Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Pianifica la tua implementazione
<a name="plan-your-deployment"></a>

Questa sezione descrive i costi, la sicurezza della rete, le regioni AWS supportate, le quote e altre considerazioni prima di implementare la soluzione.

# Costo
<a name="cost"></a>

Sei responsabile del costo dei servizi AWS utilizzati per eseguire questa soluzione.

A partire da questa revisione, i costi mensili stimati sono:
+ Implementazione su piccola scala (10 account, 1 regione: Stati Uniti) East/N. Virginia): Approximately \$114.70 for 300 remediations/month
+ Implementazione media (100 account, 1 regione: Stati Uniti) East/N. Virginia): Approximately \$1106.40 for 3,000 remediations/month
+ Implementazione su larga scala (1.000 account, 10 regioni): circa 7.360,00 USD per 30.000 riparazioni al mese

**Importante**  
I prezzi sono soggetti a modifiche. Per tutti i dettagli, consulta la pagina dei prezzi di ogni servizio AWS utilizzato in questa soluzione.

**Nota**  
Molti servizi AWS includono un piano gratuito, una quantità di base del servizio che i clienti possono utilizzare gratuitamente. I costi effettivi possono essere superiori o inferiori agli esempi di prezzo forniti.

Ti consigliamo di creare un [budget](https://docs.aws.amazon.com/cost-management/latest/userguide/budgets-create.html) tramite AWS Cost Explorer per gestire i costi. I prezzi sono soggetti a modifiche. Per tutti i dettagli, consulta la pagina web dei prezzi per ogni servizio AWS utilizzato in questa soluzione.

## Esempio di tabella dei costi
<a name="sample-cost-table"></a>

Il costo totale di esecuzione di questa soluzione dipende dai seguenti fattori:
+ Il numero di account membri di AWS Security Hub
+ Il numero di riparazioni attive richiamate automaticamente
+ La frequenza delle riparazioni

Questa soluzione utilizza i seguenti componenti AWS, che hanno un costo in base alla configurazione. Vengono forniti esempi di prezzi per organizzazioni di piccole, medie e grandi dimensioni.


| Servizio | Piano gratuito | Prezzi [USD] | 
| --- | --- | --- | 
|   [AWS Systems Manager Automation - Step Count](https://aws.amazon.com/systems-manager/pricing/)   |  Nessun livello gratuito  |  Ogni passaggio di base viene addebitato a 0,002 USD per passaggio. Per le automazioni con più account, tutti i passaggi, inclusi quelli eseguiti in qualsiasi account per bambini, vengono conteggiati solo nell'account di origine.  | 
|   [AWS Systems Manager Automation - Durata della fase](https://aws.amazon.com/systems-manager/pricing/)   |  Nessun livello gratuito  |  Per ogni fase di `aws:executeScript` azione viene addebitato un costo di 0,00003 USD al secondo.  | 
|   [AWS Systems Manager Automation - Archiviazione](https://aws.amazon.com/systems-manager/pricing/)   |  Nessun livello gratuito  |  0,046 USD per GB al mese  | 
|   [AWS Systems Manager Automation - Trasferimento dati](https://aws.amazon.com/systems-manager/pricing/)   |  Nessun livello gratuito  |  0,900 USD per GB trasferito (per più account o) out-of-Region  | 
|   [AWS Security Hub CSPM - Controlli di sicurezza](https://aws.amazon.com/security-hub/cspm/pricing/)   |  Nessun livello gratuito  |  I primi 100.000 dollari checks/account/Region/month costano 0,0010 USD per assegno I successivi 400.000 dollari checks/account/Region/month costano 0,0008 USD per assegno Oltre 500.000 dollari checks/account/Region/month costano 0,0005 USD per assegno  | 
|   [AWS Security Hub CSPM - Ricerca degli eventi di inserimento](https://aws.amazon.com/security-hub/cspm/pricing/)   |  I primi 10.000 sono gratuiti. events/account/Region/month Individuazione degli eventi di ingestione associati ai controlli di sicurezza di Security Hub.  |  Oltre 10.000 dollari events/account/Region/month costano 0,00003 dollari per evento  | 
|   [Amazon CloudWatch - Metriche](https://aws.amazon.com/cloudwatch/pricing/)   |  Metriche di monitoraggio di base (con una frequenza di 5 minuti) 10 Metriche di monitoraggio dettagliate (con frequenza di 1 minuto) 1 1 milione di richieste API (non applicabile a GetMetricData, GetInsightRuleReport e) GetMetricWidgetImage  |  I primi 10.000 parametri costano 0,30 USD metrici al mese Le successive 240.000 metriche costano 0,10 USD metrici al mese I successivi 750.000 parametri costano 0,05 USD metrici al mese Oltre 1.000.000 di parametri costano 0,02 USD metrici al mese Le chiamate API costano 0,01 USD per 1.000 richieste  | 
|   [Amazon CloudWatch - Pannello di controllo](https://aws.amazon.com/cloudwatch/pricing/)   |  3 dashboard per un massimo di 50 metriche al mese  |  3,00 USD per dashboard al mese  | 
|   [Amazon CloudWatch - Allarmi](https://aws.amazon.com/cloudwatch/pricing/)   |  10 parametri di allarme (non applicabile agli allarmi ad alta risoluzione)  |  La risoluzione standard (60 sec) costa 0,10 USD per metrica di allarme L'alta risoluzione (10 sec) costa 0,30 USD per metrica di allarme Il rilevamento delle anomalie a risoluzione standard costa 0,30 USD per allarme Il rilevamento delle anomalie ad alta risoluzione costa 0,90 USD per allarme Il materiale composito costa 0,50 USD per allarme  | 
|   [Amazon CloudWatch - Raccolta di registri](https://aws.amazon.com/cloudwatch/pricing/)   |  5 GB di dati (acquisizione, archiviazione e scansione dei dati mediante query di Logs Insights)  |  0,50 USD per GB  | 
|   [Amazon CloudWatch - Archiviazione dei log](https://aws.amazon.com/cloudwatch/pricing/)   |  5 GB di dati (acquisizione, archiviazione e scansione dei dati mediante query di Logs Insights)  |  0,005 USD per GB di dati scansionati  | 
|   [AWS Lambda - Richieste](https://aws.amazon.com/lambda/pricing/)   |  1 milione di richieste gratuite al mese  |  0,20 USD per 1 milione di richieste  | 
|   [AWS Lambda - Durata](https://aws.amazon.com/lambda/pricing/)   |  400.000 GB di tempo di elaborazione al mese  |  0,0000166667 USD per ogni GB al secondo. Il prezzo di Duration dipende dalla quantità di memoria allocata alla funzione. È possibile allocare qualsiasi quantità di memoria alla funzione tra 128 MB e 10.240 MB, con incrementi di 1 MB.  | 
|   [AWS Step Functions - Transizioni di stato](https://aws.amazon.com/step-functions/pricing/)   |  4.000 transizioni di stato gratuite al mese  |  0,025 USD per 1.000 transizioni di stato successive  | 
|   [Amazon EventBridge](https://aws.amazon.com/eventbridge/pricing/)   |  Tutti gli eventi di modifica dello stato pubblicati dai servizi AWS sono gratuiti  |  Gli eventi personalizzati costano 1,00 USD per milione di eventi personalizzati pubblicati Gli eventi di terze parti (SaaS) costano 1,00 USD per milione di eventi pubblicati Gli eventi su più account costano 1,00 USD per milione di eventi inviati su più account  | 
|   [Amazon SNS](https://aws.amazon.com/sns/pricing/)   |  Le prime 1 milione di richieste Amazon SNS al mese sono gratuite  |  0,50 USD per 1 milione di richieste successive  | 
|   [Amazon SQS](https://aws.amazon.com/sqs/pricing/)   |  I primi 1 milione di richieste Amazon SQS al mese sono gratuite  |  0,40 USD per ogni milione - 100 miliardi di richieste successive  | 
|   [Amazon DynamoDB](https://aws.amazon.com/dynamodb/pricing/)   |  I primi 25 GB di spazio di archiviazione sono gratuiti  |  2,00 USD per 1 milione di letture e scritture coerenti successive  | 
|   [AWS Key Management Service](https://aws.amazon.com/kms/pricing/)   |  20.000 richieste/mese  |  1,00 USD per 1 chiave KMS. 0,03 USD per 10.000 richieste API. Per le chiavi KMS che ruotate automaticamente o su richiesta, la prima e la seconda rotazione della chiave aggiungono un costo di 1 dollaro al mese (ripartito proporzionalmente all'ora).  **Nota: questa soluzione include ottimizzazioni del caching KMS (S3 Bucket Keys, riutilizzo delle chiavi dati SQS di 60 minuti, caching di 5 minuti di Secrets Manager) che riducono le chiamate API KMS di circa il 70%.**   | 
|   [Amazon Cognito](https://aws.amazon.com/cognito/pricing/)   |  Nel livello Essentials, i primi 10.000 utenti attivi mensili sono gratuiti. Nota: questo piano gratuito prevede 50 utenti attivi mensili quando gli utenti si autenticano tramite IdP esterno (SAML/OIDC).  |  0,015 USD per utente attivo mensile con più di 10.000 utenti.  | 
|   [Amazon CloudFront](https://aws.amazon.com/cloudfront/pricing/)   |  Il piano gratuito include 1 TB di trasferimento dati in uscita e 10.000.000 di richieste HTTP o HTTPS al mese.  |  (US/Canada/Mexico) I primi 9 TB costano 0,085 USD al mese. I successivi 40 TB costano 0,080 USD al mese. 0,0075 USD per richiesta HTTP. 0,0100 USD per richiesta HTTPS.  | 
|   [Amazon S3](https://aws.amazon.com/s3/pricing/)   |  Nessun livello gratuito  |  I primi 50 TB costano 0,023 USD per GB al mese. 0,005 USD per 1.000 richieste PUT, COPY, POST, LIST. 0,0004 USD per 1.000 GET, SELECT e tutte le altre richieste.  | 
|   [Gateway Amazon API](https://aws.amazon.com/api-gateway/pricing/)   |  1 milione di chiamate API REST nei primi 12 mesi di utilizzo.  |  3,50 dollari per milione per i primi 333 milioni di chiamate API.  | 

## Ottimizzazione dei costi KMS
<a name="kms-optimization"></a>

A partire dalla **versione 3.1.0**, questa soluzione include ottimizzazioni della memorizzazione nella cache KMS che riducono i costi operativi di crittografia di circa il 70%
+  **S3 Bucket Keys**: riduce le chiamate KMS per le operazioni di crittografia S3 GenerateDataKey 
+  **SQS Data Key Reuse**: periodo di cache di 60 minuti per la crittografia dei messaggi
+  **Secrets Manager Caching**: TTL di 5 minuti nelle funzioni Lambda

 **Impatto sulle prestazioni**: queste ottimizzazioni migliorano la latenza di 10-15 ms per le operazioni S3 e i flussi di lavoro completi, riducendo al contempo i costi, senza alcuna riduzione del throughput.

## Esempi di prezzi (mensili)
<a name="pricing-examples"></a>

### Esempio 1:300 riparazioni al mese
<a name="example-1-300-remediations-per-month"></a>
+ 10 account, 1 regione
+ 30 riparazioni per account/Region/month
+ 500 risultati del Security Hub elaborati per account/Region/month
+  **Interfaccia utente Web disattivata** 
+  **Action Log disabilitato** 
+ Costo totale 14,70 USD al mese


| Servizio | Presupposti | Spese mensili [USD] | 
| --- | --- | --- | 
|  AWS Systems Manager Automation  |  Passaggi: \$14 passaggi\$1 300 riparazioni\$1 0,002 USD = 2,40 USD Durata: 10 sec\$1 300 riparazioni \$1 0,00003 USD = 0,09 USD  |  2,49 USD  | 
|  Centrale di sicurezza AWS  |  Nessun servizio fatturabile utilizzato  |  0 USD  | 
|   CloudWatch Registri Amazon  |  0,50 USD per GB  |  < 0,01 USD  | 
|  AWS Lambda - Richieste  |  300 riparazioni\$1 7 richieste = 2.100 richieste 5.000 risultati\$1 1 richiesta = 5.000 richieste 0,20 USD/1.000.000 di richieste = 0,0000002 USD per richiesta  |  0,00142 USD  | 
|  AWS Lambda - Durata  |  (512 MB di memoria) 4.000 ms\$1 300 riparazioni\$1 0,0000000083 USD = 0,00996 USD 449 ms \$1 5.000 risultati \$1 0,0000000083 USD = 0,0186 USD  |  0,029\$1  | 
|  AWS Step Functions  |  19 transizioni di stato\$1 300 riparazioni = 5.700 0,025 USD\$1 (5.700/1.000) transizioni di stato = 0,14 USD  |  0,14\$1  | 
|   EventBridge Regole di Amazon  |  Nessun costo per le regole  |  0 USD  | 
|  AWS Key Management Service  |  1 chiave\$1 10 account\$1 1 regione\$1 1\$1 = 10\$1 (Crittografia/decrittografa le richieste API) (300 riparazioni\$1 2 richieste) \$1 (5.000 risultati\$1 4 richieste) = 20.600 richieste Con caching KMS: 20.600 \$1 0,30 = 6.180 richieste 0,03 USD per 10.000 richieste ⇒ 0,03 USD\$1 (6.180/ 10.000) = 0,02 USD  |  10,02 USD  | 
|  Amazon DynamoDB  |  2,00 USD\$1 1.000.000 di letture e scritture = 2,00 USD (Tabella dei risultati) 15 MB \$1 10 account \$1 1 regione = 150 MB (Tabella cronologica) 10 MB \$1 10 account\$1 1 regione = 100 MB 0,25 USD per GB al mese \$1 0,25 GB = 0,0625 USD  |  2,0625 USD  | 
|  Amazon SQS  |  0,40 USD\$1 1.000.000 di richieste = 0,40 USD  |  0,40 US\$1  | 
|  Amazon SNS  |  0,50 USD\$1 (600/1.000.000 di notifiche) = 0,0003 USD  |  0,0003 USD  | 
|  Amazon CloudWatch - Metriche  |  (Metriche avanzate disattivate) 0,30 USD\$1 7 metriche personalizzate = 2,10 USD 0,01 USD\$1 (300 chiamate API put metrics/1.000) = 0,003 USD  |  2,10\$1  | 
|  Amazon CloudWatch - Pannelli di controllo  |  3,00 USD\$1 1 dashboard = 3,00 USD  |  \$13,00  | 
|  Amazon CloudWatch - Allarmi  |  (Metriche avanzate disattivate) 0,10 USD\$1 4 allarmi = 0,40 USD  |  0,40\$1  | 
|  Amazon CloudWatch - Tracce a raggi X  |  300 riparazioni\$1 7 richieste = 2.100 chiamate Lambda 5.000 risultati\$1 1 richiesta = 5.000 invocazioni Lambda 0,000005 USD per traccia \$1 7.100 tracce = 0,0355 USD  |  0,0355 USD  | 
|   **Totale**   |  |   **\$114,70**   | 

### Esempio 2:300 riparazioni al mese (interfaccia utente Web abilitata)
<a name="example-2-300-remediations-per-month"></a>
+ 10 account, 1 regione
+ 30 riparazioni per account/Region/month
+ 5.000 risultati del Security Hub elaborati per account/Region/month
+  **Interfaccia utente Web abilitata** 
+  **Action Log disabilitato** 
+ Costo totale 36,35 USD al mese


| Servizio | Presupposti | Spese mensili [USD] | 
| --- | --- | --- | 
|  AWS Systems Manager Automation  |  Passaggi: \$14 passaggi\$1 300 riparazioni\$1 0,002 USD = 2,40 USD Durata: 10 sec\$1 300 riparazioni \$1 0,00003 USD = 0,09 USD  |  2,49 USD  | 
|  Centrale di sicurezza AWS  |  Nessun servizio fatturabile utilizzato  |  0 USD  | 
|   CloudWatch Registri Amazon  |  0,50 USD per GB  |  < 0,01 USD  | 
|  AWS Lambda - Richieste  |  300 riparazioni\$1 7 richieste = 2.100 richieste 5.000 risultati\$1 1 richiesta = 5.000 richieste 0,20 USD/1.000.000 di richieste = 0,0000002 USD per richiesta  |  0,00142 USD  | 
|  AWS Lambda - Durata  |  (512 MB di memoria) 4.000 ms\$1 300 riparazioni\$1 0,0000000083 USD = 0,00996 USD 449 ms \$1 5.000 risultati \$1 0,0000000083 USD = 0,0186 USD  |  0,029\$1  | 
|  AWS Step Functions  |  19 transizioni di stato\$1 300 riparazioni = 5.700 0,025 USD\$1 (5.700/1.000) transizioni di stato = 0,14 USD  |  0,14\$1  | 
|   EventBridge Regole di Amazon  |  Nessun costo per le regole  |  0 USD  | 
|  AWS Key Management Service  |  1 chiave\$1 10 account\$1 1 regione\$1 1\$1 = 10\$1 (Crittografia/decrittografa le richieste API) (300 riparazioni\$1 2 richieste) \$1 (5.000 risultati\$1 4 richieste) = 20.600 richieste 0,03 USD per 10.000 richieste ⇒ 0,03 USD\$1 (20.600/10.000) = 0,06 USD  |  10,06 USD  | 
|  Amazon DynamoDB  |  2,00 USD\$1 1.000.000 di letture e scritture = 2,00 USD (Tabella dei risultati) 15 MB \$1 10 account \$1 1 regione = 150 MB (Tabella cronologica) 10 MB \$1 10 account\$1 1 regione = 100 MB 0,25 USD per GB al mese \$1 0,25 GB = 0,0625 USD  |  2,0625 USD  | 
|  Amazon SQS  |  0,40 USD\$1 1.000.000 di richieste = 0,40 USD  |  0,40 US\$1  | 
|  Amazon SNS  |  0,50 USD\$1 (600/1.000.000 di notifiche) = 0,0003 USD  |  0,0003 USD  | 
|  Amazon CloudWatch - Metriche  |  (Metriche avanzate disattivate) 0,30 USD\$1 7 metriche personalizzate = 2,10 USD 0,01 USD\$1 (300 chiamate API put metrics/1.000) = 0,003 USD  |  2,10\$1  | 
|  Amazon CloudWatch - Pannelli di controllo  |  3,00 USD\$1 1 dashboard = 3,00 USD  |  \$13,00  | 
|  Amazon CloudWatch - Allarmi  |  (Metriche avanzate disattivate) 0,10 USD\$1 4 allarmi = 0,40 USD  |  0,40\$1  | 
|  Amazon CloudWatch - Tracce a raggi X  |  300 riparazioni\$1 7 richieste = 2.100 chiamate Lambda 5.000 risultati\$1 1 richiesta = 5.000 invocazioni Lambda 0,000005 USD per traccia \$1 7.100 tracce = 0,0355 USD  |  0,0355\$1  | 
|  Amazon Cognito  |  (Livello Essentials) 500 utenti attivi mensili  |  0 USD  | 
|  Amazon CloudFront  |  Trasferimento dati regionali all'origine (per GB) = 0,020 USD Trasferimento dati regionali verso Internet (per GB) = 0,085 USD Richiedi i prezzi per tutti i metodi HTTP (per 10.000) = 0,0075 USD  |  0,1125 USD  | 
|  Simple Storage Service (Amazon S3)  |  (Hosting dell'interfaccia utente) 0,023 USD per GB \$1 0,002 GB = 0,000046 USD (Esportazione della cronologia) 0,023 USD per GB \$1 0,50 GB = 0,0125 USD 0,0004 USD per 1.000 richieste GET  |  0,0125 USD  | 
|  AWS WAF  |  1 Web ACL = 5,00 USD al mese 7 regole\$1 1,00 USD per regola = 7,00 USD  |  \$112  | 
|  Gateway Amazon API  |  3,50 USD per milione di chiamate API REST  |  \$13,50  | 
|   **Totale**   |  |   **\$136,35**   | 

### Esempio 3:3.000 riparazioni al mese
<a name="example-3-3000-remediations-per-month"></a>
+ 100 account, 1 regione
+ 30 riparazioni per account/Region/month
+ 500 risultati del Security Hub elaborati per account/Region/month
+  **Interfaccia utente Web disattivata** 
+  **Action Log disabilitato** 
+ Costo totale 106,40 USD al mese


| Servizio | Presupposti | Spese mensili [USD] | 
| --- | --- | --- | 
|  AWS Systems Manager Automation  |  Fasi: \$14 passaggi\$1 3.000 riparazioni\$1 0,002 USD = 24,00 USD Durata: 10 sec\$1 3.000 riparazioni\$1 0,00003 USD = 0,90 USD  |  \$124,90  | 
|  Centrale di sicurezza AWS  |  Nessun servizio fatturabile utilizzato  |  0 USD  | 
|   CloudWatch Registri Amazon  |  0,50 USD per GB  |  < 0,01 USD  | 
|  AWS Lambda - Richieste  |  3.000 riparazioni\$1 7 richieste = 2.100 richieste 50.000 risultati\$1 1 richiesta = 50.000 richieste 0,20 USD/1.000.000 di richieste = 0,0000002 USD per richiesta  |  0,01 USD  | 
|  AWS Lambda - Durata  |  (512 MB di memoria) 4.000 ms\$1 3.000 riparazioni\$1 0,0000000083 USD = 0,0996 USD 449 ms \$1 50.000 risultati \$1 0,0000000083 USD = 0,186 USD  |  0,29\$1  | 
|  AWS Step Functions  |  19 transizioni di stato \$1 3.000 riparazioni = 57.000 0,025 USD\$1 (57.000/1.000) transizioni di stato = 1,425 USD  |  \$11,425  | 
|   EventBridge Regole di Amazon  |  Nessun costo per le regole  |  0 USD  | 
|  AWS Key Management Service  |  1 chiave\$1 100 account\$1 1 regione\$1 1\$1 = 100\$1 (Crittografia/decrittografa le richieste API) (3.000 riparazioni\$1 2 richieste) \$1 (50.000 risultati\$1 4 richieste) = 206.000 richieste Con caching KMS: 206.000 \$1 0,30 = 61.800 richieste 0,03 USD per 10.000 richieste ⇒ 0,03 USD\$1 (61.800/10.000) = 0,185 USD  |  100,185 USD  | 
|  Amazon DynamoDB  |  2,00 USD\$1 1.000.000 di letture e scritture = 2,00 USD (Tabella dei risultati) 15 MB \$1 100 account\$1 1 regione = 1.500 MB (Tabella cronologica) 10 MB\$1 100 account\$1 1 regione = 1.000 MB 0,25 USD per GB al mese \$1 2,5 GB = 0,625 USD  |  2,625 USD  | 
|  Amazon SQS  |  0,40 USD\$1 1.000.000 di richieste = 0,40 USD  |  0,40 US\$1  | 
|  Amazon SNS  |  0,50 USD\$1 1.000.000 di notifiche = 0,50 USD  |  \$10,50  | 
|  Amazon CloudWatch - Metriche  |  (Metriche avanzate disattivate) 0,30 USD\$1 7 metriche personalizzate = 2,10 USD 0,01 USD\$1 (3000/ 1.000) chiamate API put metrics = 0,03 USD  |  2,13\$1  | 
|  Amazon CloudWatch - Pannelli di controllo  |  3,00 USD\$1 1 dashboard = 3,00 USD  |  \$13,00  | 
|  Amazon CloudWatch - Allarmi  |  0,10 USD\$1 4 allarmi = 0,40 USD  |  0,40\$1  | 
|  Amazon CloudWatch - Tracce a raggi X  |  3.000 riparazioni\$1 7 richieste = 2.100 chiamate Lambda 50.000 risultati\$1 1 richiesta = 50.000 invocazioni Lambda 0,000005 USD per traccia \$1 52.100 tracce = 0,2605 USD  |  0,2605\$1  | 
|   **Totale**   |  |   **106,40\$1**   | 

### Esempio 4:30.000 riparazioni al mese
<a name="example-4-30000-remediations-per-months"></a>
+ 1.000 account, 10 regioni
+ 30 riparazioni per account/Region/month
+ 500 risultati del Security Hub elaborati per account/Region/month
+  **Interfaccia utente Web disattivata** 
+  **Action Log disabilitato** 
+ Costo totale 7.360,00 USD al mese


| Servizio | Presupposti | Spese mensili [USD] | 
| --- | --- | --- | 
|  AWS Systems Manager Automation  |  Fasi: \$14 passaggi\$1 30.000 riparazioni\$1 0,002 USD = 240,00 USD Durata: 10 sec\$1 30.000 riparazioni\$1 0,00003 USD = 9,00 USD  |  249,00\$1  | 
|  Centrale di sicurezza AWS  |  Nessun servizio fatturabile utilizzato  |  0 USD  | 
|   CloudWatch Registri Amazon  |  0,50 USD per GB  |  < 0,01 USD  | 
|  AWS Lambda - Richieste  |  30.000 riparazioni\$1 7 richieste = 210.000 richieste 5.000.000 di risultati \$1 1 richiesta = 5.000.000 di richieste 0,20 USD/1.000.000 di richieste = 0,0000002 USD per richiesta  |  1,042 USD  | 
|  AWS Lambda - Durata  |  (512 MB di memoria) 4.000 ms\$1 30.000 riparazioni\$1 0,0000000083 USD = 0,996 USD 449 ms \$1 5.000.000 di risultati \$1 0,0000000083 USD = 18,63 USD  |  \$119,63  | 
|  AWS Step Functions  |  19 transizioni di stato\$1 30.000 riparazioni = 570.000 0,025 USD\$1 (570.000/1.000) transizioni di stato = 14,25 USD  |  \$114,25  | 
|   EventBridge Regole di Amazon  |  Nessun costo per le regole  |  0 USD  | 
|  AWS Key Management Service  |  (1 chiave) 1 \$1\$1 1.000 account \$1 10 regioni = 10.000 USD (Crittografia/decrittografa le richieste API) (30.000 riparazioni\$1 2 richieste) \$1 (5.000.000 di risultati\$1 4 richieste) = 20.060.000 richieste Con caching KMS: 20.060.000 \$1 0,30 = 6.018.000 richieste 0,03 USD per 10.000 richieste ⇒ 0,03 USD\$1 (6.018.000/ 10.000) = 18,05 USD  |  10.018,05 USD  | 
|  Amazon DynamoDB  |  2,00 USD\$1 (10.000.000 di letture e scritture/1.000.000) = 20,00 USD (Tabella dei risultati) 15 MB\$1 1000 account\$1 10 regioni = 150 GB (Tabella cronologica) 10 MB\$1 1000 account\$1 10 regioni = 100 GB 0,25 USD per GB al mese \$1 250 GB = 62,50 USD  |  82,50 USD  | 
|  Amazon SQS  |  0,40 USD\$1 (5.060.000 richieste/1.000.000) = 2,024 USD  |  \$12,024  | 
|  Amazon SNS  |  0,000005 USD \$1 1.000.000 di notifiche = 0,50 USD  |  0,50 USD  | 
|  Amazon CloudWatch - Metriche  |  (Metriche avanzate disattivate) 0,30 USD\$1 7 metriche personalizzate = 2,10 USD 0,01 USD\$1 (30.000/ 1.000) chiamate API put metrics = 0,30 USD  |  2,40\$1  | 
|  Amazon CloudWatch - Pannelli di controllo  |  3,00 USD\$1 1 dashboard = 3,00 USD  |  \$13,00  | 
|  Amazon CloudWatch - Allarmi  |  (Metriche avanzate disattivate) 0,10 USD\$1 4 allarmi = 0,40 USD  |  0,40\$1  | 
|  Amazon CloudWatch - Tracce a raggi X  |  30.000 riparazioni\$1 7 richieste = 210.000 chiamate Lambda 5.000.000 di risultati\$1 1 richiesta = 5.000.000 di invocazioni Lambda 0,000005 USD per traccia \$1 5.210.000 tracce = 26,05 USD  |  26,05\$1  | 
|   **Totale**   |  |   **\$17.360,00**   | 

### Esempio 5:30.000 riparazioni al mese (interfaccia utente Web abilitata)
<a name="example-5-30000-remediations-per-months"></a>
+ 1.000 account, 10 regioni
+ 30 riparazioni per account/Region/month
+ 500 risultati del Security Hub elaborati per account/Region/month
+  **Interfaccia utente Web abilitata** 
+  **Action Log disabilitato** 
+ Costo totale 7.380,10\$1 al mese


| Servizio | Presupposti | Spese mensili [USD] | 
| --- | --- | --- | 
|  AWS Systems Manager Automation  |  Fasi: \$14 passaggi\$1 30.000 riparazioni\$1 0,002 USD = 240,00 USD Durata: 10 sec\$1 30.000 riparazioni\$1 0,00003 USD = 9,00 USD  |  249,00\$1  | 
|  Centrale di sicurezza AWS  |  Nessun servizio fatturabile utilizzato  |  0 USD  | 
|   CloudWatch Registri Amazon  |  0,50 USD per GB  |  < 0,01 USD  | 
|  AWS Lambda - Richieste  |  30.000 riparazioni\$1 7 richieste = 210.000 richieste 5.000.000 di risultati \$1 1 richiesta = 5.000.000 di richieste 0,20 USD/1.000.000 di richieste = 0,0000002 USD per richiesta  |  1,042 USD  | 
|  AWS Lambda - Durata  |  (512 MB di memoria) 4.000 ms\$1 30.000 riparazioni\$1 0,0000000083 USD = 0,996 USD 449 ms \$1 5.000.000 di risultati \$1 0,0000000083 USD = 18,63 USD  |  \$119,63  | 
|  AWS Step Functions  |  19 transizioni di stato\$1 30.000 riparazioni = 570.000 0,025 USD\$1 (570.000/1.000) transizioni di stato = 14,25 USD  |  \$114,25  | 
|   EventBridge Regole di Amazon  |  Nessun costo per le regole  |  0 USD  | 
|  AWS Key Management Service  |  (1 chiave) 1 \$1\$1 1.000 account \$1 10 regioni = 10.000 USD (Crittografia/decrittografa le richieste API) (30.000 riparazioni\$1 2 richieste) \$1 (5.000.000 di risultati\$1 4 richieste) = 20.060.000 richieste Con caching KMS: 20.060.000 \$1 0,30 = 6.018.000 richieste 0,03 USD per 10.000 richieste ⇒ 0,03 USD\$1 (6.018.000/ 10.000) = 18,05 USD  |  10.018,05 USD  | 
|  Amazon DynamoDB  |  2,00 USD\$1 (10.000.000 di letture e scritture/1.000.000) = 20,00 USD (Tabella dei risultati) 15 MB\$1 1000 account\$1 10 regioni = 150 GB (Tabella cronologica) 10 MB\$1 1000 account\$1 10 regioni = 100 GB 0,25 USD per GB al mese \$1 250 GB = 62,50 USD  |  82,50 USD  | 
|  Amazon SQS  |  0,40 USD\$1 (5.060.000 richieste/1.000.000) = 2,024 USD  |  \$12,024  | 
|  Amazon SNS  |  0,000005 USD \$1 1.000.000 di notifiche = 0,50 USD  |  0,50 USD  | 
|  Amazon CloudWatch - Metriche  |  (Metriche avanzate disattivate) 0,30 USD\$1 7 metriche personalizzate = 2,10 USD 0,01 USD\$1 (30.000/ 1.000) chiamate API put metrics = 0,30 USD  |  2,40\$1  | 
|  Amazon CloudWatch - Pannelli di controllo  |  3,00 USD\$1 1 dashboard = 3,00 USD  |  \$13,00  | 
|  Amazon CloudWatch - Allarmi  |  (Metriche avanzate disattivate) 0,10 USD\$1 4 allarmi = 0,40 USD  |  0,40\$1  | 
|  Amazon CloudWatch - Tracce a raggi X  |  30.000 riparazioni\$1 7 richieste = 210.000 chiamate Lambda 5.000.000 di risultati\$1 1 richiesta = 5.000.000 di invocazioni Lambda 0,000005 USD per traccia \$1 5.210.000 tracce = 26,05 USD  |  26,05\$1  | 
|  Amazon Cognito  |  (Livello Essentials) 5.000 utenti attivi mensili  |  0 USD  | 
|  Amazon CloudFront  |  Trasferimento dati regionali all'origine (per GB) = 0,020 USD Trasferimento dati regionali verso Internet (per GB) = 0,085 USD Richiedi i prezzi per tutti i metodi HTTP (per 10.000) = 0,0075 USD  |  0,1125 USD  | 
|  Simple Storage Service (Amazon S3)  |  (Hosting dell'interfaccia utente) 0,023 USD per GB \$1 0,002 GB = 0,000046 USD (Esportazione della cronologia) 0,023 USD per GB \$1 100 GB = 2,30 USD 0,0004 USD per 1.000 richieste GET\$1 5.000 richieste = 2,00 USD  |  4,30 USD  | 
|  AWS WAF  |  1 Web ACL = 5,00 USD al mese 7 regole\$1 1,00 USD per regola = 7,00 USD  |  \$112  | 
|  Gateway Amazon API  |  3,50 USD per milione di chiamate API REST  |  \$13,50  | 
|   **Totale**   |  |   **\$17.380,10**   | 

**Importante**  
 **Costi di rotazione delle chiavi KMS** AWS Key Management Service (KMS) ruota automaticamente le chiavi gestite dal cliente una volta all'anno quando la rotazione è abilitata. Ogni rotazione comporta un costo di 1,00 USD per chiave all'anno. Ad esempio, con 1000 account in una singola regione, ciò comporta un costo aggiuntivo di 1000 USD all'anno (1 rotazione × 1000 chiavi × 1,00 USD).

## Costo aggiuntivo per funzionalità opzionali
<a name="additional-cost-optional"></a>

Questa sezione identifica i costi aggiuntivi associati alle funzionalità opzionali di questa soluzione.

### Metriche avanzate CloudWatch
<a name="additional-cost-enhanced-metrics"></a>

Se si seleziona `yes` il **EnableEnhancedCloudWatchMetrics**parametro durante la distribuzione dello stack di amministrazione, la soluzione crea due metriche personalizzate e un allarme per ogni ID di controllo. Il costo dipende dal numero di controlli da IDs correggere. Nella tabella seguente, si presume che si stiano ripristinando tutti i 96 diversi controlli IDs al mese, per determinare il limite massimo dei costi.


| Servizio | Ipotesi 96 IDs controllo\$1 2 = 192 metriche personalizzate | Spese mensili [USD] | 
| --- | --- | --- | 
|  Amazon CloudWatch - Metriche  |  0,30 USD\$1 192 metriche personalizzate = 57,60 USD  |  57,60\$1  | 
|  Amazon CloudWatch - Allarmi  |  0,10 USD\$1 96 allarmi = 9,60 USD  |  9,60\$1  | 
|   **Totale**   |  |   **\$167,20**   | 

### CloudTrail Registro delle azioni
<a name="additional-cost-action-log"></a>

In ogni account membro per cui abiliti la funzionalità Action Log, le soluzioni creano una CloudTrail traccia per registrare tutti gli eventi di gestione delle scritture. Una funzione Lambda filtra gli eventi non correlati alla soluzione. Ciò significa che il costo è correlato al numero totale di eventi di gestione nell'account, poiché gli eventi non correlati alla soluzione vengono comunque acquisiti dal trail ed elaborati dalla funzione Lambda.

Per la tabella seguente, ipotizziamo 150.000 eventi di gestione al mese nell'account. Il costo effettivo dipende dall'effettiva attività degli eventi di gestione nell'account.


| Servizio | Presupposti | Spese mensili [USD] | 
| --- | --- | --- | 
|  AWS CloudTrail  |  150.000 USD\$1 2,00/100.000 USD = 3,00 USD  |  \$13,00  | 
|  Lambda  |  150.000 \$1 0,2 \$1 0,125 = 3.750 GB/secondi 3.750 USD\$1 0,0000166667 = 0,0625 USD di costo del tempo di elaborazione 0,15 USD\$1 0,20 USD = 0,03 USD per il costo della richiesta 0,0625 USD \$1 0,03 USD = 0,0952 USD di costo totale Lambda  |  0,0925 USD  | 
|   **Totale**   |  |   **3,09\$1 per account membro**   | 

# Sicurezza
<a name="security"></a>

Quando crei sistemi sull'infrastruttura AWS, le responsabilità di sicurezza vengono condivise tra te e AWS. Questo [modello condiviso](https://aws.amazon.com/compliance/shared-responsibility-model/) riduce il carico operativo perché AWS gestisce, gestisce e controlla i componenti, tra cui il sistema operativo host, il livello di virtualizzazione e la sicurezza fisica delle strutture in cui operano i servizi. Per ulteriori informazioni sulla sicurezza di AWS, visita la pagina [AWS Cloud Security](https://aws.amazon.com/security/).

## Politica di sicurezza API Gateway
<a name="api-gateway-security-policy"></a>

Se scegli di abilitare l'interfaccia utente Web della soluzione, viene implementata un'API REST API Gateway insieme allo CloudFormation stack di amministrazione che funge da backend per tutte le operazioni nell'interfaccia utente Web. L'API REST implementata dalla soluzione utilizza la politica di sicurezza TLS predefinita per API Gateway, che è `TLS-1-0` per le aree regionali. APIs

Tuttavia, dopo aver distribuito lo CloudFormation stack di amministrazione, puoi scegliere di personalizzare l'API REST della soluzione aggiungendo una politica di sicurezza TLS più restrittiva. Ad esempio, puoi scegliere di limitare il traffico utilizzando `TLS_1_2 security policy` TLSv1 .2 o .3. TLSv1 Puoi trovare l'API REST della soluzione nella console API Gateway sotto il nome **AutomatedSecurityResponseApi**.

Per scegliere una politica di sicurezza per l'API REST della soluzione, devi prima configurare un nome di dominio personalizzato. Per ulteriori informazioni, consulta [Nome di dominio personalizzato per REST pubblico APIs in API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/how-to-custom-domains.html).

Per ulteriori informazioni sull'aggiunta di una policy di sicurezza all'API REST, consulta [Scegliere una policy di sicurezza per il dominio personalizzato dell'API REST in API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-custom-domain-tls-version.html) nella guida API Gateway.

# Ruoli IAM
<a name="iam-roles"></a>

I ruoli di AWS Identity and Access Management (IAM) consentono ai clienti di assegnare policy e autorizzazioni di accesso granulari a servizi e utenti nel cloud AWS. Questa soluzione crea ruoli IAM che garantiscono alle funzioni automatizzate della soluzione l'accesso per eseguire azioni di riparazione entro un ambito ristretto di autorizzazioni specifiche per ciascuna riparazione.

La Step Function dell'account di amministrazione è assegnata al ruolo SO0111-. ASR-Orchestrator-Admin Solo questo ruolo può assumere il membro SO0111-Orchestrator in ogni account membro. Il ruolo membro è autorizzato da ciascun ruolo di riparazione a trasferirlo al servizio AWS Systems Manager per eseguire runbook di riparazione specifici. I nomi dei ruoli di riparazione iniziano con SO0111, seguiti da una descrizione che corrisponde al nome del runbook di riparazione. Ad esempio, SO0111-Remove è il ruolo del runbook di correzione ASR-Remove VPCDefaultSecurityGroupRules . VPCDefault SecurityGroupRules 

## Regioni AWS supportate
<a name="supported-aws-regions"></a>

**Importante**  
L'attivazione di funzionalità opzionali nella soluzione può ridurre l'elenco delle regioni supportate per la distribuzione. In altre parole, l'elenco seguente si applica solo ai componenti principali della soluzione. Ad esempio, se si sceglie di abilitare l'interfaccia utente Web, non sarà possibile distribuire la soluzione nelle GovCloud regioni poiché [non CloudFront è supportata negli GovCloud Stati Uniti, a partire da novembre 2025](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/setting-up-cloudfront.html).


| Nome della Regione | Codice regione | 
| --- | --- | 
|  Stati Uniti orientali (Ohio)  |  us-east-2  | 
|  US East (N. Virginia)  |  us-east-1  | 
|  Stati Uniti occidentali (California settentrionale)  |  us-west-1  | 
|  US West (Oregon)  |  us-west-2  | 
|  Africa (Città del Capo)  |  af-south-1  | 
|  Asia Pacific (Hong Kong)  |  ap-east-1  | 
|  Asia Pacifico (Hyderabad)  |  ap-south-2  | 
|  Asia Pacifico (Giacarta)  |  ap-southeast-3  | 
|  Asia Pacifico (Melbourne)  |  ap-southeast-4  | 
|  Asia Pacifico (Mumbai)  |  ap-south-1  | 
|  Asia Pacifico (Osaka-Locale)  |  ap-northeast-3  | 
|  Asia Pacifico (Seoul)  |  ap-northeast-2  | 
|  Asia Pacific (Singapore)  |  ap-southeast-1  | 
|  Asia Pacific (Sydney)  |  ap-southeast-2  | 
|  Asia Pacific (Tokyo)  |  ap-northeast-1  | 
|  Canada (Central)  |  ca-central-1  | 
|  Europa (Francoforte)  |  eu-central-1  | 
|  Europe (Ireland)  |  eu-west-1  | 
|  Europe (London)  |  eu-west-2  | 
|  Europe (Milan)  |  eu-south-1  | 
|  Europa (Parigi)  |  eu-west-3  | 
|  Europa (Spagna)  |  eu-south-2  | 
|  Europa (Stoccolma)  |  eu-north-1  | 
|  Europa (Zurigo)  |  eu-central-2  | 
|  Medio Oriente (Bahrein)  |  me-south-1  | 
|  Medio Oriente (Emirati Arabi Uniti)  |  me-central-1  | 
|  Sud America (San Paolo)  |  sa-east-1  | 
|  AWS GovCloud (Stati Uniti orientali)  |  us-gov-east-1  | 
|  AWS GovCloud (Stati Uniti occidentali)  |  us-gov-west-1  | 
|  Cina (Pechino)  |  cn-north-1  | 
|  China (Ningxia)  |  cn-northwest-1  | 
|  Israele (Tel Aviv)  |  il-central-1  | 
|  Canada occidentale (Calgary)  |  ca-west-1  | 
|  Messico (Città del Messico)  |  mx-central-1  | 
|  Asia Pacifico (Thailandia)  |  ap-southeast-7  | 
|  Asia Pacifico (Malesia)  |  ap-southeast-5  | 

**Nota**  
Tutte le nuove regioni AWS non elencate possono essere supportate tramite distribuzione locale ma non tramite distribuzione con un clic.

# Quote
<a name="quotas"></a>

Le quote di servizio, anche denominate limiti, rappresentano il numero massimo di risorse di servizio o operazioni per l'account AWS.

## Quote per i servizi AWS in questa soluzione
<a name="quotas-for-aws-services-in-this-solution"></a>

Assicurati di disporre di una quota sufficiente per ciascuno dei [servizi implementati in questa soluzione](architecture-details.md#aws-services-in-this-solution). Per ulteriori informazioni, consulta le [quote dei servizi AWS](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html).

Utilizza i seguenti link per accedere alla pagina relativa al servizio. Per visualizzare le Service Quotas per tutti i servizi AWS nella documentazione senza cambiare pagina, visualizza invece le informazioni nella pagina [Service endpoints and quotas](https://docs.aws.amazon.com/general/latest/gr/aws-general.pdf#aws-service-information) nel PDF.

## CloudFormation Quote AWS
<a name="aws-cloudformation-quotas"></a>

Il tuo account AWS ha CloudFormation quote AWS di cui dovresti essere a conoscenza quando [avvii lo stack](deployment.md#step-2) di questa soluzione. Comprendendo queste quote, puoi evitare errori di limitazione che potrebbero impedirti di implementare questa soluzione con successo. Per ulteriori informazioni, consulta le [ CloudFormation quote AWS](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cloudformation-limits.html) nella *AWS CloudFormation User Guide*.

## CloudWatch Quote AWS
<a name="aws-cloudwatch-quotas"></a>

Il tuo account AWS ha CloudWatch quote AWS legate alle CloudWatch Resource Policies, che consentono solo 10 policy di risorse per regione per account e questo non può essere richiesto per un aumento della quota, consulta [AWS CloudWatch Logs Quotas](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch_limits_cwl.html) nella * CloudWatch AWS* User Guide. Prima della distribuzione, controlla l'utilizzo attuale per assicurarti di non superare questa soglia durante la distribuzione della soluzione.

## AWS Organizations
<a name="aws-org-quotas"></a>

Le funzioni Lambda della soluzione effettuano chiamate all'[API AWS Organizations](https://docs.aws.amazon.com/organizations/latest/APIReference/Welcome.html) per recuperare l'alias dell'account corrente da includere nei messaggi pubblicati sull'argomento SNS della soluzione. Ciò consente ai nomi di account leggibili dall'uomo di essere visibili nelle notifiche della soluzione per scopi di debug e tracciamento.

AWS Organizations impone limiti alla frequenza con cui i clienti possono richiamare i propri endpoint API. Se ritieni che la soluzione stia superando i limiti impostati per il tuo account, puoi disabilitare la funzionalità che recupera e visualizza l'alias dell'account.

A tale scopo, **accedi alla funzione Lambda** denominata `SO0111-ASR-sendNotifications` situata nella regione e nell'account in cui hai distribuito lo stack di amministrazione. Quindi, **individua la variabile di ambiente** denominata `DISABLE_ACCOUNT_ALIAS_LOOKUP` e modifica il valore da «False» a **«**True». Il campo alias dell'account nelle notifiche della soluzione sarà ora *«Sconosciuto»*, tuttavia ciò non influirà sulla funzionalità della soluzione.

# Implementazione di AWS Security Hub
<a name="aws-security-hub-deployment"></a>

La distribuzione e la configurazione di AWS Security Hub sono un prerequisito per questa soluzione. Per ulteriori informazioni sulla configurazione di AWS Security Hub CSPM, consulta [Configurazione di AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html) nella Guida per l'utente di *AWS Security* Hub. Questa soluzione supporta anche [AWS Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub-v2.html) (versione non CSPM). Per ulteriori informazioni sulla configurazione di AWS Security Hub, consulta [Enabling Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-enable.html).

Come minimo, devi avere un Security Hub funzionante configurato nel tuo account principale. Puoi distribuire questa soluzione nello stesso account (e nella stessa regione AWS) dell'account primario di Security Hub. In ogni account primario e secondario di Security Hub, devi anche distribuire il modello membro che consente AssumeRole le autorizzazioni ad AWS Step Functions della soluzione per eseguire i runbook di correzione nell'account.

# Stack e distribuzione StackSets
<a name="stack-vs-stacksets-deployment"></a>

Un *set di stack* consente di creare stack negli account AWS in tutte le regioni AWS utilizzando un singolo modello CloudFormation AWS. A partire dalla versione 1.4, questa soluzione supporta la distribuzione di stack set suddividendo le risorse in base a dove e come vengono distribuite. I clienti con più account, in particolare quelli che utilizzano AWS Organizations, possono trarre vantaggio dall'utilizzo di set di stack per la distribuzione su più account. Riduce lo sforzo necessario per installare e mantenere la soluzione. Per ulteriori informazioni StackSets, consulta [Using AWS CloudFormation StackSets](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/using-stacksets.html).