Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Planen Sie Ihren Einsatz
<a name="plan-your-deployment"></a>

In diesem Abschnitt werden die Kosten, die Netzwerksicherheit, die unterstützten AWS-Regionen, Kontingente und andere Überlegungen vor der Bereitstellung der Lösung beschrieben.

# Cost (Kosten)
<a name="cost"></a>

Sie sind für die Kosten der AWS-Services verantwortlich, die für den Betrieb dieser Lösung verwendet werden.

Zum jetzigen Zeitpunkt belaufen sich die geschätzten monatlichen Kosten auf:
+ Kleine Bereitstellung (10 Konten, 1 Region — USA) East/N. Virginia): Approximately \$114.70 for 300 remediations/month
+ Mittlere Bereitstellung (100 Konten, 1 Region — USA) East/N. Virginia): Approximately \$1106.40 for 3,000 remediations/month
+ Umfangreicher Einsatz (1.000 Konten, 10 Regionen): Ungefähr 7.360,00 USD für 30.000 Behebungen pro Monat

**Wichtig**  
Die Preise sind freibleibend. Vollständige Informationen finden Sie auf der Preisseite für jeden AWS-Service, der in dieser Lösung verwendet wird.

**Anmerkung**  
Viele AWS-Services beinhalten ein kostenloses Kontingent. Dabei handelt es sich um einen Basisbetrag des Services, den Kunden kostenlos nutzen können. Die tatsächlichen Kosten können über oder unter den angegebenen Preisbeispielen liegen.

Wir empfehlen, über den AWS Cost Explorer ein [Budget](https://docs.aws.amazon.com/cost-management/latest/userguide/budgets-create.html) zu erstellen, um die Kosten besser verwalten zu können. Die Preise sind freibleibend. Vollständige Informationen finden Sie auf der Preisseite für jeden AWS-Service, der in dieser Lösung verwendet wird.

## Beispiel für eine Kostentabelle
<a name="sample-cost-table"></a>

Die Gesamtkosten für den Betrieb dieser Lösung hängen von den folgenden Faktoren ab:
+ Die Anzahl der AWS Security Hub Hub-Mitgliedskonten
+ Die Anzahl der aktiven, automatisch aufgerufenen Abhilfemaßnahmen
+ Die Häufigkeit der Problembehebung

Diese Lösung verwendet die folgenden AWS-Komponenten, für die je nach Konfiguration Kosten anfallen. Preisbeispiele werden für kleine, mittlere und große Unternehmen bereitgestellt.


| Service | Kostenloses Kontingent | Preisgestaltung [USD] | 
| --- | --- | --- | 
|   [AWS Systems Manager Automation — Anzahl der Schritte](https://aws.amazon.com/systems-manager/pricing/)   |  Kein kostenloses Kontingent  |  Jeder Basisschritt wird mit 0,002\$1 pro Schritt berechnet. Bei Automatisierungen mit mehreren Konten werden alle Schritte, einschließlich der Schritte, die in beliebigen Kinderkonten ausgeführt werden, nur für das ursprüngliche Konto gezählt.  | 
|   [AWS Systems Manager Automation — Dauer der Schritte](https://aws.amazon.com/systems-manager/pricing/)   |  Kein kostenloses Kontingent  |  Jeder `aws:executeScript` Aktionsschritt wird mit 0,00003\$1 pro Sekunde berechnet.  | 
|   [AWS Systems Manager Automation — Speicher](https://aws.amazon.com/systems-manager/pricing/)   |  Kein kostenloses Kontingent  |  0,046\$1 pro GB pro Monat  | 
|   [AWS Systems Manager Automation — Datenübertragung](https://aws.amazon.com/systems-manager/pricing/)   |  Kein kostenloses Kontingent  |  0,900\$1 pro übertragenem GB (für kontoübergreifendes Konto oder) out-of-Region  | 
|   [AWS Security Hub CSPM — Sicherheitsüberprüfungen](https://aws.amazon.com/security-hub/cspm/pricing/)   |  Kein kostenloses Kontingent  |  Die ersten 100.000 checks/account/Region/month kosten 0,0010 USD pro Scheck Die nächsten 400.000 checks/account/Region/month kosten 0,0008\$1 pro Scheck Über 500.000 checks/account/Region/month kosten 0,0005\$1 pro Scheck  | 
|   [AWS Security Hub CSPM — Erfassungsereignisse finden](https://aws.amazon.com/security-hub/cspm/pricing/)   |  Die ersten 10.000 sind kostenlos. events/account/Region/month Suche nach Datenaufnahmeereignissen im Zusammenhang mit den Sicherheitsüberprüfungen von Security Hub.  |  Über 10.000\$1 events/account/Region/month kosten 0,00003\$1 pro Ereignis  | 
|   [Amazon CloudWatch — Metriken](https://aws.amazon.com/cloudwatch/pricing/)   |  Grundlegende Monitoring-Metriken (im Abstand von 5 Minuten) 10 Detaillierte Überwachungsmetriken (im Intervall von 1 Minute) 1 1 Million API-Anfragen (gilt nicht für GetMetricData, GetInsightRuleReport und GetMetricWidgetImage)  |  Die ersten 10.000 Metriken kosten 0,30\$1 pro Metrik pro Monat Die nächsten 240.000 Metriken kosten 0,10\$1 pro Metrik pro Monat Die nächsten 750.000 Metriken kosten 0,05\$1 pro Metrik pro Monat Über 1.000.000 Metriken kosten 0,02\$1 pro Metrik pro Monat API-Aufrufe kosten 0,01\$1 pro 1.000 Anfragen  | 
|   [Amazon CloudWatch — Armaturenbrett](https://aws.amazon.com/cloudwatch/pricing/)   |  3 Dashboards für bis zu 50 Metriken pro Monat  |  3,00\$1 pro Dashboard und Monat  | 
|   [Amazon CloudWatch — Alarme](https://aws.amazon.com/cloudwatch/pricing/)   |  10 Alarmmetriken (gilt nicht für hochauflösende Alarme)  |  Die Standardauflösung (60 Sekunden) kostet 0,10\$1 pro Alarmmetrik Hohe Auflösung (10 Sekunden) kostet 0,30\$1 pro Alarmmetrik Die Erkennung von Anomalien mit Standardauflösung kostet 0,30 USD pro Alarm Die Erkennung von Anomalien mit hoher Auflösung kostet 0,90 USD pro Alarm Composite kostet 0,50\$1 pro Alarm  | 
|   [Amazon CloudWatch — Erfassung von Protokollen](https://aws.amazon.com/cloudwatch/pricing/)   |  5 GB Daten (Aufnahme, Archivierung und Daten, die durch Logs Insights-Abfragen gescannt wurden)  |  0,50\$1 pro GB  | 
|   [Amazon CloudWatch — Speicherung von Protokollen](https://aws.amazon.com/cloudwatch/pricing/)   |  5 GB Daten (Aufnahme, Archivierung und Daten, die durch Logs Insights-Abfragen gescannt wurden)  |  0,005 USD pro GB gescannter Daten  | 
|   [AWS Lambda — Anfragen](https://aws.amazon.com/lambda/pricing/)   |  1 Mio. kostenlose Anfragen pro Monat  |  0,20\$1 pro 1 Million Anfragen  | 
|   [AWS Lambda — Dauer](https://aws.amazon.com/lambda/pricing/)   |  400.000 GB-Sekunden Rechenzeit pro Monat  |  0,0000166667\$1 für jede GB-Sekunde. Der Preis für Duration hängt von der Speichermenge ab, die Sie Ihrer Funktion zuweisen. Sie können Ihrer Funktion eine beliebige Speichermenge zwischen 128 MB und 10.240 MB in Schritten von 1 MB zuweisen.  | 
|   [AWS Step Functions — Zustandsübergänge](https://aws.amazon.com/step-functions/pricing/)   |  4.000 kostenlose Statusübergänge pro Monat  |  Danach 0,025\$1 pro 1.000 Zustandsübergänge  | 
|   [Amazon EventBridge](https://aws.amazon.com/eventbridge/pricing/)   |  Alle von AWS-Services veröffentlichten Ereignisse zur Änderung des Status sind kostenlos  |  Benutzerdefinierte Ereignisse kosten 1,00 USD pro Million veröffentlichter benutzerdefinierter Ereignisse Veranstaltungen von Drittanbietern (SaaS) kosten 1,00 USD pro Million veröffentlichter Ereignisse Kontoübergreifende Ereignisse kosten 1,00 USD pro Million versendeter kontoübergreifender Ereignisse  | 
|   [Amazon SNS](https://aws.amazon.com/sns/pricing/)   |  Die ersten 1 Million Amazon SNS SNS-Anfragen pro Monat sind kostenlos  |  Danach 0,50\$1 pro 1 Million Anfragen  | 
|   [Amazon SQS](https://aws.amazon.com/sqs/pricing/)   |  Die ersten 1 Million Amazon SQS SQS-Anfragen pro Monat sind kostenlos  |  Danach 0,40\$1 pro 1 Million bis 100 Milliarden Anfragen  | 
|   [Amazon-DynamoDB](https://aws.amazon.com/dynamodb/pricing/)   |  Die ersten 25 GB Speicherplatz sind kostenlos  |  Danach 2,00\$1 pro 1 Million konsistenter Lese- und Schreibvorgänge  | 
|   [AWS Key Management Service](https://aws.amazon.com/kms/pricing/)   |  20.000 Anfragen/Monat  |  1,00\$1 pro 1 KMS-Schlüssel. 0,03\$1 pro 10.000 API-Anfragen. Bei KMS-Schlüsseln, die Sie automatisch oder bei Bedarf rotieren, fallen durch die erste und zweite Rotation des Schlüssels die Kosten in Höhe von 1 USD pro Monat (anteilig pro Stunde) an.  **Hinweis: Diese Lösung umfasst KMS-Caching-Optimierungen (S3 Bucket Keys, 60-minütige Wiederverwendung von SQS-Datenschlüsseln, 5-minütiges Secrets Manager Manager-Caching), die die KMS-API-Aufrufe um etwa 70% reduzieren.**   | 
|   [Amazon Cognito](https://aws.amazon.com/cognito/pricing/)   |  Im Tarif „Essentials“ sind die ersten 10.000 aktiven Nutzer pro Monat kostenlos. Hinweis: Dieses kostenlose Kontingent umfasst 50 aktive Benutzer pro Monat, wenn sich Benutzer über einen externen IdP (SAML/OIDC) authentifizieren.  |  0,015\$1 pro monatlich aktivem Benutzer bei mehr als 10.000 Benutzern.  | 
|   [Amazon CloudFront](https://aws.amazon.com/cloudfront/pricing/)   |  Das kostenlose Kontingent umfasst 1 TB ausgehende Datenübertragung und 10.000.000 HTTP- oder HTTPS-Anfragen pro Monat.  |  (US/Canada/Mexico) Die ersten 9 TB kosten 0,085 USD pro Monat. Die nächsten 40 TB kosten 0,080 USD pro Monat. 0,0075\$1 pro HTTP-Anfrage. 0,0100\$1 pro HTTPS-Anfrage.  | 
|   [Amazon S3](https://aws.amazon.com/s3/pricing/)   |  Kein kostenloses Kontingent  |  Die ersten 50 TB kosten 0,023 USD pro GB und Monat. 0,005 USD pro 1.000 PUT-, COPY-, POST- und LIST-Anfragen. 0,0004 USD pro 1.000 GET-, SELECT- und alle anderen Anfragen.  | 
|   [Amazon API Gateway](https://aws.amazon.com/api-gateway/pricing/)   |  1 Million REST-API-Aufrufe in den ersten 12 Monaten der Nutzung.  |  3,50\$1 pro Million für die ersten 333 Millionen API-Aufrufe.  | 

## KMS-Kostenoptimierung
<a name="kms-optimization"></a>

Seit **Version 3.1.0** umfasst diese Lösung KMS-Caching-Optimierungen, die die Kosten für kryptografische Operationen um etwa 70% senken
+  **S3 Bucket Keys**: Reduziert GenerateDataKey KMS-Aufrufe für S3-Verschlüsselungsvorgänge
+  **Wiederverwendung von SQS-Datenschlüsseln**: 60-minütiger Cache-Zeitraum für die Nachrichtenverschlüsselung
+  **Secrets Manager Caching**: 5-Minuten-TTL in Lambda-Funktionen

 **Auswirkungen auf die Leistung**: Diese Optimierungen verbessern die Latenz für S3-Operationen und vollständige Workflows um 10-15 ms und senken gleichzeitig die Kosten, ohne dass der Durchsatz beeinträchtigt wird.

## Preisbeispiele (monatlich)
<a name="pricing-examples"></a>

### Beispiel 1:300 Problembehebungen pro Monat
<a name="example-1-300-remediations-per-month"></a>
+ 10 Konten, 1 Region
+ 30 Abhilfemaßnahmen pro account/Region/month
+ 500 Security Hub Hub-Ergebnisse wurden verarbeitet pro account/Region/month
+  **Web-UI ist deaktiviert** 
+  **Das Aktionsprotokoll ist deaktiviert** 
+ Gesamtkosten 14,70 USD pro Monat


| Service | Annahmen | Monatliche Gebühren [USD] | 
| --- | --- | --- | 
|  AWS Systems Manager Automation  |  Schritte: \$14 Schritte \$1 300 Korrekturmaßnahmen \$1 0,002\$1 = 2,40\$1 Dauer: 10 s \$1 300 Behebungen \$1 0,00003\$1 = 0,09\$1  |  2,49\$1  | 
|  AWS Security Hub  |  Es wurden keine kostenpflichtigen Dienste genutzt  |  \$10  | 
|   CloudWatch Amazon-Protokolle  |  0,50\$1 pro GB  |  < 0,01\$1  | 
|  AWS Lambda — Anfragen  |  300 Abhilfemaßnahmen \$1 7 Anfragen = 2.100 Anfragen 5.000 Ergebnisse \$1 1 Anfrage = 5.000 Anfragen 0,20\$1/1.000.000 Anfragen = 0,0000002\$1 pro Anfrage  |  0,00142\$1  | 
|  AWS Lambda — Dauer  |  (512 MB Arbeitsspeicher) 4.000 ms \$1 300 Korrekturen \$1 0,0000000083\$1 = 0,00996\$1 449 ms \$1 5.000 Ergebnisse \$1 0,0000000083\$1 = 0,0186\$1  |  0,029\$1  | 
|  AWS Step Functions  |  19 Zustandsübergänge \$1 300 Korrekturen = 5.700 0,025\$1 \$1 (5.700/1.000) Zustandsübergänge = 0,14\$1  |  0,14\$1  | 
|   EventBridge Amazon-Regeln  |  Keine Gebühr für Regeln  |  \$10  | 
|  AWS Key Management Service  |  1 Schlüssel \$1 10 Konten \$1 1 Region \$1 1\$1 = 10\$1 (API-Anfragen verschlüsseln/entschlüsseln) (300 Behebungen x 2 Anfragen) \$1 (5.000 Ergebnisse x 4 Anfragen) = 20.600 Anfragen Mit KMS-Caching: 20.600 \$1 0,30 = 6.180 Anfragen 0,03\$1 pro 10.000 Anfragen ⇒ 0,03\$1 \$1 (6.180/10.000) = 0,02\$1  |  10,02\$1  | 
|  Amazon DynamoDB  |  2,00\$1 \$1 1.000.000 Lese- und Schreibvorgänge = 2,00\$1 (Tabelle mit den Ergebnissen) 15 MB \$1 10 Konten \$1 1 Region = 150 MB (Verlaufstabelle) 10 MB \$1 10 Konten \$1 1 Region = 100 MB 0,25 USD pro GB-Monat \$1 0,25 GB = 0,0625 USD  |  2,0625\$1  | 
|  Amazon SQS  |  0,40\$1 \$1 1.000.000 Anfragen = 0,40\$1  |  0,40\$1  | 
|  Amazon SNS  |  0,50\$1 \$1 (600/1.000.000 Benachrichtigungen) = 0,0003\$1  |  0,0003\$1  | 
|  Amazon CloudWatch — Metriken  |  (Erweiterte Metriken deaktiviert) 0,30\$1 \$1 7 benutzerdefinierte Metriken = 2,10\$1 0,01\$1 \$1 (300 API-Aufrufe für Put-Metriken/1.000) = 0,003\$1  |  2,10\$1  | 
|  Amazon CloudWatch — Dashboards  |  3,00\$1 \$1 1 Dashboard = 3,00\$1  |  3,00\$1  | 
|  Amazon CloudWatch — Alarme  |  (Erweiterte Metriken deaktiviert) 0,10\$1 \$1 4 Alarme = 0,40\$1  |  0,40\$1  | 
|  Amazon CloudWatch — Röntgenspuren  |  300 Behebungen \$1 7 Anfragen = 2.100 Lambda-Aufrufe 5.000 Ergebnisse \$1 1 Anfrage = 5.000 Lambda-Aufrufe 0,000005\$1 pro Trace \$1 7.100 Traces = 0,0355\$1  |  0,0355\$1  | 
|   **Gesamt**   |  |   **14,70\$1**   | 

### Beispiel 2:300 Korrekturen pro Monat (Web-UI aktiviert)
<a name="example-2-300-remediations-per-month"></a>
+ 10 Konten, 1 Region
+ 30 Abhilfemaßnahmen pro account/Region/month
+ 5.000 verarbeitete Security Hub Hub-Ergebnisse pro account/Region/month
+  **Web-UI aktiviert** 
+  **Das Aktionsprotokoll ist deaktiviert** 
+ Gesamtkosten 36,35 USD pro Monat


| Service | Annahmen | Monatliche Gebühren [USD] | 
| --- | --- | --- | 
|  AWS Systems Manager Automation  |  Schritte: \$14 Schritte \$1 300 Korrekturmaßnahmen \$1 0,002\$1 = 2,40\$1 Dauer: 10 s \$1 300 Behebungen \$1 0,00003\$1 = 0,09\$1  |  2,49\$1  | 
|  AWS Security Hub  |  Es wurden keine kostenpflichtigen Dienste genutzt  |  \$10  | 
|   CloudWatch Amazon-Protokolle  |  0,50\$1 pro GB  |  < 0,01\$1  | 
|  AWS Lambda — Anfragen  |  300 Abhilfemaßnahmen \$1 7 Anfragen = 2.100 Anfragen 5.000 Ergebnisse \$1 1 Anfrage = 5.000 Anfragen 0,20\$1/1.000.000 Anfragen = 0,0000002\$1 pro Anfrage  |  0,00142\$1  | 
|  AWS Lambda — Dauer  |  (512 MB Arbeitsspeicher) 4.000 ms \$1 300 Korrekturen \$1 0,0000000083\$1 = 0,00996\$1 449 ms \$1 5.000 Ergebnisse \$1 0,0000000083\$1 = 0,0186\$1  |  0,029\$1  | 
|  AWS Step Functions  |  19 Zustandsübergänge \$1 300 Korrekturen = 5.700 0,025\$1 \$1 (5.700/1.000) Zustandsübergänge = 0,14\$1  |  0,14\$1  | 
|   EventBridge Amazon-Regeln  |  Keine Gebühr für Regeln  |  \$10  | 
|  AWS Key Management Service  |  1 Schlüssel \$1 10 Konten \$1 1 Region \$1 1\$1 = 10\$1 (API-Anfragen verschlüsseln/entschlüsseln) (300 Behebungen x 2 Anfragen) \$1 (5.000 Ergebnisse x 4 Anfragen) = 20.600 Anfragen 0,03\$1 pro 10.000 Anfragen ⇒ 0,03\$1 \$1 (20.600/10.000) = 0,06\$1  |  10,06\$1  | 
|  Amazon DynamoDB  |  2,00\$1 \$1 1.000.000 Lese- und Schreibvorgänge = 2,00\$1 (Tabelle mit den Ergebnissen) 15 MB \$1 10 Konten \$1 1 Region = 150 MB (Verlaufstabelle) 10 MB \$1 10 Konten \$1 1 Region = 100 MB 0,25 USD pro GB-Monat \$1 0,25 GB = 0,0625 USD  |  2,0625\$1  | 
|  Amazon SQS  |  0,40\$1 \$1 1.000.000 Anfragen = 0,40\$1  |  0,40\$1  | 
|  Amazon SNS  |  0,50\$1 \$1 (600/1.000.000 Benachrichtigungen) = 0,0003\$1  |  0,0003\$1  | 
|  Amazon CloudWatch — Metriken  |  (Erweiterte Metriken deaktiviert) 0,30\$1 \$1 7 benutzerdefinierte Metriken = 2,10\$1 0,01\$1 \$1 (300 API-Aufrufe für Put-Metriken/1.000) = 0,003\$1  |  2,10\$1  | 
|  Amazon CloudWatch — Dashboards  |  3,00\$1 \$1 1 Dashboard = 3,00\$1  |  3,00\$1  | 
|  Amazon CloudWatch — Alarme  |  (Erweiterte Metriken deaktiviert) 0,10\$1 \$1 4 Alarme = 0,40\$1  |  0,40\$1  | 
|  Amazon CloudWatch — Röntgenspuren  |  300 Behebungen \$1 7 Anfragen = 2.100 Lambda-Aufrufe 5.000 Ergebnisse \$1 1 Anfrage = 5.000 Lambda-Aufrufe 0,000005\$1 pro Trace \$1 7.100 Traces = 0,0355\$1  |  0,0355\$1  | 
|  Amazon Cognito  |  (Stufe „Essentials“) 500 aktive Nutzer pro Monat  |  \$10  | 
|  Amazon CloudFront  |  Regionaler Datentransfer zum Absender (pro GB) = 0,020 USD Ausgehende regionale Datenübertragung ins Internet (pro GB) = 0,085 USD Preisanfrage für alle HTTP-Methoden (pro 10.000) = 0,0075 USD  |  0,1125\$1  | 
|  Amazon S3  |  (UI-Hosting) 0,023\$1 pro GB \$1 0,002 GB = 0,000046\$1 (Historischer Export) 0,023 USD pro GB \$1 0,50 GB = 0,0125 USD 0,0004 USD pro 1.000 GET-Anfragen  |  0,0125 USD  | 
|  AWS WAF  |  1 Web-ACL = 5,00 USD pro Monat 7 Regeln \$1 1,00\$1 pro Regel = 7,00\$1  |  12\$1  | 
|  Amazon API Gateway  |  3,50\$1 pro Million REST-API-Aufrufe  |  3,50\$1  | 
|   **Gesamt**   |  |   **36,35\$1**   | 

### Beispiel 3:3.000 Problembehebungen pro Monat
<a name="example-3-3000-remediations-per-month"></a>
+ 100 Konten, 1 Region
+ 30 Abhilfemaßnahmen pro account/Region/month
+ 500 Security Hub Hub-Ergebnisse wurden verarbeitet pro account/Region/month
+  **Web-UI ist deaktiviert** 
+  **Das Aktionsprotokoll ist deaktiviert** 
+ Gesamtkosten 106,40 USD pro Monat


| Service | Annahmen | Monatliche Gebühren [USD] | 
| --- | --- | --- | 
|  AWS Systems Manager Automation  |  Schritte: \$14 Schritte \$1 3.000 Korrekturmaßnahmen \$1 0,002\$1 = 24,00\$1 Dauer: 10 s \$1 3.000 Behebungen \$1 0,00003\$1 = 0,90\$1  |  24,90\$1  | 
|  AWS Security Hub  |  Es wurden keine kostenpflichtigen Dienste genutzt  |  \$10  | 
|   CloudWatch Amazon-Protokolle  |  0,50\$1 pro GB  |  < 0,01\$1  | 
|  AWS Lambda — Anfragen  |  3.000 Abhilfemaßnahmen \$1 7 Anfragen = 2.100 Anfragen 50.000 Ergebnisse \$1 1 Anfrage = 50.000 Anfragen 0,20\$1/1.000.000 Anfragen = 0,0000002\$1 pro Anfrage  |  0,01\$1  | 
|  AWS Lambda — Dauer  |  (512 MB Arbeitsspeicher) 4.000 ms \$1 3.000 Behebungen \$1 0,0000000083\$1 = 0,0996\$1 449 ms \$1 50.000 Ergebnisse \$1 0,0000000083\$1 = 0,186\$1  |  0,29\$1  | 
|  AWS Step Functions  |  19 Zustandsübergänge \$1 3.000 Korrekturen = 57.000 0,025\$1 \$1 (57.000/1.000) Zustandsübergänge = 1,425\$1  |  1,425\$1  | 
|   EventBridge Amazon-Regeln  |  Keine Gebühr für Regeln  |  \$10  | 
|  AWS Key Management Service  |  1 Schlüssel \$1 100 Konten \$1 1 Region \$1 1\$1 = 100\$1 (API-Anfragen verschlüsseln/entschlüsseln) (3.000 Behebungen x 2 Anfragen) \$1 (50.000 Ergebnisse x 4 Anfragen) = 206.000 Anfragen Mit KMS-Caching: 206.000 \$1 0,30 = 61.800 Anfragen 0,03\$1 pro 10.000 Anfragen ⇒ 0,03\$1 \$1 (61.800/10.000) = 0,185\$1  |  100,185\$1  | 
|  Amazon DynamoDB  |  2,00\$1 \$1 1.000.000 Lese- und Schreibvorgänge = 2,00\$1 (Tabelle mit den Ergebnissen) 15 MB x 100 Konten \$1 1 Region = 1.500 MB (Verlaufstabelle) 10 MB \$1 100 Konten \$1 1 Region = 1.000 MB 0,25 USD pro GB-Monat \$1 2,5 GB = 0,625 USD  |  2,625\$1  | 
|  Amazon SQS  |  0,40\$1 \$1 1.000.000 Anfragen = 0,40\$1  |  0,40\$1  | 
|  Amazon SNS  |  0,50\$1 \$1 1.000.000 Benachrichtigungen = 0,50\$1  |  0,50\$1  | 
|  Amazon CloudWatch — Metriken  |  (Erweiterte Metriken deaktiviert) 0,30\$1 \$1 7 benutzerdefinierte Metriken = 2,10\$1 0,01\$1 \$1 (3000/1.000) API-Aufrufe für Put-Metriken = 0,03\$1  |  2,13\$1  | 
|  Amazon CloudWatch — Dashboards  |  3,00\$1 \$1 1 Dashboard = 3,00\$1  |  3,00\$1  | 
|  Amazon CloudWatch — Alarme  |  0,10\$1 \$1 4 Alarme = 0,40\$1  |  0,40\$1  | 
|  Amazon CloudWatch — Röntgenspuren  |  3.000 Behebungen \$1 7 Anfragen = 2.100 Lambda-Aufrufe 50.000 Ergebnisse \$1 1 Anfrage = 50.000 Lambda-Aufrufe 0,000005\$1 pro Trace \$1 52.100 Traces = 0,2605\$1  |  0,2605\$1  | 
|   **Gesamt**   |  |   **106,40\$1**   | 

### Beispiel 4:30.000 Problembehebungen pro Monat
<a name="example-4-30000-remediations-per-months"></a>
+ 1.000 Konten, 10 Regionen
+ 30 Abhilfemaßnahmen pro account/Region/month
+ 500 Security Hub Hub-Ergebnisse wurden verarbeitet pro account/Region/month
+  **Web-UI ist deaktiviert** 
+  **Das Aktionsprotokoll ist deaktiviert** 
+ Gesamtkosten 7.360,00\$1 pro Monat


| Service | Annahmen | Monatliche Gebühren [USD] | 
| --- | --- | --- | 
|  AWS Systems Manager Automation  |  Schritte: \$14 Schritte \$1 30.000 Korrekturmaßnahmen \$1 0,002\$1 = 240,00\$1 Dauer: 10 s \$1 30.000 Behebungen \$1 0,00003\$1 = 9,00\$1  |  249,00\$1  | 
|  AWS Security Hub  |  Es wurden keine kostenpflichtigen Dienste genutzt  |  \$10  | 
|   CloudWatch Amazon-Protokolle  |  0,50\$1 pro GB  |  < 0,01\$1  | 
|  AWS Lambda — Anfragen  |  30.000 Behebungen \$1 7 Anfragen = 210.000 Anfragen 5.000.000 Ergebnisse \$1 1 Anfrage = 5.000.000 Anfragen 0,20\$1/1.000.000 Anfragen = 0,0000002\$1 pro Anfrage  |  1,042\$1  | 
|  AWS Lambda — Dauer  |  (512 MB Arbeitsspeicher) 4.000 ms \$1 30.000 Behebungen \$1 0,0000000083\$1 = 0,996\$1 449 ms \$1 5.000.000 Ergebnisse \$1 0,0000000083\$1 = 18,63\$1  |  19,63\$1  | 
|  AWS Step Functions  |  19 Zustandsübergänge \$1 30.000 Korrekturen = 570.000 0,025\$1 \$1 (570.000/1.000) Zustandsübergänge = 14,25\$1  |  14,25\$1  | 
|   EventBridge Amazon-Regeln  |  Keine Gebühr für Regeln  |  \$10  | 
|  AWS Key Management Service  |  (1 Schlüssel) 1\$1 \$1 1.000 Konten \$1 10 Region = 10.000\$1 (API-Anfragen verschlüsseln/entschlüsseln) (30.000 Behebungen x 2 Anfragen) \$1 (5.000.000 Ergebnisse x 4 Anfragen) = 20.060.000 Anfragen Mit KMS-Caching: 20.060.000\$1 0,30 = 6.018.000 Anfragen 0,03\$1 pro 10.000 Anfragen ⇒ 0,03\$1 \$1 (6.018.000/10.000) = 18,05\$1  |  10.018,05\$1  | 
|  Amazon DynamoDB  |  2,00\$1 \$1 (10.000.000 Lese- und Schreibvorgänge/1.000.000) = 20,00\$1 (Tabelle mit den Ergebnissen) 15 MB x 1000 Konten \$1 10 Regionen = 150 GB (Verlaufstabelle) 10 MB \$1 1000 Konten \$1 10 Region = 100 GB 0,25 USD pro GB-Monat \$1 250 GB = 62,50 USD  |  82,50\$1  | 
|  Amazon SQS  |  0,40\$1 \$1 (5.060.000 Anfragen/1.000.000) = 2,024\$1  |  2,024\$1  | 
|  Amazon SNS  |  0,000005\$1 \$1 1.000.000 Benachrichtigungen = 0,50\$1  |  0,50\$1  | 
|  Amazon CloudWatch — Metriken  |  (Erweiterte Metriken deaktiviert) 0,30\$1 \$1 7 benutzerdefinierte Metriken = 2,10\$1 0,01\$1 \$1 (30.000/1.000) API-Aufrufe für Put-Metriken = 0,30\$1  |  2,40\$1  | 
|  Amazon CloudWatch — Dashboards  |  3,00\$1 \$1 1 Dashboard = 3,00\$1  |  3,00\$1  | 
|  Amazon CloudWatch — Alarme  |  (Erweiterte Metriken deaktiviert) 0,10\$1 \$1 4 Alarme = 0,40\$1  |  0,40\$1  | 
|  Amazon CloudWatch — Röntgenspuren  |  30.000 Behebungen \$1 7 Anfragen = 210.000 Lambda-Aufrufe 5.000.000 Ergebnisse \$1 1 Anfrage = 5.000.000 Lambda-Aufrufe 0,000005\$1 pro Trace \$1 5.210.000 Traces = 26,05\$1  |  26,05\$1  | 
|   **Gesamt**   |  |   **7.360,00\$1**   | 

### Beispiel 5:30.000 Korrekturen pro Monat (Web-UI aktiviert)
<a name="example-5-30000-remediations-per-months"></a>
+ 1.000 Konten, 10 Regionen
+ 30 Abhilfemaßnahmen pro account/Region/month
+ 500 Security Hub Hub-Ergebnisse wurden verarbeitet pro account/Region/month
+  **Web-UI aktiviert** 
+  **Das Aktionsprotokoll ist deaktiviert** 
+ Gesamtkosten 7.380,10\$1 pro Monat


| Service | Annahmen | Monatliche Gebühren [USD] | 
| --- | --- | --- | 
|  AWS Systems Manager Automation  |  Schritte: \$14 Schritte \$1 30.000 Korrekturmaßnahmen \$1 0,002\$1 = 240,00\$1 Dauer: 10 s \$1 30.000 Behebungen \$1 0,00003\$1 = 9,00\$1  |  249,00\$1  | 
|  AWS Security Hub  |  Es wurden keine kostenpflichtigen Dienste genutzt  |  \$10  | 
|   CloudWatch Amazon-Protokolle  |  0,50\$1 pro GB  |  < 0,01\$1  | 
|  AWS Lambda — Anfragen  |  30.000 Behebungen \$1 7 Anfragen = 210.000 Anfragen 5.000.000 Ergebnisse \$1 1 Anfrage = 5.000.000 Anfragen 0,20\$1/1.000.000 Anfragen = 0,0000002\$1 pro Anfrage  |  1,042\$1  | 
|  AWS Lambda — Dauer  |  (512 MB Arbeitsspeicher) 4.000 ms \$1 30.000 Behebungen \$1 0,0000000083\$1 = 0,996\$1 449 ms \$1 5.000.000 Ergebnisse \$1 0,0000000083\$1 = 18,63\$1  |  19,63\$1  | 
|  AWS Step Functions  |  19 Zustandsübergänge \$1 30.000 Korrekturen = 570.000 0,025\$1 \$1 (570.000/1.000) Zustandsübergänge = 14,25\$1  |  14,25\$1  | 
|   EventBridge Amazon-Regeln  |  Keine Gebühr für Regeln  |  \$10  | 
|  AWS Key Management Service  |  (1 Schlüssel) 1\$1 \$1 1.000 Konten \$1 10 Region = 10.000\$1 (API-Anfragen verschlüsseln/entschlüsseln) (30.000 Behebungen x 2 Anfragen) \$1 (5.000.000 Ergebnisse x 4 Anfragen) = 20.060.000 Anfragen Mit KMS-Caching: 20.060.000\$1 0,30 = 6.018.000 Anfragen 0,03\$1 pro 10.000 Anfragen ⇒ 0,03\$1 \$1 (6.018.000/10.000) = 18,05\$1  |  10.018,05\$1  | 
|  Amazon DynamoDB  |  2,00\$1 \$1 (10.000.000 Lese- und Schreibvorgänge/1.000.000) = 20,00\$1 (Tabelle mit den Ergebnissen) 15 MB x 1000 Konten \$1 10 Regionen = 150 GB (Verlaufstabelle) 10 MB \$1 1000 Konten \$1 10 Region = 100 GB 0,25 USD pro GB-Monat \$1 250 GB = 62,50 USD  |  82,50\$1  | 
|  Amazon SQS  |  0,40\$1 \$1 (5.060.000 Anfragen/1.000.000) = 2,024\$1  |  2,024\$1  | 
|  Amazon SNS  |  0,000005\$1 \$1 1.000.000 Benachrichtigungen = 0,50\$1  |  0,50\$1  | 
|  Amazon CloudWatch — Metriken  |  (Erweiterte Metriken deaktiviert) 0,30\$1 \$1 7 benutzerdefinierte Metriken = 2,10\$1 0,01\$1 \$1 (30.000/1.000) API-Aufrufe für Put-Metriken = 0,30\$1  |  2,40\$1  | 
|  Amazon CloudWatch — Dashboards  |  3,00\$1 \$1 1 Dashboard = 3,00\$1  |  3,00\$1  | 
|  Amazon CloudWatch — Alarme  |  (Erweiterte Metriken deaktiviert) 0,10\$1 \$1 4 Alarme = 0,40\$1  |  0,40\$1  | 
|  Amazon CloudWatch — Röntgenspuren  |  30.000 Behebungen \$1 7 Anfragen = 210.000 Lambda-Aufrufe 5.000.000 Ergebnisse \$1 1 Anfrage = 5.000.000 Lambda-Aufrufe 0,000005\$1 pro Trace \$1 5.210.000 Traces = 26,05\$1  |  26,05\$1  | 
|  Amazon Cognito  |  (Stufe „Essentials“) 5.000 aktive Nutzer pro Monat  |  \$10  | 
|  Amazon CloudFront  |  Regionaler Datentransfer zum Absender (pro GB) = 0,020 USD Ausgehende regionale Datenübertragung ins Internet (pro GB) = 0,085 USD Preisanfrage für alle HTTP-Methoden (pro 10.000) = 0,0075 USD  |  0,1125\$1  | 
|  Amazon S3  |  (UI-Hosting) 0,023\$1 pro GB \$1 0,002 GB = 0,000046\$1 (Historischer Export) 0,023 USD pro GB x 100 GB = 2,30 USD 0,0004 USD pro 1.000 GET-Anfragen \$1 5.000 Anfragen = 2,00 USD  |  4,30\$1  | 
|  AWS WAF  |  1 Web-ACL = 5,00 USD pro Monat 7 Regeln \$1 1,00\$1 pro Regel = 7,00\$1  |  12\$1  | 
|  Amazon API Gateway  |  3,50\$1 pro Million REST-API-Aufrufe  |  3,50\$1  | 
|   **Gesamt**   |  |   **7.380,10\$1**   | 

**Wichtig**  
 **Kosten für die KMS-Schlüsselrotation** Der AWS Key Management Service (KMS) rotiert die vom Kunden verwalteten Schlüssel automatisch einmal pro Jahr, wenn die Rotation aktiviert ist. Für jede Rotation fallen Kosten in Höhe von 1,00 USD pro Schlüssel und Jahr an. Bei 1000 Konten in einer einzigen Region führt dies beispielsweise zu zusätzlichen 1000 USD/Jahr (1 Umdrehung × 1000 Schlüssel × 1,00 USD).

## Zusätzliche Kosten für optionale Funktionen
<a name="additional-cost-optional"></a>

In diesem Abschnitt werden die zusätzlichen Kosten aufgeführt, die mit optionalen Funktionen für diese Lösung verbunden sind.

### Verbesserte CloudWatch Metriken
<a name="additional-cost-enhanced-metrics"></a>

Wenn Sie den **EnableEnhancedCloudWatchMetrics**Parameter `yes` bei der Bereitstellung des Admin-Stacks auswählen, erstellt die Lösung zwei benutzerdefinierte Metriken und einen Alarm für jede Kontroll-ID. Die Kosten hängen von der Anzahl der Kontrollen ab IDs , die Sie korrigieren. In der folgenden Tabelle gehen wir davon aus, dass Sie alle 96 verschiedenen Kontrollen IDs pro Monat korrigieren, um die Obergrenze der Kosten zu ermitteln.


| Service | Annahmen 96 Kontrolle IDs \$1 2 = 192 benutzerdefinierte Metriken | Monatliche Gebühren [USD] | 
| --- | --- | --- | 
|  Amazon CloudWatch — Metriken  |  0,30\$1 \$1 192 benutzerdefinierte Metriken = 57,60\$1  |  57,60\$1  | 
|  Amazon CloudWatch — Alarme  |  0,10\$1 \$1 96 Alarme = 9,60\$1  |  9,60\$1  | 
|   **Gesamt**   |  |   **67,20\$1**   | 

### CloudTrail Aktionsprotokoll
<a name="additional-cost-action-log"></a>

In jedem Mitgliedskonto, für das Sie die Aktionsprotokollfunktion aktivieren, erstellt die Lösung einen CloudTrail Pfad, in dem alle Schreibverwaltungsereignisse protokolliert werden. Eine Lambda-Funktion filtert Ereignisse heraus, die nichts mit der Lösung zu tun haben. Das bedeutet, dass sich die Kosten auf die Gesamtzahl der Verwaltungsereignisse in Ihrem Konto beziehen, da Ereignisse, die nichts mit der Lösung zu tun haben, weiterhin im Trail erfasst und von der Lambda-Funktion verarbeitet werden.

Für die folgende Tabelle gehen wir von 150.000 Verwaltungsereignissen pro Monat in Ihrem Konto aus. Die tatsächlichen Kosten hängen von der tatsächlichen Aktivität der Verwaltungsereignisse in Ihrem Konto ab.


| Service | Annahmen | Monatliche Gebühren [USD] | 
| --- | --- | --- | 
|  AWS CloudTrail  |  150.000 \$1 2,00 USD/100.000 = 3,00 USD  |  3,00\$1  | 
|  Lambda  |  150.000 \$1 0,2 \$1 0,125 = 3.750 GB-Sekunden 3.750 \$1 0,0000166667\$1 = 0,0625\$1 Rechenzeit 0,15 \$1 0,20\$1 = 0,03\$1 Anforderungskosten 0,0625\$1 \$1 0,03\$1 = 0,0952\$1 Gesamtkosten für Lambda  |  0,0925\$1  | 
|   **Gesamt**   |  |   **3,09\$1 pro Mitgliedskonto**   | 

# Sicherheit
<a name="security"></a>

Wenn Sie Systeme auf der AWS-Infrastruktur aufbauen, werden Sie und AWS gemeinsam für die Sicherheit verantwortlich sein. Dieses [gemeinsame Modell](https://aws.amazon.com/compliance/shared-responsibility-model/) reduziert Ihren betrieblichen Aufwand, da AWS die Komponenten wie das Host-Betriebssystem, die Virtualisierungsebene und die physische Sicherheit der Einrichtungen, in denen die Services betrieben werden, betreibt, verwaltet und kontrolliert. Weitere Informationen zur AWS-Sicherheit finden Sie unter [AWS Cloud Security](https://aws.amazon.com/security/).

## Sicherheitsrichtlinie für API Gateway
<a name="api-gateway-security-policy"></a>

Wenn Sie sich dafür entscheiden, die Web-Benutzeroberfläche der Lösung zu aktivieren, wird neben dem CloudFormation Admin-Stack, der als Backend für alle Operationen in der Web-UI dient, eine API-Gateway-REST-API bereitgestellt. Die von der Lösung bereitgestellte REST-API verwendet die standardmäßige TLS-Sicherheitsrichtlinie für API Gateway, die `TLS-1-0` für die Region gilt APIs.

Nach der Bereitstellung des CloudFormation Admin-Stacks können Sie jedoch die REST-API der Lösung anpassen, indem Sie eine restriktivere TLS-Sicherheitsrichtlinie hinzufügen. Sie können beispielsweise festlegen, `TLS_1_2 security policy` dass der Datenverkehr mit TLSv1 .2 oder TLSv1 .3 eingeschränkt werden soll. Sie finden die REST-API der Lösung in der API Gateway Gateway-Konsole unter dem Namen **AutomatedSecurityResponseApi**.

Um eine Sicherheitsrichtlinie für die REST-API der Lösung auszuwählen, müssen Sie zunächst einen benutzerdefinierten Domainnamen konfigurieren. Weitere Informationen finden Sie unter [Benutzerdefinierter Domainname für öffentliche REST APIs in API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/how-to-custom-domains.html).

Weitere Informationen zum Hinzufügen einer Sicherheitsrichtlinie zu Ihrer REST-API finden [Sie unter Wählen Sie eine Sicherheitsrichtlinie für Ihre benutzerdefinierte REST-API-Domain in API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-custom-domain-tls-version.html) im API Gateway Gateway-Handbuch.

# IAM-Rollen
<a name="iam-roles"></a>

AWS Identity and Access Management (IAM) -Rollen ermöglichen es Kunden, Services und Benutzern in der AWS-Cloud detaillierte Zugriffsrichtlinien und -berechtigungen zuzuweisen. Diese Lösung erstellt IAM-Rollen, die den automatisierten Funktionen der Lösung Zugriff gewähren, um Korrekturmaßnahmen innerhalb eines engen Umfangs von Berechtigungen durchzuführen, die für jede Korrektur spezifisch sind.

Die Step-Funktion des Administratorkontos ist der Rolle SO0111- zugewiesen. ASR-Orchestrator-Admin Nur diese Rolle darf das SO0111-Orchestrator-Mitglied in jedem Mitgliedskonto übernehmen. Die Mitgliedsrolle darf von jeder Behebungsrolle an den AWS Systems Manager Manager-Service übergeben werden, um bestimmte Behebungs-Runbooks auszuführen. Die Namen der Behebungsrollen beginnen mit SO0111, gefolgt von einer Beschreibung, die dem Namen des Behebungs-Runbooks entspricht. Beispielsweise ist SO0111-Remove VPCDefault SecurityGroupRules die Rolle für das ASR-Remove-Wartungs-Runbook. VPCDefault SecurityGroupRules 

## Unterstützte AWS Regionen
<a name="supported-aws-regions"></a>

**Wichtig**  
Durch die Aktivierung optionaler Funktionen in der Lösung kann die Liste der Regionen, die für die Bereitstellung unterstützt werden, reduziert werden. Mit anderen Worten, die folgende Liste bezieht sich nur auf die Kernkomponenten der Lösung. Wenn Sie sich beispielsweise dafür entscheiden, die Webbenutzeroberfläche zu aktivieren, können Sie die Lösung nicht in GovCloud Regionen bereitstellen[, da CloudFront sie in GovCloud (USA) ab November 2025 nicht unterstützt wird](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/setting-up-cloudfront.html).


| Name der Region | Regionscode | 
| --- | --- | 
|  USA Ost (Ohio)  |  us-east-2  | 
|  USA Ost (Nord-Virginia)  |  us-east-1  | 
|  USA West (Nordkalifornien)  |  us-west-1  | 
|  USA West (Oregon)  |  us-west-2  | 
|  Afrika (Kapstadt)  |  af-south-1  | 
|  Asien-Pazifik (Hongkong)  |  ap-east-1  | 
|  Asien-Pazifik (Hyderabad)  |  ap-south-2  | 
|  Asien-Pazifik (Jakarta)  |  ap-southeast-3  | 
|  Asien-Pazifik (Melbourne)  |  ap-southeast-4  | 
|  Asien-Pazifik (Mumbai)  |  ap-south-1  | 
|  Asia Pacific (Osaka)  |  ap-northeast-3  | 
|  Asien-Pazifik (Seoul)  |  ap-northeast-2  | 
|  Asien-Pazifik (Singapur)  |  ap-southeast-1  | 
|  Asien-Pazifik (Sydney)  |  ap-southeast-2  | 
|  Asien-Pazifik (Tokio)  |  ap-northeast-1  | 
|  Kanada (Zentral)  |  ca-central-1  | 
|  Europa (Frankfurt)  |  eu-central-1  | 
|  Europa (Irland)  |  eu-west-1  | 
|  Europa (London)  |  eu-west-2  | 
|  Europa (Milan)  |  eu-south-1  | 
|  Europa (Paris)  |  eu-west-3  | 
|  Europa (Spanien)  |  eu-south-2  | 
|  Europa (Stockholm)  |  eu-north-1  | 
|  Europa (Zürich)  |  eu-central-2  | 
|  Naher Osten (Bahrain)  |  me-south-1  | 
|  Naher Osten (VAE)  |  me-central-1  | 
|  Südamerika (São Paulo)  |  sa-east-1  | 
|  AWS GovCloud (USA-Ost)  |  us-gov-east-1  | 
|  AWS GovCloud (USA West)  |  us-gov-west-1  | 
|  China (Beijing)  |  cn-north-1  | 
|  China (Ningxia)  |  cn-northwest-1  | 
|  Israel (Tel Aviv)  |  il-central-1  | 
|  Kanada West (Calgary)  |  ca-west-1  | 
|  Mexiko (Mexiko)  |  mx-central-1  | 
|  Asien-Pazifik (Thailand)  |  ap-southeast-7  | 
|  Asien-Pazifik (Malaysia)  |  ap-southeast-5  | 

**Anmerkung**  
Alle neuen AWS-Regionen, die nicht aufgeführt sind, werden möglicherweise über eine lokale Bereitstellung unterstützt, jedoch nicht über eine Bereitstellung mit einem Klick.

# Kontingente
<a name="quotas"></a>

Service Quotas, auch als Limits bezeichnet, sind die maximale Anzahl von Serviceressourcen oder -vorgängen für Ihr AWS-Konto.

## Kontingente für AWS-Services in dieser Lösung
<a name="quotas-for-aws-services-in-this-solution"></a>

Stellen Sie sicher, dass Sie über ein ausreichendes Kontingent für jeden der [in dieser Lösung implementierten Services](architecture-details.md#aws-services-in-this-solution) verfügen. Weitere Informationen finden Sie unter [AWS-Servicekontingente](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html).

Verwenden Sie die folgenden Links, um zur Seite für diesen Service zu gelangen. Um die Service Quotas für alle AWS-Services in der Dokumentation anzuzeigen, ohne zwischen den Seiten zu wechseln, sehen Sie sich stattdessen die Informationen auf der Seite [Service-Endpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/aws-general.pdf#aws-service-information) in der PDF-Datei an.

## CloudFormation AWS-Kontingente
<a name="aws-cloudformation-quotas"></a>

Ihr AWS-Konto verfügt über CloudFormation AWS-Kontingente, die Sie beachten sollten, wenn Sie [den Stack in dieser Lösung starten](deployment.md#step-2). Wenn Sie diese Kontingente verstehen, können Sie Limitationsfehler vermeiden, die Sie daran hindern würden, diese Lösung erfolgreich einzusetzen. Weitere Informationen finden Sie unter [ CloudFormation AWS-Kontingente](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cloudformation-limits.html) im * CloudFormation AWS-Benutzerhandbuch*.

## CloudWatch AWS-Kontingente
<a name="aws-cloudwatch-quotas"></a>

Ihr AWS-Konto hat CloudWatch AWS-Kontingente, die an CloudWatch Ressourcenrichtlinien gebunden sind, sodass nur 10 Ressourcenrichtlinien pro Region und Konto zulässig sind. Diese können nicht für eine Kontingenterhöhung beantragt werden. Weitere Informationen finden Sie unter [ CloudWatch AWS-Logs-Kontingente](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch_limits_cwl.html) im * CloudWatch AWS-Benutzerhandbuch*. Bitte überprüfen Sie vor Ihrer Bereitstellung Ihre aktuelle Nutzung, um sicherzustellen, dass Sie diesen Schwellenwert bei der Bereitstellung der Lösung nicht überschreiten.

## AWS Organizations
<a name="aws-org-quotas"></a>

Die Lambda-Funktionen der Lösung rufen die [AWS Organizations API](https://docs.aws.amazon.com/organizations/latest/APIReference/Welcome.html) auf, um den Alias des aktuellen Kontos abzurufen und in Nachrichten aufzunehmen, die unter dem SNS-Thema der Lösung veröffentlicht wurden. Auf diese Weise können von Menschen lesbare Kontonamen in den Benachrichtigungen der Lösung zu Debugging- und Tracking-Zwecken angezeigt werden.

AWS Organizations begrenzt, wie oft Kunden ihre API-Endpunkte aufrufen können. Wenn Sie feststellen, dass die Lösung die für Ihr Konto festgelegten Grenzwerte überschreitet, können Sie die Funktion deaktivieren, mit der der Kontoalias abgerufen und angezeigt wird.

**Navigieren Sie dazu zu der Lambda-Funktion mit dem** Namen, die `SO0111-ASR-sendNotifications` sich in der Region und dem Konto befindet, in denen Sie den Admin-Stack bereitgestellt haben. **Suchen Sie dann die angegebene Umgebungsvariable** `DISABLE_ACCOUNT_ALIAS_LOOKUP` und ändern Sie den Wert von „False“ in **„True“.** Das Kontoaliasfeld in den Benachrichtigungen der Lösung lautet jetzt *„Unbekannt“*, was sich jedoch nicht auf die Funktionalität der Lösung auswirkt.

# Bereitstellung von AWS Security Hub
<a name="aws-security-hub-deployment"></a>

Die Bereitstellung und Konfiguration von AWS Security Hub ist eine Voraussetzung für diese Lösung. Weitere Informationen zur Einrichtung von AWS Security Hub CSPM finden Sie unter [Setting up AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html) im *AWS Security* Hub Hub-Benutzerhandbuch. Diese Lösung unterstützt auch [AWS Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub-v2.html) (Nicht-CSPM-Version). Weitere Informationen zur Einrichtung von AWS Security Hub finden Sie unter [Enabling Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-enable.html).

In Ihrem Hauptkonto muss mindestens ein funktionierender Security Hub konfiguriert sein. Sie können diese Lösung in demselben Konto (und derselben AWS-Region) wie das primäre Security Hub-Konto bereitstellen. In jedem primären und sekundären Security Hub Hub-Konto müssen Sie auch die Mitgliedsvorlage bereitstellen, die AssumeRole Berechtigungen für die AWS Step Functions der Lösung zur Ausführung von Remediation-Runbooks im Konto ermöglicht.

# Stack im Vergleich zur Bereitstellung StackSets
<a name="stack-vs-stacksets-deployment"></a>

Mit einem *Stack-Set* können Sie Stacks in AWS-Konten in AWS-Regionen mithilfe einer einzigen CloudFormation AWS-Vorlage erstellen. Ab Version 1.4 unterstützt diese Lösung die Bereitstellung von Stack-Sets, indem Ressourcen je nachdem, wo und wie sie bereitgestellt werden, aufgeteilt werden. Kunden mit mehreren Konten, insbesondere solche, die AWS Organizations verwenden, können von der Verwendung von Stack-Sets für die Bereitstellung auf vielen Konten profitieren. Dies reduziert den Aufwand für die Installation und Wartung der Lösung. Weitere Informationen StackSets dazu finden Sie unter [Using AWS CloudFormation StackSets](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/using-stacksets.html).