分鐘呼叫一次 KMS。以一個月 30 天計算，由 Kinesis 資料串流初始化的 KMS API 呼叫總成本應該不到幾美元。請注意，此費用會隨您在資料生產者和取用者上使用的使用者認證數量而調整，因為每個使用者認證都需要唯一的 AWS KMS API 呼叫。當您使用 IAM 角色進行驗證時，每個角色都 assume-role-call會產生唯一的使用者認證，而且您可能想要快取由傳回的使用者認證 assume-role-call 以節省 KMS 成本。

KMS API 用量

對於每個加密的串流，從 TIP 讀取，並使用跨讀取器和寫入器的單一 IAM 帳戶/使用者存取金鑰時，Kinesis 服務每 5 分鐘會呼叫 AWS KMS 服務大約 12 次。不從 TIP 讀取可能會導致更多的 AWS KMS 服務電話。產生新資料加密金鑰的 API 要求需支付使 AWS KMS 用費用。更多詳細資訊請參閱 AWS Key Management Service 定價：使用。

各個區域伺服器端加密的供應情形

目前，Kinesis 串流的伺服器端加密可在 Kinesis Data Streams 支援的所有區域使用，包括 AWS GovCloud （美國西部）和中國區域。如需 Kinesis Data Streams 支援區域的詳細資訊，請參閱 https://docs.aws.amazon.com/general/latest/gr/ak.html。

效能考量

由於套用伺服器端加密造成服務負荷，套用伺服器端加密會增加 PutRecord，PutRecords 和 GetRecords 的延遲，一般不到 100 微秒。