Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Planificación de la implementación
<a name="plan-your-deployment"></a>

En esta sección se describen el costo, la seguridad de la red, las regiones de AWS compatibles, las cuotas y otras consideraciones antes de implementar la solución.

# Costo
<a name="cost"></a>

Usted es responsable del coste de los servicios de AWS utilizados para ejecutar esta solución.

A partir de esta revisión, los costos mensuales estimados son:
+ Implementación pequeña (10 cuentas, 1 región: EE. UU. East/N. Virginia): Approximately \$114.70 for 300 remediations/month
+ Despliegue medio (100 cuentas, 1 región: EE. UU. East/N. Virginia): Approximately \$1106.40 for 3,000 remediations/month
+ Implementación de gran tamaño (1 000 cuentas, 10 regiones): aproximadamente 7 360\$1 para 30 000 reparaciones al mes

**importante**  
Los precios están sujetos a cambios. Para obtener más información, consulte la página de precios de cada servicio de AWS utilizado en esta solución.

**nota**  
Muchos servicios de AWS incluyen una capa gratuita, un importe básico del servicio que los clientes pueden utilizar sin coste alguno. Los costos reales pueden ser superiores o inferiores a los de los ejemplos de precios proporcionados.

Recomendamos elaborar un [presupuesto](https://docs.aws.amazon.com/cost-management/latest/userguide/budgets-create.html) a través del Explorador de costos de AWS para ayudar a administrar los costos. Los precios están sujetos a cambios. Para obtener más información, consulte la página web de precios de cada servicio de AWS utilizado en esta solución.

## Ejemplo de tabla de costos
<a name="sample-cost-table"></a>

El costo total de ejecutar esta solución depende de los siguientes factores:
+ Número de cuentas de miembros de AWS Security Hub
+ El número de correcciones activas que se invocan automáticamente
+ La frecuencia de las correcciones

Esta solución utiliza los siguientes componentes de AWS, que conllevan un coste en función de la configuración. Se proporcionan ejemplos de precios para organizaciones pequeñas, medianas y grandes.


| Servicio | Capa gratuita | Precios [USD] | 
| --- | --- | --- | 
|   [AWS Systems Manager Automation: recuento de pasos](https://aws.amazon.com/systems-manager/pricing/)   |  No hay un nivel gratuito  |  Cada paso básico tiene un coste de 0,002\$1 por paso. En el caso de las automatizaciones con varias cuentas, todos los pasos, incluidos los que se ejecutan en cualquier cuenta secundaria, se contabilizan únicamente en la cuenta de origen.  | 
|   [AWS Systems Manager Automation: duración del paso](https://aws.amazon.com/systems-manager/pricing/)   |  No hay un nivel gratuito  |  Cada paso de `aws:executeScript` acción se cobra a 0,00003\$1 por segundo.  | 
|   [AWS Systems Manager Automation - Almacenamiento](https://aws.amazon.com/systems-manager/pricing/)   |  No hay un nivel gratuito  |  0,046\$1 por GB al mes  | 
|   [AWS Systems Manager Automation: Transferencia de datos](https://aws.amazon.com/systems-manager/pricing/)   |  No hay capa gratuita  |  0,900 USD por GB transferido (para cuentas cruzadas o) out-of-Region  | 
|   [AWS Security Hub (CSPM): Comprobaciones de seguridad](https://aws.amazon.com/security-hub/cspm/pricing/)   |  No hay capa gratuita  |  Los primeros 100.000 dólares checks/account/Region/month cuestan 0,0010\$1 por cheque Los siguientes 400 000 dólares checks/account/Region/month cuestan 0,0008 dólares por cheque Más de 500 000 dólares checks/account/Region/month cuestan 0,0005\$1 por cheque  | 
|   [AWS Security Hub (CSPM): Búsqueda de eventos de ingestión](https://aws.amazon.com/security-hub/cspm/pricing/)   |  Los primeros 10 000 puntos son gratuitosevents/account/Region/month. Búsqueda de eventos de ingestión asociados a las comprobaciones de seguridad de Security Hub.  |  Más de 10 000€ events/account/Region/month cuestan 0,00003\$1 por evento  | 
|   [Amazon CloudWatch : métricas](https://aws.amazon.com/cloudwatch/pricing/)   |  Métricas de monitoreo básicas (con una frecuencia de 5 minutos) 10 Métricas de monitoreo detalladas (con una frecuencia de 1 minuto) 1 1 millón de solicitudes de API (no se aplica a GetMetricData, GetInsightRuleReport y GetMetricWidgetImage)  |  Las primeras 10 000 métricas cuestan 0,30\$1 por métrica al mes Las siguientes 240.000 métricas cuestan 0,10\$1 por métrica al mes Las siguientes 750 000 métricas cuestan 0,05\$1 por métrica al mes Más de 1 000 000 de métricas cuestan 0,02\$1 por métrica al mes Las llamadas a la API cuestan 0,01\$1 por cada 1000 solicitudes  | 
|   [Amazon CloudWatch - Panel de control](https://aws.amazon.com/cloudwatch/pricing/)   |  3 paneles de control para un máximo de 50 métricas al mes  |  3,00\$1 por panel de control al mes  | 
|   [Amazon CloudWatch - Alarmas](https://aws.amazon.com/cloudwatch/pricing/)   |  10 métricas de alarma (no aplicables a las alarmas de alta resolución)  |  La resolución estándar (60 segundos) cuesta 0,10 USD por alarma La alta resolución (10 segundos) cuesta 0,30\$1 por métrica de alarma La detección de anomalías con resolución estándar cuesta 0,30\$1 por alarma La detección de anomalías de alta resolución cuesta 0,90\$1 por alarma La tecnología compuesta cuesta 0,50\$1 por alarma  | 
|   [Amazon CloudWatch - Colección de registros](https://aws.amazon.com/cloudwatch/pricing/)   |  5 GB de datos (ingestión, almacenamiento de archivos y datos escaneados mediante consultas de Logs Insights)  |  0,50 USD por GB  | 
|   [Amazon CloudWatch - Almacenamiento de registros](https://aws.amazon.com/cloudwatch/pricing/)   |  5 GB de datos (ingestión, almacenamiento de archivos y datos escaneados mediante consultas de Logs Insights)  |  0,005 USD por GB de datos escaneados  | 
|   [AWS Lambda: Solicitudes](https://aws.amazon.com/lambda/pricing/)   |  1 millón de solicitudes gratuitas al mes  |  0,20\$1 por 1 millón de solicitudes  | 
|   [AWS Lambda: duración](https://aws.amazon.com/lambda/pricing/)   |  400 000 GB-segundos de tiempo de cómputo al mes  |  0,0000166667\$1 por cada GB por segundo. El precio de la duración depende de la cantidad de memoria que asignes a la función. Puedes asignar cualquier cantidad de memoria a tu función, entre 128 MB y 10 240 MB, en incrementos de 1 MB.  | 
|   [AWS Step Functions: Transiciones de estado](https://aws.amazon.com/step-functions/pricing/)   |  4000 transiciones de estado gratuitas al mes  |  A partir de entonces, 0,025 USD por cada 1000 estados  | 
|   [Amazon EventBridge](https://aws.amazon.com/eventbridge/pricing/)   |  Todos los eventos de cambio de estado publicados por los servicios de AWS son gratuitos  |  Los eventos personalizados cuestan 1 dólar por cada millón de eventos personalizados publicados Los eventos de terceros (SaaS) cuestan 1 USD/millón de dólares. Los eventos publicados El envío de eventos multicuenta cuesta 1 dólar por millón de dólares  | 
|   [Amazon SNS](https://aws.amazon.com/sns/pricing/)   |  El primer millón de solicitudes de Amazon SNS al mes son gratuitas  |  A partir de entonces, 0,50 USD por cada millón de solicitudes  | 
|   [Amazon SQS](https://aws.amazon.com/sqs/pricing/)   |  El primer millón de solicitudes de Amazon SQS al mes son gratuitas  |  A partir de entonces, 0,40 USD por millón y 100 000 millones de solicitudes  | 
|   [Amazon DynamoDB](https://aws.amazon.com/dynamodb/pricing/)   |  Los primeros 25 GB de almacenamiento son gratuitos  |  2,00\$1 por cada millón de lecturas y escrituras consistentes a partir de entonces  | 
|   [AWS Key Management Service](https://aws.amazon.com/kms/pricing/)   |  20 000 solicitudes/mes  |  1,00\$1 por clave de 1 KMS. 0,03\$1 por cada 10 000 solicitudes de API. En el caso de las claves de KMS que se rotan automáticamente o bajo demanda, la primera y la segunda rotación de la clave añaden 1 USD al mes (prorrateado por hora) de coste.  **Nota: Esta solución incluye optimizaciones del almacenamiento en caché de KMS (claves de bucket de S3, reutilización de claves de datos de SQS en 60 minutos, almacenamiento en caché de Secrets Manager en 5 minutos) que reducen las llamadas a la API de KMS en aproximadamente un 70%.**   | 
|   [Amazon Cognito](https://aws.amazon.com/cognito/pricing/)   |  En el nivel Essentials, los primeros 10 000 usuarios activos mensuales son gratuitos. Nota: Este nivel gratuito es de 50 usuarios activos mensuales cuando los usuarios se autentican mediante un IdP externo (SAML/OIDC).  |  0,015 USD por usuario activo mensual superior a 10 000 usuarios.  | 
|   [Amazon CloudFront](https://aws.amazon.com/cloudfront/pricing/)   |  La capa gratuita incluye 1 TB de transferencia de datos saliente y 10 000 000 de solicitudes HTTP o HTTPS al mes.  |  (US/Canada/Mexico) Los primeros 9 TB cuestan 0,085\$1 al mes. Los siguientes 40 TB cuestan 0,080\$1 al mes. 0,0075\$1 por solicitud HTTP. 0,0100\$1 por solicitud HTTPS.  | 
|   [Amazon S3](https://aws.amazon.com/s3/pricing/)   |  Sin nivel gratuito  |  Los primeros 50 TB cuestan 0,023 USD por GB al mes. 0,005 USD por cada 1000 solicitudes PUT, COPY, POST o LIST. 0,0004 USD por cada 1000 solicitudes GET, SELECT y todas las demás solicitudes.  | 
|   [Amazon API Gateway](https://aws.amazon.com/api-gateway/pricing/)   |  1 millón de llamadas a la API REST en los primeros 12 meses de uso.  |  3,50 USD por millón para los primeros 333 millones de llamadas a la API.  | 

## Optimización de costes de KMS
<a name="kms-optimization"></a>

Desde **la versión 3.1.0**, esta solución incluye optimizaciones de almacenamiento en caché de KMS que reducen los costos de las operaciones criptográficas en aproximadamente un 70%
+  **Claves de bucket de S3**: reduce las GenerateDataKey llamadas de KMS para las operaciones de cifrado de S3
+  **Reutilización de claves de datos de SQS**: período de caché de 60 minutos para el cifrado de mensajes
+  Almacenamiento en **caché de Secrets Manager**: TTL de 5 minutos en funciones Lambda

 **Impacto en el rendimiento**: estas optimizaciones mejoran la latencia entre 10 y 15 ms para las operaciones de S3 y los flujos de trabajo completos, al tiempo que reducen los costos, sin degradar el rendimiento.

## Ejemplos de precios (mensuales)
<a name="pricing-examples"></a>

### Ejemplo 1:300 correcciones al mes
<a name="example-1-300-remediations-per-month"></a>
+ 10 cuentas, 1 región
+ 30 remediaciones por account/Region/month
+ 500 hallazgos de Security Hub procesados por account/Region/month
+  **Interfaz de usuario web deshabilitada** 
+  **Registro de acciones desactivado** 
+ El coste total es de 14,70\$1 al mes


| Servicio | Supuestos | Cargos mensuales [USD] | 
| --- | --- | --- | 
|  Automatización de AWS Systems Manager  |  Pasos: aproximadamente 4 pasos\$1 300 soluciones \$1 0,002\$1 = 2,40\$1 Duración: 10 segundos \$1 300 soluciones \$1 0,00003\$1 = 0,09\$1  |  2,49\$1  | 
|  AWS Security Hub  |  No se utilizaron servicios facturables  |  \$10  | 
|  Amazon CloudWatch Logs  |  0,50\$1 por GB  |  < 0,01\$1  | 
|  AWS Lambda: Solicitudes  |  300 soluciones \$1 7 solicitudes = 2100 solicitudes 5000 hallazgos \$1 1 solicitud = 5000 solicitudes 0,20 dólares/1 000 000 de solicitudes = 0,0000002\$1 por solicitud  |  0,00142\$1  | 
|  AWS Lambda: duración  |  (512 MB de memoria) 4.000 ms x 300 correcciones \$1 0,0000000083\$1 = 0,00996\$1 449 ms \$1 5000 hallazgos \$1 0,0000000083\$1 = 0,0186\$1  |  0,029\$1  | 
|  AWS Step Functions  |  19 transiciones de estado \$1 300 remediaciones = 5.700 0,025 USD\$1 (5.700/1.000) transiciones de estado = 0,14\$1  |  0,14\$1  | 
|   EventBridge Reglas de Amazon  |  Las reglas no cobran  |  \$10  | 
|  AWS Key Management Service  |  1 clave \$1 10 cuentas \$1 1 región \$1 1 dólar = 10\$1 (Solicitudes de API de cifrado o descifrado) (300 correcciones \$1 2 solicitudes) \$1 (5000 hallazgos \$1 4 solicitudes) = 20 600 solicitudes Con el almacenamiento en caché de KMS: 20.600 \$1 0,30 = 6.180 solicitudes 0,03\$1 por cada 10 000 solicitudes ⇒ 0,03\$1 \$1 (6180/10 000\$1) = 0,02\$1  |  10,02\$1  | 
|  Amazon DynamoDB  |  2,00\$1 \$1 1 000 000 000\$1 de lectura y escritura = 2,00\$1 (Tabla de resultados) 15 MB \$1 10 cuentas \$1 1 región = 150 MB (Tabla de historial) 10 MB \$1 10 cuentas \$1 1 región = 100 MB 0,25\$1 por GB al mes \$1 0,25 GB = 0,0625\$1  |  2,0625\$1  | 
|  Amazon SQS  |  0,40\$1 \$1 1 000 000 de solicitudes = 0,40\$1  |  0,40\$1  | 
|  Amazon SNS  |  0,50\$1 \$1 (600 €/1 000 000 de notificaciones) = 0,0003\$1  |  0,0003\$1  | 
|  Amazon CloudWatch : Métricas  |  (Las métricas mejoradas están deshabilitadas) 0,30\$1 \$1 7 métricas personalizadas = 2,10\$1 0,01\$1 \$1 (300 llamadas a la API con métricas de venta /1000 \$1) = 0,003\$1  |  2,10\$1  | 
|  Amazon CloudWatch - Paneles de control  |  3,00\$1 \$1 1 panel = 3,00\$1  |  3,00\$1  | 
|  Amazon CloudWatch - Alarmas  |  (Las métricas mejoradas están deshabilitadas) 0,10 dólares\$1 4 alarmas = 0,40\$1  |  0,40\$1  | 
|  Amazon CloudWatch - X-Ray Traces  |  300 remediaciones \$1 7 solicitudes = 2.100 invocaciones Lambda 5000 hallazgos \$1 1 solicitud = 5000 invocaciones Lambda 0,000005\$1 por traza \$1 7.100 trazas = 0,0355\$1  |  0,0355\$1  | 
|   **Total**   |  |   **14,70 DÓLARES**   | 

### Ejemplo 2:300 correcciones al mes (con interfaz de usuario web habilitada)
<a name="example-2-300-remediations-per-month"></a>
+ 10 cuentas, 1 región
+ 30 remediaciones por account/Region/month
+ Se procesan 5000 hallazgos de Security Hub por account/Region/month
+  **Interfaz de usuario web habilitada** 
+  **Registro de acciones desactivado** 
+ El coste total es de 36,35\$1 al mes


| Servicio | Supuestos | Cargos mensuales [USD] | 
| --- | --- | --- | 
|  Automatización de AWS Systems Manager  |  Pasos: aproximadamente 4 pasos\$1 300 soluciones \$1 0,002\$1 = 2,40\$1 Duración: 10 segundos \$1 300 soluciones \$1 0,00003\$1 = 0,09\$1  |  2,49\$1  | 
|  AWS Security Hub  |  No se utilizaron servicios facturables  |  \$10  | 
|  Amazon CloudWatch Logs  |  0,50\$1 por GB  |  < 0,01\$1  | 
|  AWS Lambda: Solicitudes  |  300 soluciones \$1 7 solicitudes = 2100 solicitudes 5000 hallazgos \$1 1 solicitud = 5000 solicitudes 0,20 dólares/1 000 000 de solicitudes = 0,0000002\$1 por solicitud  |  0,00142\$1  | 
|  AWS Lambda: duración  |  (512 MB de memoria) 4.000 ms x 300 correcciones \$1 0,0000000083\$1 = 0,00996\$1 449 ms \$1 5000 hallazgos \$1 0,0000000083\$1 = 0,0186\$1  |  0,029\$1  | 
|  AWS Step Functions  |  19 transiciones de estado \$1 300 remediaciones = 5.700 0,025 USD\$1 (5.700/1.000) transiciones de estado = 0,14\$1  |  0,14\$1  | 
|   EventBridge Reglas de Amazon  |  Las reglas no cobran  |  \$10  | 
|  AWS Key Management Service  |  1 clave \$1 10 cuentas \$1 1 región \$1 1 dólar = 10\$1 (Solicitudes de API de cifrado o descifrado) (300 correcciones \$1 2 solicitudes) \$1 (5000 hallazgos \$1 4 solicitudes) = 20 600 solicitudes 0,03 USD por cada 10 000 solicitudes ⇒ 0,03 USD \$1 (20 600 €/10 000) = 0,06 USD  |  10,06\$1  | 
|  Amazon DynamoDB  |  2,00\$1 \$1 1 000 000 000\$1 de lectura y escritura = 2,00\$1 (Tabla de resultados) 15 MB \$1 10 cuentas \$1 1 región = 150 MB (Tabla de historial) 10 MB \$1 10 cuentas \$1 1 región = 100 MB 0,25\$1 por GB al mes \$1 0,25 GB = 0,0625\$1  |  2,0625\$1  | 
|  Amazon SQS  |  0,40\$1 \$1 1 000 000 de solicitudes = 0,40\$1  |  0,40\$1  | 
|  Amazon SNS  |  0,50\$1 \$1 (600 €/1 000 000 de notificaciones) = 0,0003\$1  |  0,0003\$1  | 
|  Amazon CloudWatch : Métricas  |  (Las métricas mejoradas están deshabilitadas) 0,30\$1 \$1 7 métricas personalizadas = 2,10\$1 0,01\$1 \$1 (300 llamadas a la API con métricas de venta /1000 \$1) = 0,003\$1  |  2,10\$1  | 
|  Amazon CloudWatch - Paneles de control  |  3,00\$1 \$1 1 panel = 3,00\$1  |  3,00\$1  | 
|  Amazon CloudWatch - Alarmas  |  (Las métricas mejoradas están deshabilitadas) 0,10 dólares\$1 4 alarmas = 0,40\$1  |  0,40\$1  | 
|  Amazon CloudWatch - X-Ray Traces  |  300 remediaciones \$1 7 solicitudes = 2.100 invocaciones Lambda 5000 hallazgos \$1 1 solicitud = 5000 invocaciones Lambda 0,000005\$1 por traza \$1 7.100 trazas = 0,0355\$1  |  0,0355\$1  | 
|  Amazon Cognito  |  (Nivel esencial) 500 usuarios activos mensuales  |  \$10  | 
|  Amazon CloudFront  |  Transferencia regional de datos hacia el origen (por GB) = 0,020\$1 Transferencia de datos regional a Internet (por GB) = 0,085\$1 El precio de solicitud para todos los métodos HTTP (por 10 000) = 0,0075\$1  |  0,1125\$1  | 
|  Amazon S3  |  (Alojamiento de interfaz de usuario) 0,023\$1 por GB \$1 0,002 GB = 0,000046\$1 (Exportación histórica) 0,023\$1 por GB \$1 0,50 GB = 0,0125\$1 0,0004\$1 por cada 1000 solicitudes GET  |  0,0125 USD  | 
|  AWS WAF  |  1 ACL web = 5,00\$1 al mes 7 reglas \$1 1,00\$1 por regla = 7,00\$1  |  12 DÓLARES  | 
|  Amazon API Gateway  |  3,50\$1 por millón de llamadas a la API REST  |  3,50\$1  | 
|   **Total**   |  |   **36,35 DÓLARES**   | 

### Ejemplo 3:3000 reparaciones al mes
<a name="example-3-3000-remediations-per-month"></a>
+ 100 cuentas, 1 región
+ 30 remediaciones por account/Region/month
+ 500 hallazgos de Security Hub procesados por account/Region/month
+  **Interfaz de usuario web deshabilitada** 
+  **Registro de acciones desactivado** 
+ El coste total es de 106,40\$1 al mes


| Servicio | Supuestos | Cargos mensuales [USD] | 
| --- | --- | --- | 
|  Automatización de AWS Systems Manager  |  Pasos: aproximadamente 4 pasos\$1 3000 remediaciones \$1 0,002\$1 = 24,00\$1 Duración: 10 segundos \$1 3000 remediaciones \$1 0,00003\$1 = 0,90\$1  |  24,90\$1  | 
|  AWS Security Hub  |  No se utilizaron servicios facturables  |  \$10  | 
|  Amazon CloudWatch Logs  |  0,50\$1 por GB  |  < 0,01\$1  | 
|  AWS Lambda: Solicitudes  |  3000 correcciones \$1 7 solicitudes = 2100 solicitudes 50 000 hallazgos \$1 1 solicitud = 50 000 solicitudes 0,20 dólares/1 000 000 de solicitudes = 0,0000002\$1 por solicitud  |  0,01\$1  | 
|  AWS Lambda: duración  |  (512 MB de memoria) 4000 ms \$1 3000 correcciones \$1 0,0000000083\$1 = 0,0996\$1 449 ms \$1 50 000 hallazgos \$1 0,0000000083 = 0,186\$1  |  0,29\$1  | 
|  AWS Step Functions  |  19 transiciones entre estados \$1 3000 remediaciones = 57 000 0,025 USD\$1 (57 000/1000) transiciones de estado = 1,425\$1  |  1,425\$1  | 
|   EventBridge Reglas de Amazon  |  Las reglas no cobran  |  \$10  | 
|  AWS Key Management Service  |  1 clave \$1 100 cuentas \$1 1 región \$1 1 dólar = 100\$1 (Solicitudes de API de cifrado y descifrado) (3000 correcciones \$1 2 solicitudes) \$1 (50 000 hallazgos \$1 4 solicitudes) = 206 000 solicitudes Con el almacenamiento en caché de KMS: 206 000 \$1 0,30 = 61 800 solicitudes 0,03\$1 por cada 10 000 solicitudes ⇒ 0,03\$1 \$1 (61 800/10 000\$1) = 0,185\$1  |  100,185\$1  | 
|  Amazon DynamoDB  |  2,00\$1 \$1 1 000 000 000\$1 de lectura y escritura = 2,00\$1 (Tabla de resultados) 15 MB \$1 100 cuentas \$1 1 región = 1500 MB (Tabla de historial) 10 MB \$1 100 cuentas \$1 1 región = 1000 MB 0,25\$1 por GB al mes \$1 2,5 GB = 0,625\$1  |  2,625\$1  | 
|  Amazon SQS  |  0,40\$1 \$1 1 000 000 de solicitudes = 0,40\$1  |  0,40\$1  | 
|  Amazon SNS  |  0,50\$1 \$1 1 000 000 000 de notificaciones = 0,50\$1  |  0,50\$1  | 
|  Amazon CloudWatch : Métricas  |  (Las métricas mejoradas están deshabilitadas) 0,30\$1 \$1 7 métricas personalizadas = 2,10\$1 0,01\$1 \$1 (3000 €/1000) llamadas a la API con métricas de venta = 0,03\$1  |  2,13\$1  | 
|  Amazon CloudWatch - Paneles de control  |  3,00\$1 \$1 1 panel = 3,00\$1  |  3,00\$1  | 
|  Amazon CloudWatch - Alarmas  |  0,10\$1 \$1 4 alarmas = 0,40\$1  |  0,40\$1  | 
|  Amazon CloudWatch - X-Ray Traces  |  3000 remediaciones \$1 7 solicitudes = 2100 invocaciones Lambda 50 000 hallazgos \$1 1 solicitud = 50 000 invocaciones Lambda 0,000005\$1 por traza \$1 52.100 trazas = 0,2605\$1  |  0,2605\$1  | 
|   **Total**   |  |   **106,40 DÓLARES**   | 

### Ejemplo 4:30 000 reparaciones al mes
<a name="example-4-30000-remediations-per-months"></a>
+ 1000 cuentas, 10 regiones
+ 30 remediaciones por account/Region/month
+ 500 hallazgos de Security Hub procesados por account/Region/month
+  **Interfaz de usuario web deshabilitada** 
+  **Registro de acciones desactivado** 
+ El coste total es de 7.360,00\$1 al mes


| Servicio | Supuestos | Cargos mensuales [USD] | 
| --- | --- | --- | 
|  Automatización de AWS Systems Manager  |  Pasos: aproximadamente 4 pasos\$1 30 000 soluciones \$1 0,002\$1 = 240,00\$1 Duración: 10 segundos \$1 30 000 soluciones \$1 0,00003\$1 = 9,00\$1  |  249,00\$1  | 
|  AWS Security Hub  |  No se utilizaron servicios facturables  |  \$10  | 
|  Amazon CloudWatch Logs  |  0,50\$1 por GB  |  < 0,01\$1  | 
|  AWS Lambda: Solicitudes  |  30 000 correcciones \$1 7 solicitudes = 210 000 solicitudes 5 000 000 de hallazgos \$1 1 solicitud = 5 000 000 de solicitudes 0,20 dólares/1 000 000 de solicitudes = 0,0000002\$1 por solicitud  |  1.042\$1  | 
|  AWS Lambda: duración  |  (512 MB de memoria) 4000 ms \$1 30 000 correcciones \$1 0,0000000083 = 0,996\$1 449 ms \$1 5 000 000 de hallazgos \$1 0,0000000083\$1 = 18,63\$1  |  19,63\$1  | 
|  AWS Step Functions  |  19 transiciones entre estados \$1 30 000 correcciones = 570 000 0,025 USD\$1 (570.000/1.000) transiciones de estado = 14,25\$1  |  14,25\$1  | 
|   EventBridge Reglas de Amazon  |  Las reglas no cobran  |  \$10  | 
|  AWS Key Management Service  |  (1 clave) 1 dólar \$1 1000 cuentas \$1 10 regiones = 10 000\$1 (Solicitudes de API de cifrado o descifrado) (30 000 correcciones \$1 2 solicitudes) \$1 (5 000 000 hallazgos \$1 4 solicitudes) = 20 060.000 solicitudes Con almacenamiento en caché de KMS: 20 060 000 \$1 0,30 = 6 018 000 solicitudes 0,03\$1 por cada 10 000 solicitudes ⇒ 0,03\$1 \$1 (6.018 000/10 000\$1) = 18,05\$1  |  10.018,05\$1  | 
|  Amazon DynamoDB  |  2,00 dólares\$1 (10 000 000 000 de lectura y escritura/1 000 000\$1) = 20,00\$1 (Tabla de resultados) 15 MB \$1 1000 cuentas \$1 10 regiones = 150 GB (Tabla histórica) 10 MB \$1 1000 cuentas \$1 10 regiones = 100 GB 0,25\$1 por GB al mes \$1 250 GB = 62,50\$1  |  82,50\$1  | 
|  Amazon SQS  |  0,40\$1 \$1 (5 060 000 solicitudas/1 000 000\$1) = 2,024\$1  |  2,024\$1  | 
|  Amazon SNS  |  0,000005\$1 \$1 1 000 000 000 de notificaciones = 0,50\$1  |  0,50\$1  | 
|  Amazon CloudWatch : Métricas  |  (Las métricas mejoradas están deshabilitadas) 0,30\$1 \$1 7 métricas personalizadas = 2,10\$1 0,01\$1 \$1 (30 000 €/1000) llamadas a la API con métricas de venta = 0,30\$1  |  2,40\$1  | 
|  Amazon CloudWatch - Paneles de control  |  3,00\$1 \$1 1 panel = 3,00\$1  |  3,00\$1  | 
|  Amazon CloudWatch - Alarmas  |  (Las métricas mejoradas están deshabilitadas) 0,10 dólares\$1 4 alarmas = 0,40\$1  |  0,40\$1  | 
|  Amazon CloudWatch - X-Ray Traces  |  30 000 remediaciones \$1 7 solicitudes = 210 000 invocaciones Lambda 5 000 000 de hallazgos \$1 1 solicitud = 5 000 000 de invocaciones Lambda 0,000005\$1 por rastreo \$1 5.210.000 trazas = 26,05\$1  |  26,05\$1  | 
|   **Total**   |  |   **7.360,00 DÓLARES**   | 

### Ejemplo 5:30 000 correcciones al mes (con interfaz de usuario web habilitada)
<a name="example-5-30000-remediations-per-months"></a>
+ 1000 cuentas, 10 regiones
+ 30 remediaciones por account/Region/month
+ 500 hallazgos de Security Hub procesados por account/Region/month
+  **Interfaz de usuario web habilitada** 
+  **Registro de acciones desactivado** 
+ El coste total es de 7.380,10\$1 al mes


| Servicio | Supuestos | Cargos mensuales [USD] | 
| --- | --- | --- | 
|  Automatización de AWS Systems Manager  |  Pasos: aproximadamente 4 pasos\$1 30 000 soluciones \$1 0,002\$1 = 240,00\$1 Duración: 10 segundos \$1 30 000 soluciones \$1 0,00003\$1 = 9,00\$1  |  249,00\$1  | 
|  AWS Security Hub  |  No se utilizaron servicios facturables  |  \$10  | 
|  Amazon CloudWatch Logs  |  0,50\$1 por GB  |  < 0,01\$1  | 
|  AWS Lambda: Solicitudes  |  30 000 correcciones \$1 7 solicitudes = 210 000 solicitudes 5 000 000 de hallazgos \$1 1 solicitud = 5 000 000 de solicitudes 0,20 dólares/1 000 000 de solicitudes = 0,0000002\$1 por solicitud  |  1.042\$1  | 
|  AWS Lambda: duración  |  (512 MB de memoria) 4000 ms \$1 30 000 correcciones \$1 0,0000000083 = 0,996\$1 449 ms \$1 5 000 000 de hallazgos \$1 0,0000000083\$1 = 18,63\$1  |  19,63\$1  | 
|  AWS Step Functions  |  19 transiciones entre estados \$1 30 000 correcciones = 570 000 0,025 USD\$1 (570.000/1.000) transiciones de estado = 14,25\$1  |  14,25\$1  | 
|   EventBridge Reglas de Amazon  |  Las reglas no cobran  |  \$10  | 
|  AWS Key Management Service  |  (1 clave) 1 dólar \$1 1000 cuentas \$1 10 regiones = 10 000\$1 (Solicitudes de API de cifrado o descifrado) (30 000 correcciones \$1 2 solicitudes) \$1 (5 000 000 hallazgos \$1 4 solicitudes) = 20 060.000 solicitudes Con almacenamiento en caché de KMS: 20 060 000 \$1 0,30 = 6 018 000 solicitudes 0,03\$1 por cada 10 000 solicitudes ⇒ 0,03\$1 \$1 (6.018 000/10 000\$1) = 18,05\$1  |  10.018,05\$1  | 
|  Amazon DynamoDB  |  2,00 dólares\$1 (10 000 000 000 de lectura y escritura/1 000 000\$1) = 20,00\$1 (Tabla de resultados) 15 MB \$1 1000 cuentas \$1 10 regiones = 150 GB (Tabla histórica) 10 MB \$1 1000 cuentas \$1 10 regiones = 100 GB 0,25\$1 por GB al mes \$1 250 GB = 62,50\$1  |  82,50\$1  | 
|  Amazon SQS  |  0,40\$1 \$1 (5 060 000 solicitudas/1 000 000\$1) = 2,024\$1  |  2,024\$1  | 
|  Amazon SNS  |  0,000005\$1 \$1 1 000 000 000 de notificaciones = 0,50\$1  |  0,50\$1  | 
|  Amazon CloudWatch : Métricas  |  (Las métricas mejoradas están deshabilitadas) 0,30\$1 \$1 7 métricas personalizadas = 2,10\$1 0,01\$1 \$1 (30 000 €/1000) llamadas a la API con métricas de venta = 0,30\$1  |  2,40\$1  | 
|  Amazon CloudWatch - Paneles de control  |  3,00\$1 \$1 1 panel = 3,00\$1  |  3,00\$1  | 
|  Amazon CloudWatch - Alarmas  |  (Las métricas mejoradas están deshabilitadas) 0,10 dólares\$1 4 alarmas = 0,40\$1  |  0,40\$1  | 
|  Amazon CloudWatch - X-Ray Traces  |  30 000 remediaciones \$1 7 solicitudes = 210 000 invocaciones Lambda 5 000 000 de hallazgos \$1 1 solicitud = 5 000 000 de invocaciones Lambda 0,000005\$1 por rastreo \$1 5.210.000 trazas = 26,05\$1  |  26,05\$1  | 
|  Amazon Cognito  |  (Nivel esencial) 5.000 usuarios activos mensuales  |  \$10  | 
|  Amazon CloudFront  |  Transferencia regional de datos hacia el origen (por GB) = 0,020\$1 Transferencia de datos regional a Internet (por GB) = 0,085\$1 El precio de solicitud para todos los métodos HTTP (por 10 000) = 0,0075\$1  |  0,1125\$1  | 
|  Amazon S3  |  (Alojamiento de interfaz de usuario) 0,023\$1 por GB \$1 0,002 GB = 0,000046\$1 (Exportación histórica) 0,023\$1 por GB \$1 100 GB = 2,30\$1 0,0004\$1 por cada 1000 solicitudes GET \$1 5000 solicitudes = 2,00\$1  |  4,30\$1  | 
|  AWS WAF  |  1 ACL web = 5,00\$1 al mes 7 reglas \$1 1,00\$1 por regla = 7,00\$1  |  12 DÓLARES  | 
|  Amazon API Gateway  |  3,50\$1 por millón de llamadas a la API REST  |  3,50\$1  | 
|   **Total**   |  |   **7.380,10 DÓLARES**   | 

**importante**  
 **Costos de rotación de claves de KMS**: AWS Key Management Service (KMS) rota automáticamente las claves administradas por el cliente una vez al año cuando la rotación está habilitada. Cada rotación conlleva un coste de 1 dólar por clave al año. Por ejemplo, con 1000 cuentas en una sola región, esto se traduce en 1000\$1 adicionales al año (1 rotación × 1000 claves × 1,00\$1).

## Coste adicional por las funciones opcionales
<a name="additional-cost-optional"></a>

En esta sección, se indican los costos adicionales asociados a las funciones opcionales de esta solución.

### CloudWatch Métricas mejoradas
<a name="additional-cost-enhanced-metrics"></a>

Si selecciona `yes` el **EnableEnhancedCloudWatchMetrics**parámetro al implementar la pila de administración, la solución crea dos métricas personalizadas y una alarma para cada ID de control. El costo depende de la cantidad de controles IDs que vaya a corregir. En la siguiente tabla, se supone que se corrigen los 96 controles diferentes IDs al mes para determinar el límite superior de los costes.


| Servicio | Supuestos: 96 controles IDs \$1 2 = 192 métricas personalizadas | Cargos mensuales [USD] | 
| --- | --- | --- | 
|  Amazon CloudWatch : Métricas  |  0,30\$1 \$1 192 métricas personalizadas = 57,60\$1  |  57,60\$1  | 
|  Amazon CloudWatch - Alarmas  |  0,10\$1 \$1 96 alarmas = 9,60\$1  |  9,60\$1  | 
|   **Total**   |  |   **67,20 DÓLARES**   | 

### CloudTrail Registro de acciones
<a name="additional-cost-action-log"></a>

En cada cuenta de miembro en la que se habilita la función de registro de acciones, la solución crea un registro CloudTrail para registrar todos los eventos de administración de escritura. Una función Lambda filtra los eventos no relacionados con la solución. Esto significa que el costo está relacionado con la cantidad total de eventos de administración de su cuenta, ya que los eventos que no están relacionados con la solución siguen siendo capturados por el registro y procesados por la función Lambda.

Para la siguiente tabla, suponemos que hay 150 000 eventos de gestión al mes en la cuenta. El coste real depende de la actividad real de los eventos de gestión en su cuenta.


| Servicio | Supuestos | Cargos mensuales [USD] | 
| --- | --- | --- | 
|  AWS CloudTrail  |  150.000 \$1 2,00 USD/100 000 = 3,00\$1  |  3,00\$1  | 
|  Lambda  |  150.000 x 0,2 x 0,125 = 3.750 GB-segundos 3.750\$1 \$1 0,0000166667\$1 = 0,0625\$1 de coste de tiempo de cálculo 0,15 \$1 0,20\$1 = 0,03\$1 de coste de solicitud 0,0625\$1 \$1 0,03\$1 = 0,0952\$1 de coste total de Lambda  |  0,0925\$1  | 
|   **Total**   |  |   **3,09\$1 por cuenta de miembro**   | 

# Seguridad
<a name="security"></a>

Cuando crea sistemas en la infraestructura de AWS, las responsabilidades de seguridad se comparten entre usted y AWS. Este [modelo compartido](https://aws.amazon.com/compliance/shared-responsibility-model/) reduce la carga operativa porque AWS opera, administra y controla los componentes, incluidos el sistema operativo anfitrión, la capa de virtualización y la seguridad física de las instalaciones en las que operan los servicios. Para obtener más información sobre la seguridad de AWS, visite la sección [Seguridad en la nube de AWS](https://aws.amazon.com/security/).

## Política de seguridad de API Gateway
<a name="api-gateway-security-policy"></a>

Si decide habilitar la interfaz de usuario web de la solución, se implementa una API REST de API Gateway junto con la CloudFormation pila de administración, que sirve como backend para todas las operaciones de la interfaz de usuario web. La API REST implementada por la solución usa la política de seguridad TLS predeterminada para API Gateway, que es `TLS-1-0` regional APIs.

Sin embargo, después de implementar la CloudFormation pila de administración, puede optar por personalizar la API REST de la solución añadiendo una política de seguridad de TLS más restrictiva. Por ejemplo, puede elegir `TLS_1_2 security policy` restringir el tráfico mediante TLSv1 .2 o TLSv1 .3. Puedes encontrar la API REST de la solución en la consola de API Gateway con el nombre **AutomatedSecurityResponseApi**.

Para elegir una política de seguridad para la API REST de la solución, primero debe configurar un nombre de dominio personalizado. Para obtener más información, consulte [Nombre de dominio personalizado para REST público APIs en API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/how-to-custom-domains.html).

Para obtener más información sobre cómo añadir una política de seguridad a la API de REST, consulte [Elegir una política de seguridad para el dominio personalizado de la API de REST en API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-custom-domain-tls-version.html) en la guía de API Gateway.

# Roles de IAM
<a name="iam-roles"></a>

Las funciones de AWS Identity and Access Management (IAM) permiten a los clientes asignar políticas y permisos de acceso detallados a los servicios y usuarios de la nube de AWS. Esta solución crea funciones de IAM que otorgan a las funciones automatizadas de la solución acceso para realizar acciones de remediación dentro de un conjunto limitado de permisos específicos para cada remediación.

La función Step de la cuenta de administrador está asignada a la función SO0111-. ASR-Orchestrator-Admin Solo este rol puede asumir el rol de miembro del SO0111 Orchestrator en cada cuenta de miembro. Cada función de remediación permite que el rol de miembro lo transfiera al servicio AWS Systems Manager para ejecutar manuales de remediación específicos. Los nombres de los roles de remediación comienzan por SO0111, seguidos de una descripción que coincide con el nombre del manual de remediación. Por ejemplo, SO0111-Remove es la función del manual de correcciones de ASR-Remove VPCDefaultSecurityGroupRules . VPCDefault SecurityGroupRules 

## Regiones de AWS admitidas
<a name="supported-aws-regions"></a>

**importante**  
La activación de funciones opcionales en la solución puede reducir la lista de regiones compatibles para la implementación. En otras palabras, la siguiente lista solo se aplica a los componentes principales de la solución. Por ejemplo, si decide habilitar la interfaz de usuario web, no podrá implementar la solución en GovCloud las regiones, ya que [no CloudFront es compatible en GovCloud (EE. UU.), a partir de noviembre de 2025](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/setting-up-cloudfront.html).


| Nombre de región | Código de región | 
| --- | --- | 
|  Este de EE. UU. (Ohio)  |  us-east-2  | 
|  Este de EE. UU. (Norte de Virginia)  |  us-east-1  | 
|  EE.UU. Oeste (Norte de California)  |  us-west-1  | 
|  Oeste de EE. UU. (Oregón)  |  us-west-2  | 
|  África (Ciudad del Cabo)  |  af-south-1  | 
|  Asia-Pacífico (Hong Kong)  |  ap-east-1  | 
|  Asia-Pacífico (Hyderabad)  |  ap-south-2  | 
|  Asia-Pacífico (Yakarta)  |  ap-southeast-3  | 
|  Asia-Pacífico (Melbourne)  |  ap-southeast-4  | 
|  Asia-Pacífico (Mumbai)  |  ap-south-1  | 
|  Asia-Pacífico (Osaka)  |  ap-northeast-3  | 
|  Asia-Pacífico (Seúl)  |  ap-northeast-2  | 
|  Asia-Pacífico (Singapur)  |  ap-southeast-1  | 
|  Asia-Pacífico (Sídney)  |  ap-southeast-2  | 
|  Asia-Pacífico (Tokio)  |  ap-northeast-1  | 
|  Canadá (centro)  |  ca-central-1  | 
|  Europa (Fráncfort)  |  eu-central-1  | 
|  Europa (Irlanda)  |  eu-west-1  | 
|  Europa (Londres)  |  eu-west-2  | 
|  Europa (Milán)  |  eu-south-1  | 
|  Europa (París)  |  eu-west-3  | 
|  Europa (España)  |  eu-south-2  | 
|  Europa (Estocolmo)  |  eu-north-1  | 
|  Europa (Zúrich)  |  eu-central-2  | 
|  Medio Oriente (Baréin)  |  me-south-1  | 
|  Medio Oriente (EAU)  |  me-central-1  | 
|  América del Sur (São Paulo)  |  sa-east-1  | 
|  AWS GovCloud (EE. UU. Este)  |  us-gov-east-1  | 
|  AWS GovCloud (EE. UU. Oeste)  |  us-gov-west-1  | 
|  China (Pekín)  |  cn-north-1  | 
|  China (Ningxia)  |  cn-northwest-1  | 
|  Israel (Tel Aviv)  |  il-central-1  | 
|  Oeste de Canadá (Calgary)  |  ca-west-1  | 
|  México (Ciudad de México)  |  mx-central-1  | 
|  Asia-Pacífico (Tailandia)  |  ap-southeast-7  | 
|  Asia-Pacífico (Malasia)  |  ap-southeast-5  | 

**nota**  
Es posible que cualquier región nueva de AWS que no aparezca en la lista se admita mediante la implementación local, pero no mediante la implementación con un solo clic.

# Cuotas
<a name="quotas"></a>

Las cuotas de servicio (que también se denominan límites) establecen el número máximo de recursos u operaciones de servicio para su cuenta de AWS.

## Cuotas para servicios de AWS en esta solución
<a name="quotas-for-aws-services-in-this-solution"></a>

Asegúrese de tener una cuota suficiente para cada uno de los [servicios implementados en esta solución](architecture-details.md#aws-services-in-this-solution). Para obtener más información, consulte las [cuotas de servicio de AWS](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html).

Use los enlaces siguientes para ir a la página de ese servicio. Para ver las cuotas de servicio de todos los servicios de AWS en la documentación sin cambiar de página, consulte la información en la página de [puntos finales y cuotas del servicio](https://docs.aws.amazon.com/general/latest/gr/aws-general.pdf#aws-service-information) en el PDF.

## CloudFormation Cuotas de AWS
<a name="aws-cloudformation-quotas"></a>

Su cuenta de AWS tiene CloudFormation cuotas de AWS que debe tener en cuenta al [lanzar la pila](deployment.md#step-2) de esta solución. Si comprende estas cuotas, puede evitar errores de limitación que le impidan implementar esta solución correctamente. Para obtener más información, consulte [ CloudFormation las cuotas de AWS](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cloudformation-limits.html) en la *Guía del CloudFormation usuario de AWS*.

## CloudWatch Cuotas de AWS
<a name="aws-cloudwatch-quotas"></a>

Su cuenta de AWS tiene CloudWatch cuotas de AWS vinculadas a las políticas de CloudWatch recursos, que solo permiten 10 políticas de recursos por región y cuenta, y esto no se puede solicitar para un aumento de cuota; consulte [AWS CloudWatch Logs Quotas](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch_limits_cwl.html) en la *Guía del CloudWatch usuario de AWS*. Antes de la implementación, compruebe su uso actual para asegurarse de no sobrepasar este límite al implementar la solución.

## AWS Organizations
<a name="aws-org-quotas"></a>

Las funciones Lambda de la solución realizan llamadas a la [API de AWS Organizations](https://docs.aws.amazon.com/organizations/latest/APIReference/Welcome.html) para obtener el alias de la cuenta corriente e incluirlo en los mensajes publicados en el tema de SNS de la solución. Esto permite que los nombres de las cuentas legibles para las personas estén visibles en las notificaciones de la solución con fines de depuración y seguimiento.

AWS Organizations impone límites a la frecuencia con la que los clientes pueden invocar sus puntos de enlace de API. Si descubre que la solución supera los límites establecidos para su cuenta, puede deshabilitar la función que busca y muestra el alias de la cuenta.

Para ello, **navegue hasta la función Lambda** denominada `SO0111-ASR-sendNotifications` ubicada en la región y la cuenta en las que implementó la pila de administración. A continuación, **localice la variable de entorno** denominada `DISABLE_ACCOUNT_ALIAS_LOOKUP` y cambie el valor de «False» a **«True».** El campo de alias de la cuenta en las notificaciones de la solución pasará a ser *«Desconocido»*, pero esto no afectará a la funcionalidad de la solución.

# Implementación de AWS Security Hub
<a name="aws-security-hub-deployment"></a>

La implementación y la configuración de AWS Security Hub son requisitos previos para esta solución. Para obtener más información sobre la configuración del AWS Security Hub CSPM, consulte [Configuración del AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html) en la Guía del usuario del *AWS Security* Hub. Esta solución también es compatible con [AWS Security Hub (versión](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub-v2.html) que no es de CSPM). Para obtener más información sobre la configuración de AWS Security Hub, consulte [Habilitar Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-enable.html).

Como mínimo, debes tener configurado un Security Hub en funcionamiento en tu cuenta principal. Puede implementar esta solución en la misma cuenta (y región de AWS) que la cuenta principal de Security Hub. En cada cuenta principal y secundaria de Security Hub, también debe implementar la plantilla de miembros que otorga AssumeRole permisos a las AWS Step Functions de la solución para ejecutar manuales de corrección en la cuenta.

# Compilación frente a implementación StackSets
<a name="stack-vs-stacksets-deployment"></a>

Un *conjunto de pilas* le permite crear pilas en las cuentas de AWS de todas las regiones de AWS mediante una única CloudFormation plantilla de AWS. A partir de la versión 1.4, esta solución admite la implementación de conjuntos apilados al dividir los recursos en función del lugar y la forma en que se implementan. Los clientes con varias cuentas, especialmente los que utilizan AWS Organizations, pueden beneficiarse del uso de conjuntos de pilas para la implementación en muchas cuentas. Reduce el esfuerzo necesario para instalar y mantener la solución. Para obtener más información StackSets, consulte [Uso de AWS CloudFormation StackSets](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/using-stacksets.html).