Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Planifiez votre déploiement
<a name="plan-your-deployment"></a>

Cette section décrit le coût, la sécurité du réseau, les régions AWS prises en charge, les quotas et d'autres considérations avant le déploiement de la solution.

# Cost
<a name="cost"></a>

Vous êtes responsable du coût des services AWS utilisés pour exécuter cette solution.

À compter de cette révision, les coûts mensuels estimés sont les suivants :
+ Petit déploiement (10 comptes, 1 région) - États-Unis East/N. Virginia): Approximately \$114.70 for 300 remediations/month
+ Déploiement moyen (100 comptes, 1 région - États-Unis) East/N. Virginia): Approximately \$1106.40 for 3,000 remediations/month
+ Déploiement à grande échelle (1 000 comptes, 10 régions) : environ 7 360\$1 pour 30 000 remédiations/mois

**Important**  
Les prix sont susceptibles d’être modifiés. Pour plus de détails, consultez la page de tarification de chaque service AWS utilisé dans cette solution.

**Note**  
De nombreux services AWS incluent un niveau gratuit, c'est-à-dire une quantité de base du service que les clients peuvent utiliser gratuitement. Les coûts réels peuvent être supérieurs ou inférieurs aux exemples de prix fournis.

Nous vous recommandons de créer un [budget](https://docs.aws.amazon.com/cost-management/latest/userguide/budgets-create.html) via AWS Cost Explorer pour vous aider à gérer les coûts. Les prix sont susceptibles d’être modifiés. Pour plus de détails, consultez la page Web de tarification de chaque service AWS utilisé dans cette solution.

## Exemple de tableau des coûts
<a name="sample-cost-table"></a>

Le coût total d'exécution de cette solution dépend des facteurs suivants :
+ Le nombre de comptes membres d'AWS Security Hub
+ Le nombre de mesures correctives actives invoquées automatiquement
+ La fréquence des mesures correctives

Cette solution utilise les composants AWS suivants, dont le coût dépend de votre configuration. Des exemples de tarification sont fournis pour les petites, moyennes et grandes entreprises.


| Service | Offre gratuite | Tarification [USD] | 
| --- | --- | --- | 
|   [AWS Systems Manager Automation : nombre d'étapes](https://aws.amazon.com/systems-manager/pricing/)   |  Pas de niveau gratuit  |  Chaque étape de base est facturée à 0,002\$1 par étape. Pour les automatisations multi-comptes, toutes les étapes, y compris celles exécutées sur les comptes enfants, sont comptabilisées uniquement dans le compte d'origine.  | 
|   [AWS Systems Manager Automation : durée de l'étape](https://aws.amazon.com/systems-manager/pricing/)   |  Pas de niveau gratuit  |  Chaque étape `aws:executeScript` d'action est facturée à 0,00003\$1 pour chaque seconde.  | 
|   [AWS Systems Manager Automation - Stockage](https://aws.amazon.com/systems-manager/pricing/)   |  Pas de niveau gratuit  |  0,046\$1 par Go par mois  | 
|   [AWS Systems Manager Automation - Transfert de données](https://aws.amazon.com/systems-manager/pricing/)   |  Pas de niveau gratuit  |  0,900\$1 par Go transféré (pour plusieurs comptes ou) out-of-Region  | 
|   [AWS Security Hub CSPM - Contrôles de sécurité](https://aws.amazon.com/security-hub/cspm/pricing/)   |  Pas de niveau gratuit  |  checks/account/Region/monthLes 100 000 premiers coûtent 0,0010\$1 par chèque Les 400 000 dollars suivants checks/account/Region/month coûtent 0,0008\$1 par chèque Plus de 500 000 dollars checks/account/Region/month coûtent 0,0005\$1 par chèque  | 
|   [AWS Security Hub CSPM - Recherche d'événements d'ingestion](https://aws.amazon.com/security-hub/cspm/pricing/)   |  Les 10 000 premiers events/account/Region/month sont gratuits. Recherche d'événements d'ingestion associés aux contrôles de sécurité de Security Hub.  |  Plus de 10 000 dollars events/account/Region/month coûtent 0,00003\$1 par événement  | 
|   [Amazon CloudWatch - Métriques](https://aws.amazon.com/cloudwatch/pricing/)   |  Mesures de surveillance de base (à une fréquence de 5 minutes) 10 Mesures de surveillance détaillées (à une fréquence d'une minute) 1 1 million de demandes d'API (non applicable à GetMetricData, GetInsightRuleReport et GetMetricWidgetImage)  |  Les 10 000 premiers indicateurs coûtent 0,30\$1 par mois Les 240 000 mesures suivantes coûtent 0,10\$1 par mois Les 750 000 métriques suivantes coûtent 0,05\$1 par mois Plus de 1 000 000 métriques coûtent 0,02\$1 par mois Les appels d'API coûtent 0,01\$1 pour 1 000 demandes  | 
|   [Amazon CloudWatch - Tableau de bord](https://aws.amazon.com/cloudwatch/pricing/)   |  3 tableaux de bord pour un maximum de 50 indicateurs par mois  |  3,00\$1 par tableau de bord par mois  | 
|   [Amazon CloudWatch - Alarmes](https://aws.amazon.com/cloudwatch/pricing/)   |  10 mesures d'alarme (ne s'applique pas aux alarmes haute résolution)  |  La résolution standard (60 secondes) coûte 0,10\$1 par alarme-métrique La haute résolution (10 secondes) coûte 0,30\$1 par métrique d'alarme La détection des anomalies à résolution standard coûte 0,30\$1 par alarme La détection des anomalies à haute résolution coûte 0,90\$1 par alarme Le composite coûte 0,50\$1 par alarme  | 
|   [Amazon CloudWatch - Collecte de journaux](https://aws.amazon.com/cloudwatch/pricing/)   |  5 Go de données (ingestion, stockage d'archives et données numérisées par les requêtes Logs Insights)  |  0,50\$1 par Go  | 
|   [Amazon CloudWatch - Stockage des journaux](https://aws.amazon.com/cloudwatch/pricing/)   |  5 Go de données (ingestion, stockage d'archives et données numérisées par les requêtes Logs Insights)  |  0,005\$1 par Go de données numérisées  | 
|   [AWS Lambda - Demandes](https://aws.amazon.com/lambda/pricing/)   |  1 million de demandes gratuites par mois  |  0,20\$1 par million de demandes  | 
|   [AWS Lambda - Durée](https://aws.amazon.com/lambda/pricing/)   |  400 000 Go de temps de calcul par mois  |  0,0000166667\$1 pour chaque Go par seconde. Le prix de Duration dépend de la quantité de mémoire que vous allouez à votre fonction. Vous pouvez allouer à votre fonction n'importe quelle quantité de mémoire comprise entre 128 Mo et 10 240 Mo, par incréments de 1 Mo.  | 
|   [AWS Step Functions - Transitions d'état](https://aws.amazon.com/step-functions/pricing/)   |  4 000 transitions d'État gratuites par mois  |  0,025\$1 par 1 000 transitions entre États par la suite  | 
|   [Amazon EventBridge](https://aws.amazon.com/eventbridge/pricing/)   |  Tous les événements de changement d'état publiés par les services AWS sont gratuits  |  Les événements personnalisés coûtent 1,00 \$1/million d'événements personnalisés publiés Les événements tiers (SaaS) coûtent 1,00 \$1/million d'événements publiés Les événements multicomptes coûtent 1,00 \$1/million de dollars. Les événements multicomptes envoyés  | 
|   [Amazon SNS](https://aws.amazon.com/sns/pricing/)   |  Les 1 premiers millions de demandes Amazon SNS par mois sont gratuites  |  0,50\$1 par million de demandes par la suite  | 
|   [Amazon SQS](https://aws.amazon.com/sqs/pricing/)   |  Les 1 premiers millions de requêtes Amazon SQS par mois sont gratuites  |  0,40\$1 par tranche de 1 million à 100 milliards de demandes par la suite  | 
|   [Amazon DynamoDB](https://aws.amazon.com/dynamodb/pricing/)   |  Les premiers 25 Go de stockage sont gratuits  |  2,00\$1 par million de lectures et d'écritures cohérentes par la suite  | 
|   [AWS Key Management Service](https://aws.amazon.com/kms/pricing/)   |  20 000 demandes/mois  |  1,00\$1 par clé KMS. 0,03\$1 par 10 000 demandes d'API. Pour les clés KMS que vous faites pivoter automatiquement ou à la demande, la première et la deuxième rotation de la clé ajoutent 1 dollar par mois (au prorata de l'heure) au coût.  **Remarque : Cette solution inclut des optimisations de la mise en cache KMS (clés de compartiment S3, réutilisation des clés de données SQS pendant 60 minutes, mise en cache de 5 minutes de Secrets Manager) qui réduisent les appels d'API KMS d'environ 70 %.**   | 
|   [Amazon Cognito](https://aws.amazon.com/cognito/pricing/)   |  Dans le niveau Essentials, les 10 000 premiers utilisateurs actifs par mois sont gratuits. Remarque : ce niveau gratuit est de 50 utilisateurs actifs par mois lorsque les utilisateurs s'authentifient via un IdP externe (SAML/OIDC).  |  0,015\$1 par utilisateur actif mensuel supérieur à 10 000 utilisateurs.  | 
|   [Amazon CloudFront](https://aws.amazon.com/cloudfront/pricing/)   |  Le niveau gratuit inclut 1 To de transfert de données sortantes et 10 000 000 de requêtes HTTP ou HTTPS par mois.  |  (US/Canada/Mexico) Les 9 premiers To coûtent 0,085\$1 par mois. Les 40 To suivants coûtent 0,080\$1 par mois. 0,0075\$1 par requête HTTP. 0,0100\$1 par requête HTTPS.  | 
|   [Amazon S3](https://aws.amazon.com/s3/pricing/)   |  Pas de niveau gratuit  |  Les 50 premiers To coûtent 0,023\$1 par Go et par mois. 0,005\$1 par 1 000 requêtes PUT, COPY, POST, LIST. 0,0004\$1 par 1 000 requêtes GET, SELECT et toutes les autres requêtes.  | 
|   [Amazon API Gateway](https://aws.amazon.com/api-gateway/pricing/)   |  1 million d'appels d'API REST au cours des 12 premiers mois d'utilisation.  |  3,50 dollars par million pour les 333 premiers millions d'appels d'API.  | 

## Optimisation des coûts KMS
<a name="kms-optimization"></a>

Depuis **la version 3.1.0**, cette solution inclut des optimisations de mise en cache KMS qui réduisent les coûts des opérations cryptographiques d'environ 70 %
+  **Clés de compartiment S3** : réduit les GenerateDataKey appels KMS pour les opérations de chiffrement S3
+  **Réutilisation des clés de données SQS** : période de cache de 60 minutes pour le chiffrement des messages
+  **Mise en cache de Secrets Manager : durée** TTL de 5 minutes dans les fonctions Lambda

 **Impact sur les performances** : ces optimisations améliorent la latence de 10 à 15 ms pour les opérations S3 et les flux de travail complets, tout en réduisant les coûts, sans dégradation du débit.

## Exemples de prix (mensuels)
<a name="pricing-examples"></a>

### Exemple 1 : 300 mesures correctives par mois
<a name="example-1-300-remediations-per-month"></a>
+ 10 comptes, 1 région
+ 30 mesures correctives par account/Region/month
+ 500 conclusions du Security Hub traitées par account/Region/month
+  **Interface utilisateur Web désactivée** 
+  **Journal des actions désactivé** 
+ Coût total 14,70\$1 par mois


| Service | Hypothèses | Charges mensuelles [USD] | 
| --- | --- | --- | 
|  AWS Systems Manager Automation  |  Étapes : \$14 étapes\$1 300 remédiations\$1 0,002\$1 = 2,40\$1 Durée : 10 s \$1 300 mesures correctives \$1 0,00003\$1 = 0,09\$1  |  2,49\$1  | 
|  AWS Security Hub  |  Aucun service facturable utilisé  |  \$10  | 
|  Amazon CloudWatch Logs  |  0,50\$1 par Go  |  < 0,01\$1  | 
|  AWS Lambda - Demandes  |  300 remédiations\$1 7 demandes = 2 100 demandes 5 000 trouvailles \$1 1 demande = 5 000 demandes 0,20 \$1/1 000 000 demandes = 0,0000002\$1 par demande  |  0,00142\$1  | 
|  AWS Lambda - Durée  |  (512 Mo de mémoire) 4 000 ms \$1 300 mesures correctives \$1 0,0000000083\$1 = 0,00996\$1 49 ms \$1 5 000 résultats \$1 0,0000000083\$1 = 0,0186\$1  |  0,029\$1  | 
|  AWS Step Functions  |  19 transitions d'état\$1 300 mesures correctives = 5 700 0,025 \$1\$1 (5 700/1 000) transitions d'état = 0,14\$1  |  0,14\$1  | 
|   EventBridge Règles d'Amazon  |  Aucun frais pour les règles  |  \$10  | 
|  AWS Key Management Service  |  1 clé \$1 10 comptes \$1 1 région \$1 1\$1 = 10\$1 (Chiffrer/déchiffrer les demandes d'API) (300 remédiations\$1 2 demandes) \$1 (5 000 constatations\$1 4 demandes) = 20 600 demandes Avec mise en cache KMS : 20 600 x 0,30 = 6 180 requêtes 0,03\$1 par 10 000 demandes ⇒ 0,03\$1 \$1 (6 180/ 10 000) = 0,02\$1  |  10,02\$1  | 
|  Amazon DynamoDB  |  2,00 \$1\$1 1 000 000 livres lus et écrits = 2,00\$1 (Tableau des résultats) 15 Mo \$1 10 comptes \$1 1 région = 150 Mo (Tableau historique) 10 Mo \$1 10 comptes \$1 1 région = 100 Mo 0,25\$1 par Go par mois \$1 0,25 Go = 0,0625\$1  |  2,0625\$1  | 
|  Amazon SQS  |  0,40\$1 \$1 1 000 000 demandes = 0,40\$1  |  0,40\$1  | 
|  Amazon SNS  |  0,50 \$1\$1 (600/1 000 000 notifications) = 0,0003\$1  |  0,0003\$1  | 
|  Amazon CloudWatch - Métriques  |  (Métriques améliorées désactivées) 0,30\$1 \$1 7 mesures personnalisées = 2,10\$1 0,01 \$1\$1 (300 appels d'API de métriques de vente pour 1 000) = 0,003\$1  |  2,10\$1  | 
|  Amazon CloudWatch - Tableaux de bord  |  3,00 \$1\$1 1 tableau de bord = 3,00\$1  |  3,00\$1  | 
|  Amazon CloudWatch - Alarmes  |  (Métriques améliorées désactivées) 0,10\$1 \$1 4 alarmes = 0,40\$1  |  0,40\$1  | 
|  Amazon CloudWatch - X-Ray Traces  |  300 corrections \$1 7 requêtes = 2 100 appels Lambda 5 000 trouvailles \$1 1 demande = 5 000 appels Lambda 0,000005\$1 par trace \$1 7 100 traces = 0,0355\$1  |  0,0355\$1  | 
|   **Total**   |  |   **14,70\$1**   | 

### Exemple 2 : 300 corrections par mois (interface utilisateur Web activée)
<a name="example-2-300-remediations-per-month"></a>
+ 10 comptes, 1 région
+ 30 mesures correctives par account/Region/month
+ 5 000 conclusions du Security Hub traitées par account/Region/month
+  **Interface utilisateur Web activée** 
+  **Journal des actions désactivé** 
+ Coût total 36,35\$1 par mois


| Service | Hypothèses | Charges mensuelles [USD] | 
| --- | --- | --- | 
|  AWS Systems Manager Automation  |  Étapes : \$14 étapes\$1 300 remédiations\$1 0,002\$1 = 2,40\$1 Durée : 10 s \$1 300 mesures correctives \$1 0,00003\$1 = 0,09\$1  |  2,49\$1  | 
|  AWS Security Hub  |  Aucun service facturable utilisé  |  \$10  | 
|  Amazon CloudWatch Logs  |  0,50\$1 par Go  |  < 0,01\$1  | 
|  AWS Lambda - Demandes  |  300 remédiations\$1 7 demandes = 2 100 demandes 5 000 trouvailles \$1 1 demande = 5 000 demandes 0,20 \$1/1 000 000 demandes = 0,0000002\$1 par demande  |  0,00142\$1  | 
|  AWS Lambda - Durée  |  (512 Mo de mémoire) 4 000 ms \$1 300 mesures correctives \$1 0,0000000083\$1 = 0,00996\$1 49 ms \$1 5 000 résultats \$1 0,0000000083\$1 = 0,0186\$1  |  0,029\$1  | 
|  AWS Step Functions  |  19 transitions d'état\$1 300 mesures correctives = 5 700 0,025 \$1\$1 (5 700/1 000) transitions d'état = 0,14\$1  |  0,14\$1  | 
|   EventBridge Règles d'Amazon  |  Aucun frais pour les règles  |  \$10  | 
|  AWS Key Management Service  |  1 clé \$1 10 comptes \$1 1 région \$1 1\$1 = 10\$1 (Chiffrer/déchiffrer les demandes d'API) (300 remédiations\$1 2 demandes) \$1 (5 000 constatations\$1 4 demandes) = 20 600 demandes 0,03\$1 par 10 000 demandes ⇒ 0,03\$1 \$1 (20 600/10 000) = 0,06\$1  |  10,06\$1  | 
|  Amazon DynamoDB  |  2,00 \$1\$1 1 000 000 livres lus et écrits = 2,00\$1 (Tableau des résultats) 15 Mo \$1 10 comptes \$1 1 région = 150 Mo (Tableau historique) 10 Mo \$1 10 comptes \$1 1 région = 100 Mo 0,25\$1 par Go par mois \$1 0,25 Go = 0,0625\$1  |  2,0625\$1  | 
|  Amazon SQS  |  0,40\$1 \$1 1 000 000 demandes = 0,40\$1  |  0,40\$1  | 
|  Amazon SNS  |  0,50 \$1\$1 (600/1 000 000 notifications) = 0,0003\$1  |  0,0003\$1  | 
|  Amazon CloudWatch - Métriques  |  (Métriques améliorées désactivées) 0,30\$1 \$1 7 mesures personnalisées = 2,10\$1 0,01 \$1\$1 (300 appels d'API de métriques de vente pour 1 000) = 0,003\$1  |  2,10\$1  | 
|  Amazon CloudWatch - Tableaux de bord  |  3,00 \$1\$1 1 tableau de bord = 3,00\$1  |  3,00\$1  | 
|  Amazon CloudWatch - Alarmes  |  (Métriques améliorées désactivées) 0,10\$1 \$1 4 alarmes = 0,40\$1  |  0,40\$1  | 
|  Amazon CloudWatch - X-Ray Traces  |  300 corrections \$1 7 requêtes = 2 100 appels Lambda 5 000 trouvailles \$1 1 demande = 5 000 appels Lambda 0,000005\$1 par trace \$1 7 100 traces = 0,0355\$1  |  0,0355\$1  | 
|  Amazon Cognito  |  (niveau Essentials) 500 utilisateurs actifs par mois  |  \$10  | 
|  Amazon CloudFront  |  Transfert de données régional vers l'origine (par Go) = 0,020\$1 Transfert régional de données sortantes vers Internet (par Go) = 0,085\$1 Prix des demandes pour toutes les méthodes HTTP (par 10 000) = 0,0075\$1  |  0,1125\$1  | 
|  Amazon S3  |  (Hébergement d'interface utilisateur) 0,023\$1 par Go \$1 0,002 Go = 0,000046\$1 (Exportation de l'historique) 0,023\$1 par Go \$1 0,50 Go = 0,0125\$1 0,0004\$1 pour 1 000 requêtes GET  |  0,0125 USD  | 
|  AWS WAF  |  1 ACL Web = 5,00\$1 par mois 7 règles \$1 1,00\$1 par règle = 7,00\$1  |  12\$1  | 
|  Amazon API Gateway  |  3,50 dollars par million d'appels d'API REST  |  3,50\$1  | 
|   **Total**   |  |   **36,35\$1**   | 

### Exemple 3 : 3 000 mesures correctives par mois
<a name="example-3-3000-remediations-per-month"></a>
+ 100 comptes, 1 région
+ 30 mesures correctives par account/Region/month
+ 500 conclusions du Security Hub traitées par account/Region/month
+  **Interface utilisateur Web désactivée** 
+  **Journal des actions désactivé** 
+ Coût total 106,40\$1 par mois


| Service | Hypothèses | Charges mensuelles [USD] | 
| --- | --- | --- | 
|  AWS Systems Manager Automation  |  Étapes : \$14 étapes\$1 3 000 assainissements\$1 0,002\$1 = 24,00\$1 Durée : 10 s \$1 3 000 mesures correctives \$1 0,00003\$1 = 0,90\$1  |  24,90\$1  | 
|  AWS Security Hub  |  Aucun service facturable utilisé  |  \$10  | 
|  Amazon CloudWatch Logs  |  0,50\$1 par Go  |  < 0,01\$1  | 
|  AWS Lambda - Demandes  |  3 000 mesures correctrices\$1 7 demandes = 2 100 demandes 50 000 trouvailles \$1 1 demande = 50 000 demandes 0,20 \$1/1 000 000 demandes = 0,0000002\$1 par demande  |  0,01\$1  | 
|  AWS Lambda - Durée  |  (512 Mo de mémoire) 4 000 ms \$1 3 000 mesures correctives \$1 0,0000000083\$1 = 0,0996\$1 449 ms \$1 50 000 résultats \$1 0,0000000083\$1 = 0,186\$1  |  0,29\$1  | 
|  AWS Step Functions  |  19 transitions d'état\$1 3 000 mesures correctives = 57 000 0,025 \$1\$1 (57 000/1 000) transitions d'état = 1,425\$1  |  1,425\$1  | 
|   EventBridge Règles d'Amazon  |  Aucun frais pour les règles  |  \$10  | 
|  AWS Key Management Service  |  1 clé \$1 100 comptes \$1 1 région \$1 1\$1 = 100\$1 (Chiffrer/déchiffrer les demandes d'API) (3 000 mesures correctrices\$1 2 demandes) \$1 (50 000 résultats \$1 4 demandes) = 206 000 demandes Avec mise en cache KMS : 206 000\$1 0,30 = 61 800 demandes 0,03\$1 par 10 000 demandes ⇒ 0,03\$1 \$1 (61 800/10 000) = 0,185\$1  |  100,185\$1  | 
|  Amazon DynamoDB  |  2,00 \$1\$1 1 000 000 livres lus et écrits = 2,00\$1 (Tableau des résultats) 15 Mo \$1 100 comptes \$1 1 région = 1 500 Mo (Tableau historique) 10 Mo \$1 100 comptes \$1 1 région = 1 000 Mo 0,25\$1 par Go par mois \$1 2,5 Go = 0,625\$1  |  2,625\$1  | 
|  Amazon SQS  |  0,40\$1 \$1 1 000 000 demandes = 0,40\$1  |  0,40\$1  | 
|  Amazon SNS  |  0,50\$1 \$1 1 000 000 de notifications = 0,50\$1  |  0,50\$1  | 
|  Amazon CloudWatch - Métriques  |  (Métriques améliorées désactivées) 0,30\$1 \$1 7 mesures personnalisées = 2,10\$1 0,01 \$1\$1 (3 000/1 000) appels d'API de métriques de vente = 0,03\$1  |  2,13\$1  | 
|  Amazon CloudWatch - Tableaux de bord  |  3,00 \$1\$1 1 tableau de bord = 3,00\$1  |  3,00\$1  | 
|  Amazon CloudWatch - Alarmes  |  0,10\$1 \$1 4 alarmes = 0,40\$1  |  0,40\$1  | 
|  Amazon CloudWatch - X-Ray Traces  |  3 000 corrections \$1 7 demandes = 2 100 appels Lambda 50 000 trouvailles \$1 1 demande = 50 000 appels Lambda 0,000005\$1 par trace \$1 52 100 traces = 0,2605\$1  |  0,2605\$1  | 
|   **Total**   |  |   **106,40\$1**   | 

### Exemple 4 : 30 000 mesures correctives par mois
<a name="example-4-30000-remediations-per-months"></a>
+ 1 000 comptes, 10 régions
+ 30 mesures correctives par account/Region/month
+ 500 conclusions du Security Hub traitées par account/Region/month
+  **Interface utilisateur Web désactivée** 
+  **Journal des actions désactivé** 
+ Coût total 7 360,00\$1 par mois


| Service | Hypothèses | Charges mensuelles [USD] | 
| --- | --- | --- | 
|  AWS Systems Manager Automation  |  Étapes : \$14 étapes\$1 30 000 assainissements\$1 0,002\$1 = 240,00\$1 Durée : 10 s \$1 30 000 assainissements\$1 0,00003\$1 = 9,00\$1  |  249,00\$1  | 
|  AWS Security Hub  |  Aucun service facturable utilisé  |  \$10  | 
|  Amazon CloudWatch Logs  |  0,50\$1 par Go  |  < 0,01\$1  | 
|  AWS Lambda - Demandes  |  30 000 mesures correctrices\$1 7 demandes = 210 000 demandes 5 000 000 de trouvailles \$1 1 demande = 5 000 000 de demandes 0,20 \$1/1 000 000 demandes = 0,0000002\$1 par demande  |  1,042\$1  | 
|  AWS Lambda - Durée  |  (512 Mo de mémoire) 4 000 ms \$1 30 000 mesures correctives \$1 0,0000000083\$1 = 0,996\$1 449 ms \$1 5 000 000 de résultats \$1 0,0000000083\$1 = 18,63\$1  |  19,63\$1  | 
|  AWS Step Functions  |  19 transitions entre états \$1 30 000 mesures correctives = 570 000 0,025 \$1\$1 (570 000/1 000) transitions d'état = 14,25\$1  |  14,25\$1  | 
|   EventBridge Règles d'Amazon  |  Aucun frais pour les règles  |  \$10  | 
|  AWS Key Management Service  |  (1 clé) 1\$1 \$1 1 000 comptes \$1 10 régions = 10 000\$1 (Chiffrer/déchiffrer les demandes d'API) (30 000 remédiations\$1 2 demandes) \$1 (5 000 000 de trouvailles \$1 4 demandes) = 20 060 000 demandes Avec la mise en cache KMS : 20 060 000\$1 0,30 = 6 018 000 requêtes 0,03\$1 par 10 000 demandes ⇒ 0,03\$1 \$1 (6 018 000/ 10 000) = 18,05\$1  |  10 018,05\$1  | 
|  Amazon DynamoDB  |  2,00 \$1\$1 (10 000 000 lectures et écritures/1 000 000) = 20,00\$1 (Tableau des résultats) 15 Mo\$1 1 000 comptes \$1 10 régions = 150 Go (Tableau d'historique) 10 Mo\$1 1000 comptes\$1 10 régions = 100 Go 0,25\$1 par Go par mois \$1 250 Go = 62,50\$1  |  82,50\$1  | 
|  Amazon SQS  |  0,40 \$1\$1 (5 060 000 demandes/1 000 000) = 2,024\$1  |  2,024\$1  | 
|  Amazon SNS  |  0,000005\$1 \$1 1 000 000 de notifications = 0,50\$1  |  0,50\$1  | 
|  Amazon CloudWatch - Métriques  |  (Métriques améliorées désactivées) 0,30\$1 \$1 7 mesures personnalisées = 2,10\$1 0,01 \$1\$1 (30 000/1 000) appels d'API de métriques de vente = 0,30\$1  |  2,40\$1  | 
|  Amazon CloudWatch - Tableaux de bord  |  3,00 \$1\$1 1 tableau de bord = 3,00\$1  |  3,00\$1  | 
|  Amazon CloudWatch - Alarmes  |  (Métriques améliorées désactivées) 0,10\$1 \$1 4 alarmes = 0,40\$1  |  0,40\$1  | 
|  Amazon CloudWatch - X-Ray Traces  |  30 000 corrections \$1 7 demandes = 210 000 appels Lambda 5 000 000 de trouvailles \$1 1 demande = 5 000 000 d'invocations Lambda 0,000005\$1 par trace \$1 5 210 000 traces = 26,05\$1  |  26,05\$1  | 
|   **Total**   |  |   **7 360,00\$1**   | 

### Exemple 5 : 30 000 corrections par mois (interface utilisateur Web activée)
<a name="example-5-30000-remediations-per-months"></a>
+ 1 000 comptes, 10 régions
+ 30 mesures correctives par account/Region/month
+ 500 conclusions du Security Hub traitées par account/Region/month
+  **Interface utilisateur Web activée** 
+  **Journal des actions désactivé** 
+ Coût total 7 380,10\$1 par mois


| Service | Hypothèses | Charges mensuelles [USD] | 
| --- | --- | --- | 
|  AWS Systems Manager Automation  |  Étapes : \$14 étapes\$1 30 000 assainissements\$1 0,002\$1 = 240,00\$1 Durée : 10 s \$1 30 000 assainissements\$1 0,00003\$1 = 9,00\$1  |  249,00\$1  | 
|  AWS Security Hub  |  Aucun service facturable utilisé  |  \$10  | 
|  Amazon CloudWatch Logs  |  0,50\$1 par Go  |  < 0,01\$1  | 
|  AWS Lambda - Demandes  |  30 000 mesures correctrices\$1 7 demandes = 210 000 demandes 5 000 000 de trouvailles \$1 1 demande = 5 000 000 de demandes 0,20 \$1/1 000 000 demandes = 0,0000002\$1 par demande  |  1,042\$1  | 
|  AWS Lambda - Durée  |  (512 Mo de mémoire) 4 000 ms \$1 30 000 mesures correctives \$1 0,0000000083\$1 = 0,996\$1 449 ms \$1 5 000 000 de résultats \$1 0,0000000083\$1 = 18,63\$1  |  19,63\$1  | 
|  AWS Step Functions  |  19 transitions entre états \$1 30 000 mesures correctives = 570 000 0,025 \$1\$1 (570 000/1 000) transitions d'état = 14,25\$1  |  14,25\$1  | 
|   EventBridge Règles d'Amazon  |  Aucun frais pour les règles  |  \$10  | 
|  AWS Key Management Service  |  (1 clé) 1\$1 \$1 1 000 comptes \$1 10 régions = 10 000\$1 (Chiffrer/déchiffrer les demandes d'API) (30 000 remédiations\$1 2 demandes) \$1 (5 000 000 de trouvailles \$1 4 demandes) = 20 060 000 demandes Avec la mise en cache KMS : 20 060 000\$1 0,30 = 6 018 000 requêtes 0,03\$1 par 10 000 demandes ⇒ 0,03\$1 \$1 (6 018 000/ 10 000) = 18,05\$1  |  10 018,05\$1  | 
|  Amazon DynamoDB  |  2,00 \$1\$1 (10 000 000 lectures et écritures/1 000 000) = 20,00\$1 (Tableau des résultats) 15 Mo\$1 1 000 comptes \$1 10 régions = 150 Go (Tableau d'historique) 10 Mo\$1 1000 comptes\$1 10 régions = 100 Go 0,25\$1 par Go par mois \$1 250 Go = 62,50\$1  |  82,50\$1  | 
|  Amazon SQS  |  0,40 \$1\$1 (5 060 000 demandes/1 000 000) = 2,024\$1  |  2,024\$1  | 
|  Amazon SNS  |  0,000005\$1 \$1 1 000 000 de notifications = 0,50\$1  |  0,50\$1  | 
|  Amazon CloudWatch - Métriques  |  (Métriques améliorées désactivées) 0,30\$1 \$1 7 mesures personnalisées = 2,10\$1 0,01 \$1\$1 (30 000/1 000) appels d'API de métriques de vente = 0,30\$1  |  2,40\$1  | 
|  Amazon CloudWatch - Tableaux de bord  |  3,00 \$1\$1 1 tableau de bord = 3,00\$1  |  3,00\$1  | 
|  Amazon CloudWatch - Alarmes  |  (Métriques améliorées désactivées) 0,10\$1 \$1 4 alarmes = 0,40\$1  |  0,40\$1  | 
|  Amazon CloudWatch - X-Ray Traces  |  30 000 corrections \$1 7 demandes = 210 000 appels Lambda 5 000 000 de trouvailles \$1 1 demande = 5 000 000 d'invocations Lambda 0,000005\$1 par trace \$1 5 210 000 traces = 26,05\$1  |  26,05\$1  | 
|  Amazon Cognito  |  (niveau Essentials) 5 000 utilisateurs actifs par mois  |  \$10  | 
|  Amazon CloudFront  |  Transfert de données régional vers l'origine (par Go) = 0,020\$1 Transfert régional de données sortantes vers Internet (par Go) = 0,085\$1 Prix des demandes pour toutes les méthodes HTTP (par 10 000) = 0,0075\$1  |  0,1125\$1  | 
|  Amazon S3  |  (Hébergement d'interface utilisateur) 0,023\$1 par Go \$1 0,002 Go = 0,000046\$1 (Exportation de l'historique) 0,023\$1 par Go \$1 100 Go = 2,30\$1 0,0004\$1 pour 1 000 requêtes GET \$1 5 000 demandes = 2,00\$1  |  4,30\$1  | 
|  AWS WAF  |  1 ACL Web = 5,00\$1 par mois 7 règles \$1 1,00\$1 par règle = 7,00\$1  |  12\$1  | 
|  Amazon API Gateway  |  3,50 dollars par million d'appels d'API REST  |  3,50\$1  | 
|   **Total**   |  |   **7 380,10\$1**   | 

**Important**  
 **Coûts de rotation des clés KMS** AWS Key Management Service (KMS) effectue automatiquement une rotation des clés gérées par le client une fois par an lorsque la rotation est activée. Chaque rotation entraîne un coût de 1,00\$1 par clé et par an. Par exemple, avec 1 000 comptes dans une seule région, cela se traduit par 1 000 dollars supplémentaires par an (1 rotation × 1 000 clés × 1,00 dollar).

## Coût supplémentaire pour les fonctionnalités optionnelles
<a name="additional-cost-optional"></a>

Cette section identifie les coûts supplémentaires associés aux fonctionnalités optionnelles de cette solution.

### CloudWatch Métriques améliorées
<a name="additional-cost-enhanced-metrics"></a>

Si vous sélectionnez `yes` le **EnableEnhancedCloudWatchMetrics**paramètre lors du déploiement de la pile d'administration, la solution crée deux métriques personnalisées et une alarme pour chaque ID de contrôle. Le coût dépend du nombre de contrôles IDs que vous corrigez. Dans le tableau suivant, nous supposons que vous corrigez les 96 contrôles différents IDs par mois, afin de déterminer la limite supérieure des coûts.


| Service | Hypothèses 96 % de contrôle IDs \$1 2 = 192 mesures personnalisées | Charges mensuelles [USD] | 
| --- | --- | --- | 
|  Amazon CloudWatch - Métriques  |  0,30\$1 \$1 192 mesures personnalisées = 57,60\$1  |  57,60\$1  | 
|  Amazon CloudWatch - Alarmes  |  0,10\$1 \$1 96 alarmes = 9,60\$1  |  9,60\$1  | 
|   **Total**   |  |   **67,20\$1**   | 

### CloudTrail Journal des actions
<a name="additional-cost-action-log"></a>

Dans chaque compte membre pour lequel vous activez la fonctionnalité Action Log, les solutions créent une CloudTrail trace pour consigner tous les événements de gestion des écritures. Une fonction Lambda filtre les événements non liés à la solution. Cela signifie que le coût est lié au nombre total d'événements de gestion de votre compte, car les événements non liés à la solution sont toujours capturés par le journal et traités par la fonction Lambda.

Pour le tableau suivant, nous supposons 150 000 événements de gestion par mois sur le compte. Le coût réel dépend de l'activité réelle des événements de gestion sur votre compte.


| Service | Hypothèses | Charges mensuelles [USD] | 
| --- | --- | --- | 
|  AWS CloudTrail  |  150 000 \$1 2,00 \$1/100 000\$1 = 3,00\$1  |  3,00\$1  | 
|  Lambda  |  150 000\$1 0,2 \$1 0,125 = 3 750 Go de secondes 3 750\$1 \$1 0,0000166667\$1 = coût du temps de calcul de 0,0625\$1 0,15\$1 0,20\$1 = 0,03\$1 de coût de demande 0,0625\$1 \$1 0,03\$1 = coût Lambda total de 0,0952\$1  |  0,0925\$1  | 
|   **Total**   |  |   **3,09\$1 par compte membre**   | 

# Sécurité
<a name="security"></a>

Lorsque vous créez des systèmes sur l'infrastructure AWS, les responsabilités en matière de sécurité sont partagées entre vous et AWS. Ce [modèle partagé](https://aws.amazon.com/compliance/shared-responsibility-model/) réduit votre charge opérationnelle car AWS exploite, gère et contrôle les composants, notamment le système d'exploitation hôte, la couche de virtualisation et la sécurité physique des installations dans lesquelles les services fonctionnent. Pour plus d'informations sur la sécurité AWS, consultez le site [AWS Cloud Security](https://aws.amazon.com/security/).

## Politique de sécurité d'API Gateway
<a name="api-gateway-security-policy"></a>

Si vous choisissez d'activer l'interface utilisateur Web de la solution, une API REST API Gateway est déployée à côté de la CloudFormation pile d'administration qui sert de backend pour toutes les opérations de l'interface utilisateur Web. L'API REST déployée par la solution utilise la politique de sécurité TLS par défaut pour API Gateway, qui est `TLS-1-0` destinée aux régions APIs.

Cependant, après avoir déployé la CloudFormation pile d'administrateurs, vous pouvez choisir de personnaliser l'API REST de la solution en ajoutant une politique de sécurité TLS plus restrictive. Par exemple, vous pouvez choisir de `TLS_1_2 security policy` restreindre le trafic en utilisant TLSv1 .2 ou TLSv1 .3. Vous trouverez l'API REST de la solution dans la console API Gateway sous le nom **AutomatedSecurityResponseApi**.

Afin de choisir une politique de sécurité pour l'API REST de la solution, vous devez d'abord configurer un nom de domaine personnalisé. Pour plus d'informations, consultez la section [Nom de domaine personnalisé pour le REST public APIs dans API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/how-to-custom-domains.html).

Pour plus d'informations sur l'ajout d'une politique de sécurité à votre API REST, voir [Choisir une politique de sécurité pour le domaine personnalisé de votre API REST dans API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-custom-domain-tls-version.html) dans le guide API Gateway.

# Rôles IAM
<a name="iam-roles"></a>

Les rôles AWS Identity and Access Management (IAM) permettent aux clients d'attribuer des politiques d'accès et des autorisations détaillées aux services et aux utilisateurs du cloud AWS. Cette solution crée des rôles IAM qui accordent aux fonctions automatisées de la solution l'accès pour effectuer des actions de correction dans le cadre d'un ensemble restreint d'autorisations spécifiques à chaque correction.

La fonction Step du compte administrateur est attribuée au rôle SO0111-ASR-Orchestrator-Admin . Seul ce rôle est autorisé à assumer le rôle de membre SO0111-Orchestrator-Member dans chaque compte membre. Le rôle de membre est autorisé par chaque rôle de correction à le transmettre au service AWS Systems Manager pour exécuter des runbooks de correction spécifiques. Les noms des rôles de correction commencent par SO0111, suivi d'une description correspondant au nom du runbook de correction. Par exemple, SO0111-Remove VPCDefault SecurityGroupRules est le rôle du runbook de correction ASR-Remove. VPCDefault SecurityGroupRules 

## Régions AWS prises en charge
<a name="supported-aws-regions"></a>

**Important**  
L'activation de fonctionnalités facultatives dans la solution peut réduire la liste des régions prises en charge pour le déploiement. En d'autres termes, la liste ci-dessous ne s'applique qu'aux principaux composants de la solution. Par exemple, si vous choisissez d'activer l'interface utilisateur Web, vous ne pourrez pas déployer la solution dans les GovCloud régions car elle [n'CloudFront est pas prise en GovCloud charge aux États-Unis à partir de novembre 2025](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/setting-up-cloudfront.html).


| Nom de la région | Code région | 
| --- | --- | 
|  USA Est (Ohio)  |  us-east-2  | 
|  USA Est (Virginie du Nord)  |  us-east-1  | 
|  USA Ouest (Californie du Nord)  |  us-west-1  | 
|  US West (Oregon)  |  us-west-2  | 
|  Afrique (Le Cap)  |  af-south-1  | 
|  Asie-Pacifique (Hong Kong)  |  ap-east-1  | 
|  Asie-Pacifique (Hyderabad)  |  ap-south-2  | 
|  Asie-Pacifique (Jakarta)  |  ap-southeast-3  | 
|  Asie-Pacifique (Melbourne)  |  ap-southeast-4  | 
|  Asie-Pacifique (Mumbai)  |  ap-south-1  | 
|  Asie-Pacifique (Osaka)  |  ap-northeast-3  | 
|  Asie-Pacifique (Séoul)  |  ap-northeast-2  | 
|  Asie-Pacifique (Singapour)  |  ap-southeast-1  | 
|  Asie-Pacifique (Sydney)  |  ap-southeast-2  | 
|  Asia Pacific (Tokyo)  |  ap-northeast-1  | 
|  Canada (Central)  |  ca-central-1  | 
|  Europe (Francfort)  |  eu-central-1  | 
|  Europe (Irlande)  |  eu-west-1  | 
|  Europe (Londres)  |  eu-west-2  | 
|  Europe (Milan)  |  eu-south-1  | 
|  Europe (Paris)  |  eu-west-3  | 
|  Europe (Espagne)  |  eu-south-2  | 
|  Europe (Stockholm)  |  eu-north-1  | 
|  Europe (Zurich)  |  eu-central-2  | 
|  Moyen-Orient (Bahreïn)  |  me-south-1  | 
|  Moyen-Orient (EAU)  |  me-central-1  | 
|  Amérique du Sud (Sao Paulo)  |  sa-east-1  | 
|  AWS GovCloud (USA Est)  |  us-gov-east-1  | 
|  AWS GovCloud (ouest des États-Unis)  |  us-gov-west-1  | 
|  Chine (Beijing)  |  cn-north-1  | 
|  China (Ningxia)  |  cn-northwest-1  | 
|  Israël (Tel Aviv)  |  il-central-1  | 
|  Canada-Ouest (Calgary)  |  ca-west-1  | 
|  Mexique (Mexico)  |  mx-central-1  | 
|  Asie-Pacifique (Thaïlande)  |  ap-southeast-7  | 
|  Asie-Pacifique (Malaisie)  |  ap-southeast-5  | 

**Note**  
Toute nouvelle région AWS non répertoriée peut être prise en charge par le biais d'un déploiement local, mais pas par un déploiement en un clic.

# Quotas
<a name="quotas"></a>

Les quotas de service, également appelés limites, représentent le nombre maximal de ressources ou d'opérations de service pour votre compte AWS.

## Quotas pour les services AWS dans cette solution
<a name="quotas-for-aws-services-in-this-solution"></a>

Assurez-vous de disposer d'un quota suffisant pour chacun des [services mis en œuvre dans cette solution](architecture-details.md#aws-services-in-this-solution). Pour plus d'informations, consultez la section [Quotas de service AWS](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html).

Utilisez les liens suivants pour accéder à la page de ce service. Pour consulter les quotas de service pour tous les services AWS dans la documentation sans changer de page, consultez plutôt les informations figurant sur la page [Points de terminaison et quotas du service](https://docs.aws.amazon.com/general/latest/gr/aws-general.pdf#aws-service-information) dans le PDF.

## CloudFormation Quotas AWS
<a name="aws-cloudformation-quotas"></a>

Votre compte AWS comporte CloudFormation des quotas AWS dont vous devez tenir compte lorsque vous [lancez la pile](deployment.md#step-2) dans cette solution. En comprenant ces quotas, vous pouvez éviter les erreurs de limitation qui vous empêcheraient de déployer correctement cette solution. Pour plus d'informations, consultez les [ CloudFormation quotas AWS](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cloudformation-limits.html) dans le *guide de CloudFormation l'utilisateur AWS*.

## CloudWatch Quotas AWS
<a name="aws-cloudwatch-quotas"></a>

Les CloudWatch quotas AWS de votre compte AWS sont liés à CloudWatch des politiques de ressources, qui autorisent uniquement 10 politiques de ressources par région et par compte. Cela ne peut pas être demandé pour une augmentation de quota. Consultez les [quotas AWS CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch_limits_cwl.html) dans le *guide de CloudWatch l'utilisateur AWS*. Avant votre déploiement, veuillez vérifier votre utilisation actuelle pour vous assurer de ne pas dépasser ce seuil lors du déploiement de la solution.

## AWS Organizations
<a name="aws-org-quotas"></a>

Les fonctions Lambda de la solution appellent l'[API AWS Organizations](https://docs.aws.amazon.com/organizations/latest/APIReference/Welcome.html) afin de récupérer l'alias du compte courant à inclure dans les messages publiés sur la rubrique SNS de la solution. Cela permet aux noms de compte lisibles par l'homme d'être visibles dans les notifications de la solution à des fins de débogage et de suivi.

AWS Organizations impose des limites quant à la fréquence à laquelle les clients peuvent invoquer leurs points de terminaison d'API. Si vous constatez que la solution dépasse les limites définies pour votre compte, vous pouvez désactiver la fonctionnalité qui récupère et affiche l'alias du compte.

Pour ce faire, **accédez à la fonction Lambda** nommée `SO0111-ASR-sendNotifications` située dans la région et le compte où vous avez déployé la pile d'administrateurs. **Recherchez ensuite la variable d'environnement** nommée `DISABLE_ACCOUNT_ALIAS_LOOKUP` et remplacez la valeur de « False » par **« True »**. Le champ d'alias du compte dans les notifications de la solution sera désormais *« Inconnu »*, mais cela n'aura aucun impact sur les fonctionnalités de la solution.

# Déploiement d'AWS Security Hub
<a name="aws-security-hub-deployment"></a>

Le déploiement et la configuration d'AWS Security Hub sont une condition préalable à cette solution. Pour plus d'informations sur la configuration d'AWS Security Hub CSPM, consultez la section [Configuration d'AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html) dans le guide de l'utilisateur d'*AWS Security* Hub. Cette solution prend également en charge [AWS Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub-v2.html) (version non CSPM). Pour plus d'informations sur la configuration d'AWS Security Hub, consultez la section [Enabling Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-enable.html).

Au minimum, un Security Hub fonctionnel doit être configuré sur votre compte principal. Vous pouvez déployer cette solution sur le même compte (et dans la même région AWS) que le compte principal du Security Hub. Dans chaque compte principal et secondaire Security Hub, vous devez également déployer le modèle de membre qui autorise les AssumeRole autorisations d'accès aux AWS Step Functions de la solution pour exécuter des runbooks de correction dans le compte.

# Stack ou StackSets déploiement
<a name="stack-vs-stacksets-deployment"></a>

Un *ensemble de piles* vous permet de créer des piles dans les comptes AWS des régions AWS à l'aide d'un seul CloudFormation modèle AWS. À partir de la version 1.4, cette solution prend en charge le déploiement d'ensembles de piles en répartissant les ressources en fonction de l'endroit et de la manière dont elles sont déployées. Les clients disposant de plusieurs comptes, en particulier ceux qui utilisent AWS Organizations, peuvent tirer parti de l'utilisation d'ensembles de piles pour le déploiement sur de nombreux comptes. Cela réduit les efforts nécessaires à l'installation et à la maintenance de la solution. Pour plus d'informations StackSets, reportez-vous à la section [Utilisation d'AWS CloudFormation StackSets](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/using-stacksets.html).