As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Planeje a implantação
<a name="plan-your-deployment"></a>

Esta seção descreve o custo, a segurança da rede, as regiões suportadas da AWS, as cotas e outras considerações antes da implantação da solução.

# Custo
<a name="cost"></a>

Você é responsável pelo custo dos serviços da AWS usados para executar essa solução.

A partir desta revisão, os custos mensais estimados são:
+ Pequena implantação (10 contas, 1 região) - EUA East/N. Virginia): Approximately \$114.70 for 300 remediations/month
+ Implantação média (100 contas, 1 região - EUA) East/N. Virginia): Approximately \$1106.40 for 3,000 remediations/month
+ Grande implantação (1.000 contas, 10 regiões): aproximadamente USD 7.360,00 para 30.000 remediações/mês

**Importante**  
Os preços estão sujeitos a alterações. Para obter detalhes completos, consulte a página de preços de cada serviço da AWS usado nesta solução.

**nota**  
Muitos serviços da AWS incluem um nível gratuito — um valor básico do serviço que os clientes podem usar gratuitamente. Os custos reais podem ser maiores ou menores do que os exemplos de preços fornecidos.

Recomendamos criar um [orçamento](https://docs.aws.amazon.com/cost-management/latest/userguide/budgets-create.html) por meio do Explorador de Custos da AWS para ajudar a gerenciar os custos. Os preços estão sujeitos a alterações. Para obter detalhes completos, consulte a página de preços de cada serviço da AWS usado nesta solução.

## Tabela de custos da amostra
<a name="sample-cost-table"></a>

O custo total para executar essa solução depende dos seguintes fatores:
+ O número de contas de membros do AWS Security Hub
+ O número de remediações ativas invocadas automaticamente
+ A frequência da remediação

Essa solução usa os seguintes componentes da AWS, que incorrem em um custo com base na sua configuração. Exemplos de preços são fornecidos para organizações de pequeno, médio e grande porte.


| Serviço | Nível gratuito | Preços [USD] | 
| --- | --- | --- | 
|   [AWS Systems Manager Automation — Contagem de etapas](https://aws.amazon.com/systems-manager/pricing/)   |  Sem nível gratuito  |  Cada etapa básica é cobrada a 0,002 USD por etapa. Para automações de várias contas, todas as etapas, incluindo aquelas executadas em qualquer conta secundária, são contadas somente na conta de origem.  | 
|   [AWS Systems Manager Automation — Duração da etapa](https://aws.amazon.com/systems-manager/pricing/)   |  Sem nível gratuito  |  Cada etapa `aws:executeScript` da ação é cobrada em 0,00003 USD por cada segundo.  | 
|   [AWS Systems Manager Automation — Armazenamento](https://aws.amazon.com/systems-manager/pricing/)   |  Sem nível gratuito  |  0,046 USD por GB por mês  | 
|   [AWS Systems Manager Automation — Transferência de dados](https://aws.amazon.com/systems-manager/pricing/)   |  Sem nível gratuito  |  0,900 USD por GB transferido (para contas cruzadas ou) out-of-Region  | 
|   [AWS Security Hub CSPM — Verificações de segurança](https://aws.amazon.com/security-hub/cspm/pricing/)   |  Sem nível gratuito  |  Os primeiros 100.000 checks/account/Region/month custam \$10,0010 por cheque Os próximos 400.000 checks/account/Region/month custam \$10,0008 por cheque Mais de 500.000 checks/account/Region/month custam \$10,0005 por cheque  | 
|   [AWS Security Hub CSPM — Encontrando eventos de ingestão](https://aws.amazon.com/security-hub/cspm/pricing/)   |  Os primeiros 10.000 events/account/Region/month são gratuitos. Encontrar eventos de ingestão associados às verificações de segurança do Security Hub.  |  Mais de 10.000 events/account/Region/month custam \$10,00003 por evento  | 
|   [Amazon CloudWatch - Métricas](https://aws.amazon.com/cloudwatch/pricing/)   |  Métricas básicas de monitoramento (com frequência de 5 minutos) 10 Métricas de monitoramento detalhadas (com frequência de 1 minuto) 1 1 milhão de solicitações de API (não aplicável a GetMetricData, GetInsightRuleReport e GetMetricWidgetImage)  |  As primeiras 10.000 métricas custam 0,30 USD por mês As próximas 240.000 métricas custam 0,10 USD por mês As próximas 750.000 métricas custam 0,05 USD por mês Mais de 1.000.000 de métricas custam 0,02 USD por mês As chamadas de API custam 0,01 USD por 1.000 solicitações  | 
|   [Amazon CloudWatch - Painel](https://aws.amazon.com/cloudwatch/pricing/)   |  3 painéis para até 50 métricas por mês  |  \$13,00 por painel por mês  | 
|   [Amazon CloudWatch - Alarmes](https://aws.amazon.com/cloudwatch/pricing/)   |  10 métricas de alarme (não aplicáveis a alarmes de alta resolução)  |  A resolução padrão (60 segundos) custa 0,10 USD por métrica de alarme A alta resolução (10 segundos) custa 0,30 USD por métrica de alarme A detecção de anomalias com resolução padrão custa 0,30 USD por alarme A detecção de anomalias de alta resolução custa \$10,90 por alarme O composto custa \$10,50 por alarme  | 
|   [Amazon CloudWatch - Coleção de registros](https://aws.amazon.com/cloudwatch/pricing/)   |  Dados de 5 GB (ingestão, armazenamento de arquivos e dados digitalizados por consultas do Logs Insights)  |  0,50 USD por GB  | 
|   [Amazon CloudWatch - Armazenamento de registros](https://aws.amazon.com/cloudwatch/pricing/)   |  Dados de 5 GB (ingestão, armazenamento de arquivos e dados digitalizados por consultas do Logs Insights)  |  0,005 USD por GB de dados digitalizados  | 
|   [AWS Lambda — Solicitações](https://aws.amazon.com/lambda/pricing/)   |  1 milhão de solicitações gratuitas por mês  |  0,20 USD por 1 milhão de solicitações  | 
|   [AWS Lambda - Duração](https://aws.amazon.com/lambda/pricing/)   |  400.000 GB-segundos de tempo de computação por mês  |  0,0000166667 USD por cada GB-segundo. O preço da duração depende da quantidade de memória que você aloca para sua função. Você pode alocar qualquer quantidade de memória para sua função entre 128 MB e 10.240 MB, em incrementos de 1 MB.  | 
|   [AWS Step Functions — Transições de estado](https://aws.amazon.com/step-functions/pricing/)   |  4.000 transições de estado gratuitas por mês  |  0,025 USD por 1.000 transições de estado posteriores  | 
|   [Amazon EventBridge](https://aws.amazon.com/eventbridge/pricing/)   |  Todos os eventos de mudança de estado publicados pelos serviços da AWS são gratuitos  |  Eventos personalizados custam 1,00 USD/milhão de eventos personalizados publicados Eventos de terceiros (SaaS) custam 1,00 USD/milhão de eventos publicados Eventos entre contas custam 1,00 USD/milhão de eventos enviados entre contas  | 
|   [Amazon SNS](https://aws.amazon.com/sns/pricing/)   |  Os primeiros 1 milhão de solicitações do Amazon SNS por mês são gratuitas  |  0,50 USD por 1 milhão de solicitações posteriores  | 
|   [Amazon SQS](https://aws.amazon.com/sqs/pricing/)   |  Os primeiros 1 milhão de solicitações do Amazon SQS por mês são gratuitas  |  0,40 USD por 1 milhão a 100 bilhões de solicitações posteriores  | 
|   [Amazon DynamoDB](https://aws.amazon.com/dynamodb/pricing/)   |  Os primeiros 25 GB de armazenamento são gratuitos  |  2,00 USD por 1 milhão de leituras e gravações consistentes a partir de então  | 
|   [AWS Key Management Service](https://aws.amazon.com/kms/pricing/)   |  20.000 solicitações/mês  |  1,00 USD por 1 chave KMS. 0,03 USD por 10.000 solicitações de API. Para chaves KMS que você gira automaticamente ou sob demanda, a primeira e a segunda rotação da chave adicionam \$11/mês (rateado por hora) em custo.  **Observação: essa solução inclui otimizações de cache do KMS (chaves de bucket do S3, reutilização de chaves de dados SQS em 60 minutos, armazenamento em cache de 5 minutos do Secrets Manager) que reduzem as chamadas à API KMS em aproximadamente 70%.**   | 
|   [Amazon Cognito](https://aws.amazon.com/cognito/pricing/)   |  No nível Essentials, os primeiros 10.000 usuários ativos mensais são gratuitos. Observação: esse nível gratuito é de 50 usuários ativos mensais quando os usuários se autenticam via IdP externo (SAML/OIDC).  |  0,015 USD por usuário ativo mensal com mais de 10.000 usuários.  | 
|   [Amazon CloudFront](https://aws.amazon.com/cloudfront/pricing/)   |  O nível gratuito inclui 1 TB de transferência de dados e 10.000.000 de solicitações HTTP ou HTTPS por mês.  |  (US/Canada/Mexico) Os primeiros 9 TB custam 0,085 USD por mês. Os próximos 40 TB custam 0,080 USD por mês. 0,0075 USD por solicitação HTTP. 0,0100 USD por solicitação HTTPS.  | 
|   [Amazon S3](https://aws.amazon.com/s3/pricing/)   |  Sem nível gratuito  |  Os primeiros 50 TB custam 0,023 USD por GB por mês. 0,005 USD por 1.000 solicitações PUT, COPY, POST, LIST. 0,0004 USD por 1.000 solicitações GET, SELECT e todas as outras.  | 
|   [Amazon API Gateway](https://aws.amazon.com/api-gateway/pricing/)   |  1 milhão de chamadas de API REST nos primeiros 12 meses de uso.  |  \$13,50 por milhão para as primeiras 333 milhões de chamadas de API.  | 

## Otimização de custos do KMS
<a name="kms-optimization"></a>

Desde a **versão 3.1.0**, essa solução inclui otimizações de cache do KMS que reduzem os custos de operação criptográfica em aproximadamente 70%
+  **Chaves de bucket do S3**: reduz as GenerateDataKey chamadas do KMS para operações de criptografia do S3
+  **Reutilização da chave de dados SQS**: período de cache de 60 minutos para criptografia de mensagens
+  **Secrets Manager Caching**: TTL de 5 minutos em funções Lambda

 **Impacto no desempenho**: essas otimizações melhoram a latência em 10 a 15 ms para operações do S3 e fluxos de trabalho completos, ao mesmo tempo em que reduzem os custos, sem degradação da taxa de transferência.

## Exemplos de preços (por mês)
<a name="pricing-examples"></a>

### Exemplo 1:300 remediações por mês
<a name="example-1-300-remediations-per-month"></a>
+ 10 contas, 1 região
+ 30 remediações por account/Region/month
+ 500 descobertas do Security Hub processadas por account/Region/month
+  **UI da Web desativada** 
+  **Registro de ações desativado** 
+ Custo total \$114,70 por mês


| Serviço | Suposições | Cobranças mensais [USD] | 
| --- | --- | --- | 
|  AWS Systems Manager Automation  |  Etapas: \$14 etapas\$1 300 remediações\$1 0,002 USD = 2,40 USD Duração: 10s \$1 300 remediações\$1 0,00003 USD = 0,09 USD  |  \$12,49  | 
|  AWS Security Hub  |  Nenhum serviço faturável utilizado  |  \$10  | 
|   CloudWatch Registros da Amazon  |  0,50 USD por GB  |  < 0,01 US\$1  | 
|  AWS Lambda — Solicitações  |  300 remediações \$1 7 solicitações = 2.100 solicitações 5.000 descobertas \$1 1 solicitação = 5.000 solicitações 0,20 USD/ 1.000.000 de solicitações = 0,0000002 USD por solicitação  |  \$10,00142  | 
|  AWS Lambda - Duração  |  (512MB de memória) 4.000 ms \$1 300 remediações \$1 0,0000000083 USD = 0,00996 USD 449 ms \$1 5.000 descobertas \$1 0,0000000083 USD = 0,0186 USD  |  \$10,029  | 
|  AWS Step Functions  |  19 transições de estado\$1 300 remediações = 5.700 0,025 USD\$1 (5.700/1.000) transições de estado = 0,14 USD  |  0,14 US\$1  | 
|   EventBridge Regras da Amazon  |  Sem cobrança pelas regras  |  \$10  | 
|  AWS Key Management Service  |  1 chave\$1 10 contas\$1 1 região\$1 \$11 = \$110 (Criptografar/descriptografar solicitações de API) (300 remediações \$1 2 solicitações) \$1 (5.000 descobertas \$1 4 solicitações) = 20.600 solicitações Com o cache KMS: 20.600 \$1 0,30 = 6.180 solicitações 0,03 USD por 10.000 solicitações ⇒ 0,03 USD\$1 (6.180/ 10.000) = 0,02 USD  |  \$110,02  | 
|  Amazon DynamoDB  |  2,00 USD\$1 1.000.000 de leitura e gravação = 2,00 USD (Tabela de resultados) 15 MB \$1 10 contas \$1 1 região = 150 MB (Tabela de histórico) 10 MB \$1 10 contas \$1 1 região = 100 MB 0,25 USD por GB por mês \$1 0,25 GB = 0,0625 USD  |  \$12.0625  | 
|  Amazon SQS  |  0,40 USD\$1 1.000.000 de solicitações = 0,40 USD  |  \$10,40  | 
|  Amazon SNS  |  0,50 USD\$1 (600/ 1.000.000 de notificações) = 0,0003 USD  |  \$10,0003  | 
|  Amazon CloudWatch - Métricas  |  (Métricas aprimoradas desativadas) 0,30 USD\$1 7 métricas personalizadas = 2,10 US\$1 0,01 USD\$1 (300 chamadas de API de métricas de colocação/ 1.000) = 0,003 USD  |  \$12,10  | 
|  Amazon CloudWatch - Painéis  |  \$13,00 \$1 1 painel = \$13,00  |  \$13,00  | 
|  Amazon CloudWatch - Alarmes  |  (Métricas aprimoradas desativadas) 0,10 USD\$1 4 alarmes = 0,40 US\$1  |  \$10,40  | 
|  Amazon CloudWatch - X-Ray Traces  |  300 remediações \$1 7 solicitações = 2.100 invocações do Lambda 5.000 descobertas \$1 1 solicitação = 5.000 invocações Lambda 0,000005 USD por rastreamento \$1 7.100 traços = 0,0355 USD  |  \$10,0355  | 
|   **Total**   |  |   **\$114,70**   | 

### Exemplo 2:300 correções por mês (interface de usuário da Web ativada)
<a name="example-2-300-remediations-per-month"></a>
+ 10 contas, 1 região
+ 30 remediações por account/Region/month
+ 5.000 descobertas do Security Hub processadas por account/Region/month
+  **UI da Web ativada** 
+  **Registro de ações desativado** 
+ Custo total: \$136,35 por mês


| Serviço | Suposições | Cobranças mensais [USD] | 
| --- | --- | --- | 
|  AWS Systems Manager Automation  |  Etapas: \$14 etapas\$1 300 remediações\$1 0,002 USD = 2,40 USD Duração: 10s \$1 300 remediações\$1 0,00003 USD = 0,09 USD  |  \$12,49  | 
|  AWS Security Hub  |  Nenhum serviço faturável utilizado  |  \$10  | 
|   CloudWatch Registros da Amazon  |  0,50 USD por GB  |  < 0,01 US\$1  | 
|  AWS Lambda — Solicitações  |  300 remediações \$1 7 solicitações = 2.100 solicitações 5.000 descobertas \$1 1 solicitação = 5.000 solicitações 0,20 USD/ 1.000.000 de solicitações = 0,0000002 USD por solicitação  |  \$10,00142  | 
|  AWS Lambda - Duração  |  (512MB de memória) 4.000 ms \$1 300 remediações \$1 0,0000000083 USD = 0,00996 USD 449 ms \$1 5.000 descobertas \$1 0,0000000083 USD = 0,0186 USD  |  \$10,029  | 
|  AWS Step Functions  |  19 transições de estado\$1 300 remediações = 5.700 0,025 USD\$1 (5.700/1.000) transições de estado = 0,14 USD  |  0,14 US\$1  | 
|   EventBridge Regras da Amazon  |  Sem cobrança pelas regras  |  \$10  | 
|  AWS Key Management Service  |  1 chave\$1 10 contas\$1 1 região\$1 \$11 = \$110 (Criptografar/descriptografar solicitações de API) (300 remediações \$1 2 solicitações) \$1 (5.000 descobertas \$1 4 solicitações) = 20.600 solicitações 0,03 USD por 10.000 solicitações ⇒ 0,03 USD\$1 (20.600/10.000) = 0,06 USD  |  \$110,06  | 
|  Amazon DynamoDB  |  2,00 USD\$1 1.000.000 de leitura e gravação = 2,00 USD (Tabela de resultados) 15 MB \$1 10 contas \$1 1 região = 150 MB (Tabela de histórico) 10 MB \$1 10 contas \$1 1 região = 100 MB 0,25 USD por GB por mês \$1 0,25 GB = 0,0625 USD  |  \$12.0625  | 
|  Amazon SQS  |  0,40 USD\$1 1.000.000 de solicitações = 0,40 USD  |  \$10,40  | 
|  Amazon SNS  |  0,50 USD\$1 (600/ 1.000.000 de notificações) = 0,0003 USD  |  \$10,0003  | 
|  Amazon CloudWatch - Métricas  |  (Métricas aprimoradas desativadas) 0,30 USD\$1 7 métricas personalizadas = 2,10 US\$1 0,01 USD\$1 (300 chamadas de API de métricas de colocação/ 1.000) = 0,003 USD  |  \$12,10  | 
|  Amazon CloudWatch - Painéis  |  \$13,00 \$1 1 painel = \$13,00  |  \$13,00  | 
|  Amazon CloudWatch - Alarmes  |  (Métricas aprimoradas desativadas) 0,10 USD\$1 4 alarmes = 0,40 US\$1  |  \$10,40  | 
|  Amazon CloudWatch - X-Ray Traces  |  300 remediações \$1 7 solicitações = 2.100 invocações do Lambda 5.000 descobertas \$1 1 solicitação = 5.000 invocações Lambda 0,000005 USD por rastreamento \$1 7.100 traços = 0,0355 USD  |  \$10,0355  | 
|  Amazon Cognito  |  (Nível Essentials) 500 usuários ativos mensais  |  \$10  | 
|  Amazon CloudFront  |  Transferência regional de dados para a origem (por GB) = 0,020 USD Transferência regional de dados para a Internet (por GB) = 0,085 USD Solicite preços para todos os métodos HTTP (por 10.000) = 0,0075 USD  |  \$10,1125  | 
|  Amazon S3  |  (Hospedagem de interface do usuário) 0,023 USD por GB \$1 0,002 GB = 0,000046 USD (Exportação de histórico) 0,023 USD por GB \$1 0,50 GB = 0,0125 USD 0,0004 USD por 1.000 solicitações GET  |  0,0125 USD  | 
|  AWS WAF  |  1 Web ACL = 5,00 USD por mês 7 regras \$1 1,00 USD por regra = 7,00 USD  |  \$112  | 
|  Amazon API Gateway  |  3,50 USD por milhão de chamadas de API REST  |  \$13,50  | 
|   **Total**   |  |   **\$136,35**   | 

### Exemplo 3:3.000 remediações por mês
<a name="example-3-3000-remediations-per-month"></a>
+ 100 contas, 1 região
+ 30 remediações por account/Region/month
+ 500 descobertas do Security Hub processadas por account/Region/month
+  **UI da Web desativada** 
+  **Registro de ações desativado** 
+ Custo total: \$1106,40 por mês


| Serviço | Suposições | Cobranças mensais [USD] | 
| --- | --- | --- | 
|  AWS Systems Manager Automation  |  Etapas: \$14 etapas\$1 3.000 remediações\$1 0,002 USD = 24,00 USD Duração: 10s \$1 3.000 remediações\$1 0,00003 USD = 0,90 USD  |  \$124,90  | 
|  AWS Security Hub  |  Nenhum serviço faturável utilizado  |  \$10  | 
|   CloudWatch Registros da Amazon  |  0,50 USD por GB  |  < 0,01 US\$1  | 
|  AWS Lambda — Solicitações  |  3.000 remediações \$1 7 solicitações = 2.100 solicitações 50.000 descobertas \$1 1 solicitação = 50.000 solicitações 0,20 USD/ 1.000.000 de solicitações = 0,0000002 USD por solicitação  |  \$10,01  | 
|  AWS Lambda - Duração  |  (512MB de memória) 4.000 ms \$1 3.000 remediações \$1 0,0000000083 USD = 0,0996 USD 449 ms \$1 50.000 descobertas \$1 0,0000000083 USD = 0,186 USD  |  0,29 US\$1  | 
|  AWS Step Functions  |  19 transições de estado\$1 3.000 remediações = 57.000 transições de estado de 0,025 USD\$1 (57.000/1.000) = 1,425 USD  |  \$11.425  | 
|   EventBridge Regras da Amazon  |  Sem cobrança pelas regras  |  \$10  | 
|  AWS Key Management Service  |  1 chave \$1 100 contas\$1 1 região\$1 \$11 = \$1100 (Criptografar/descriptografar solicitações de API) (3.000 remediações \$1 2 solicitações) \$1 (50.000 descobertas \$1 4 solicitações) = 206.000 solicitações Com o cache KMS: 206.000 \$1 0,30 = 61.800 solicitações 0,03 USD por 10.000 solicitações ⇒ 0,03 USD\$1 (61.800/ 10.000) = 0,185 USD  |  \$1100.185  | 
|  Amazon DynamoDB  |  2,00 USD\$1 1.000.000 de leitura e gravação = 2,00 USD (Tabela de resultados) 15 MB \$1 100 contas \$1 1 região = 1.500 MB (Tabela de histórico) 10 MB \$1 100 contas \$1 1 região = 1.000 MB 0,25 USD por GB por mês \$1 2,5 GB = 0,625 USD  |  \$12.625  | 
|  Amazon SQS  |  0,40 USD\$1 1.000.000 de solicitações = 0,40 USD  |  \$10,40  | 
|  Amazon SNS  |  0,50 USD\$1 1.000.000 de notificações = 0,50 USD  |  \$10,50  | 
|  Amazon CloudWatch - Métricas  |  (Métricas aprimoradas desativadas) 0,30 USD\$1 7 métricas personalizadas = 2,10 US\$1 0,01 USD\$1 (3.000/ 1.000) chamadas de API de métricas de colocação = 0,03 USD  |  \$12,13  | 
|  Amazon CloudWatch - Painéis  |  \$13,00 \$1 1 painel = \$13,00  |  \$13,00  | 
|  Amazon CloudWatch - Alarmes  |  0,10 USD\$1 4 alarmes = 0,40 US\$1  |  \$10,40  | 
|  Amazon CloudWatch - X-Ray Traces  |  3.000 remediações \$1 7 solicitações = 2.100 invocações do Lambda 50.000 descobertas \$1 1 solicitação = 50.000 invocações do Lambda 0,000005 USD por rastreamento \$1 52.100 traços = 0,2605 USD  |  \$10.2605  | 
|   **Total**   |  |   **\$1106,40**   | 

### Exemplo 4:30.000 remediações por mês
<a name="example-4-30000-remediations-per-months"></a>
+ 1.000 contas, 10 regiões
+ 30 remediações por account/Region/month
+ 500 descobertas do Security Hub processadas por account/Region/month
+  **UI da Web desativada** 
+  **Registro de ações desativado** 
+ Custo total: \$17.360,00 por mês


| Serviço | Suposições | Cobranças mensais [USD] | 
| --- | --- | --- | 
|  AWS Systems Manager Automation  |  Etapas: \$14 etapas\$1 30.000 remediações\$1 0,002 USD = 240,00 USD Duração: 10s \$1 30.000 remediações\$1 0,00003 USD = 9,00 USD  |  \$1249,00  | 
|  AWS Security Hub  |  Nenhum serviço faturável utilizado  |  \$10  | 
|   CloudWatch Registros da Amazon  |  0,50 USD por GB  |  < 0,01 US\$1  | 
|  AWS Lambda — Solicitações  |  30.000 remediações \$1 7 solicitações = 210.000 solicitações 5.000.000 de descobertas \$1 1 solicitação = 5.000.000 de solicitações 0,20 USD/ 1.000.000 de solicitações = 0,0000002 USD por solicitação  |  \$11.042  | 
|  AWS Lambda - Duração  |  (512MB de memória) 4.000 ms \$1 30.000 remediações \$1 0,0000000083 USD = 0,996 USD 449 ms \$1 5.000.000 de descobertas \$1 0,0000000083 USD = 18,63 USD  |  \$119,63  | 
|  AWS Step Functions  |  19 transições de estado\$1 30.000 remediações = 570.000 transições de estado de 0,025 USD\$1 (570.000/1.000) = 14,25 US\$1  |  \$114,25  | 
|   EventBridge Regras da Amazon  |  Sem cobrança pelas regras  |  \$10  | 
|  AWS Key Management Service  |  (1 chave) \$11 \$1 1.000 contas\$1 10 regiões = \$110.000 (Criptografar/descriptografar solicitações de API) (30.000 remediações \$1 2 solicitações) \$1 (5.000.000 de descobertas \$1 4 solicitações) = 20.060.000 solicitações Com o cache KMS: 20.060.000 \$1 0,30 = 6.018.000 solicitações 0,03 USD por 10.000 solicitações ⇒ 0,03 USD\$1 (6.018.000/10.000) = 18,05 USD  |  \$110.018,05  | 
|  Amazon DynamoDB  |  \$12,00 \$1 (10.000.000 de leitura e gravação/ 1.000.000) = \$120,00 (Tabela de resultados) 15 MB \$1 1000 contas \$1 10 regiões = 150 GB (Tabela de histórico) 10 MB \$1 1000 contas \$1 10 regiões = 100 GB 0,25 USD por GB por mês \$1 250 GB = 62,50 USD  |  \$182,50  | 
|  Amazon SQS  |  0,40 USD\$1 (5.060.000 solicitações/1.000.000) = 2,024 USD  |  \$12.024  | 
|  Amazon SNS  |  0,000005 USD\$1 1.000.000 de notificações = 0,50 USD  |  \$10,50  | 
|  Amazon CloudWatch - Métricas  |  (Métricas aprimoradas desativadas) 0,30 USD\$1 7 métricas personalizadas = 2,10 US\$1 0,01 USD\$1 (30.000/1.000) chamadas de API de métricas de colocação = 0,30 USD  |  \$12,40  | 
|  Amazon CloudWatch - Painéis  |  \$13,00 \$1 1 painel = \$13,00  |  \$13,00  | 
|  Amazon CloudWatch - Alarmes  |  (Métricas aprimoradas desativadas) 0,10 USD\$1 4 alarmes = 0,40 US\$1  |  \$10,40  | 
|  Amazon CloudWatch - X-Ray Traces  |  30.000 remediações \$1 7 solicitações = 210.000 invocações do Lambda 5.000.000 de descobertas \$1 1 solicitação = 5.000.000 de invocações Lambda 0,000005 USD por rastreamento \$1 5.210.000 traços = 26,05 USD  |  \$126,05  | 
|   **Total**   |  |   **\$17.360,00**   | 

### Exemplo 5:30.000 correções por mês (interface de usuário da Web ativada)
<a name="example-5-30000-remediations-per-months"></a>
+ 1.000 contas, 10 regiões
+ 30 remediações por account/Region/month
+ 500 descobertas do Security Hub processadas por account/Region/month
+  **UI da Web ativada** 
+  **Registro de ações desativado** 
+ Custo total: \$17.380,10 por mês


| Serviço | Suposições | Cobranças mensais [USD] | 
| --- | --- | --- | 
|  AWS Systems Manager Automation  |  Etapas: \$14 etapas\$1 30.000 remediações\$1 0,002 USD = 240,00 USD Duração: 10s \$1 30.000 remediações\$1 0,00003 USD = 9,00 USD  |  \$1249,00  | 
|  AWS Security Hub  |  Nenhum serviço faturável utilizado  |  \$10  | 
|   CloudWatch Registros da Amazon  |  0,50 USD por GB  |  < 0,01 US\$1  | 
|  AWS Lambda — Solicitações  |  30.000 remediações \$1 7 solicitações = 210.000 solicitações 5.000.000 de descobertas \$1 1 solicitação = 5.000.000 de solicitações 0,20 USD/ 1.000.000 de solicitações = 0,0000002 USD por solicitação  |  \$11.042  | 
|  AWS Lambda - Duração  |  (512MB de memória) 4.000 ms \$1 30.000 remediações \$1 0,0000000083 USD = 0,996 USD 449 ms \$1 5.000.000 de descobertas \$1 0,0000000083 USD = 18,63 USD  |  \$119,63  | 
|  AWS Step Functions  |  19 transições de estado\$1 30.000 remediações = 570.000 transições de estado de 0,025 USD\$1 (570.000/1.000) = 14,25 US\$1  |  \$114,25  | 
|   EventBridge Regras da Amazon  |  Sem cobrança pelas regras  |  \$10  | 
|  AWS Key Management Service  |  (1 chave) \$11 \$1 1.000 contas\$1 10 regiões = \$110.000 (Criptografar/descriptografar solicitações de API) (30.000 remediações \$1 2 solicitações) \$1 (5.000.000 de descobertas \$1 4 solicitações) = 20.060.000 solicitações Com o cache KMS: 20.060.000 \$1 0,30 = 6.018.000 solicitações 0,03 USD por 10.000 solicitações ⇒ 0,03 USD\$1 (6.018.000/10.000) = 18,05 USD  |  \$110.018,05  | 
|  Amazon DynamoDB  |  \$12,00 \$1 (10.000.000 de leitura e gravação/ 1.000.000) = \$120,00 (Tabela de resultados) 15 MB \$1 1000 contas \$1 10 regiões = 150 GB (Tabela de histórico) 10 MB \$1 1000 contas \$1 10 regiões = 100 GB 0,25 USD por GB por mês \$1 250 GB = 62,50 USD  |  \$182,50  | 
|  Amazon SQS  |  0,40 USD\$1 (5.060.000 solicitações/1.000.000) = 2,024 USD  |  \$12.024  | 
|  Amazon SNS  |  0,000005 USD\$1 1.000.000 de notificações = 0,50 USD  |  \$10,50  | 
|  Amazon CloudWatch - Métricas  |  (Métricas aprimoradas desativadas) 0,30 USD\$1 7 métricas personalizadas = 2,10 US\$1 0,01 USD\$1 (30.000/1.000) chamadas de API de métricas de colocação = 0,30 USD  |  \$12,40  | 
|  Amazon CloudWatch - Painéis  |  \$13,00 \$1 1 painel = \$13,00  |  \$13,00  | 
|  Amazon CloudWatch - Alarmes  |  (Métricas aprimoradas desativadas) 0,10 USD\$1 4 alarmes = 0,40 US\$1  |  \$10,40  | 
|  Amazon CloudWatch - X-Ray Traces  |  30.000 remediações \$1 7 solicitações = 210.000 invocações do Lambda 5.000.000 de descobertas \$1 1 solicitação = 5.000.000 de invocações Lambda 0,000005 USD por rastreamento \$1 5.210.000 traços = 26,05 USD  |  \$126,05  | 
|  Amazon Cognito  |  (Nível Essentials) 5.000 usuários ativos mensais  |  \$10  | 
|  Amazon CloudFront  |  Transferência regional de dados para a origem (por GB) = 0,020 USD Transferência regional de dados para a Internet (por GB) = 0,085 USD Solicite preços para todos os métodos HTTP (por 10.000) = 0,0075 USD  |  \$10,1125  | 
|  Amazon S3  |  (Hospedagem de interface do usuário) 0,023 USD por GB \$1 0,002 GB = 0,000046 USD (Exportação de histórico) 0,023 USD por GB \$1 100 GB = 2,30 USD 0,0004 USD por 1.000 solicitações GET \$1 5.000 solicitações = 2,00 USD  |  \$14,30  | 
|  AWS WAF  |  1 Web ACL = 5,00 USD por mês 7 regras \$1 1,00 USD por regra = 7,00 USD  |  \$112  | 
|  Amazon API Gateway  |  3,50 USD por milhão de chamadas de API REST  |  \$13,50  | 
|   **Total**   |  |   **\$17.380,10**   | 

**Importante**  
 **Custos de rotação de chaves do KMS** O AWS Key Management Service (KMS) alterna automaticamente as chaves gerenciadas pelo cliente uma vez por ano quando a rotação está ativada. Cada rotação tem um custo de \$11,00 por chave por ano. Por exemplo, com 1.000 contas em uma única região, isso resulta em um adicional de \$11000/ano (1 rotação × 1000 chaves × \$11,00).

## Custo adicional para recursos opcionais
<a name="additional-cost-optional"></a>

Esta seção identifica os custos adicionais associados aos recursos opcionais dessa solução.

### CloudWatch Métricas aprimoradas
<a name="additional-cost-enhanced-metrics"></a>

Se você selecionar `yes` o **EnableEnhancedCloudWatchMetrics**parâmetro ao implantar a pilha de administração, a solução criará duas métricas personalizadas e um alarme para cada ID de controle. O custo depende do número de controles IDs que você está remediando. Na tabela a seguir, presumimos que você esteja remediando todos os 96 controles diferentes IDs por mês, para determinar o limite superior dos custos.


| Serviço | Pressupostos 96 IDs control\$1 2 = 192 métricas personalizadas | Cobranças mensais [USD] | 
| --- | --- | --- | 
|  Amazon CloudWatch - Métricas  |  0,30 USD\$1 192 métricas personalizadas = 57,60 USD  |  \$157,60  | 
|  Amazon CloudWatch - Alarmes  |  0,10 USD\$1 96 alarmes = 9,60 US\$1  |  \$19,60  | 
|   **Total**   |  |   **\$167,20**   | 

### CloudTrail Registro de ações
<a name="additional-cost-action-log"></a>

Em cada conta de membro para a qual você ativa o recurso Action Log, as soluções criam uma CloudTrail trilha para registrar todos os eventos de gerenciamento de gravação. Uma função Lambda filtra eventos não relacionados à solução. Isso significa que o custo está relacionado ao número total de eventos de gerenciamento em sua conta, pois os eventos não relacionados à solução ainda são capturados pela trilha e processados pela função Lambda.

Para a tabela a seguir, presumimos 150.000 eventos de gerenciamento por mês na conta. O custo real depende da atividade real do evento de gerenciamento em sua conta.


| Serviço | Suposições | Cobranças mensais [USD] | 
| --- | --- | --- | 
|  AWS CloudTrail  |  150.000 \$1 \$12,00/100.000 = \$13,00  |  \$13,00  | 
|  Lambda  |  150.000 \$1 0,2 \$1 0,125 = 3.750 GB por segundo 3.750 \$1 0,0000166667 USD = custo de tempo de computação de 0,0625 USD 0,15 \$1 0,20 USD = custo de solicitação de 0,03 USD 0,0625 USD \$1 0,03 USD = custo total do Lambda de 0,0952 USD  |  \$10,0925  | 
|   **Total**   |  |   **\$13,09 por conta de membro**   | 

# Segurança
<a name="security"></a>

Quando você cria sistemas na infraestrutura da AWS, as responsabilidades de segurança são compartilhadas entre você e a AWS. Esse [modelo compartilhado](https://aws.amazon.com/compliance/shared-responsibility-model/) reduz sua carga operacional porque a AWS opera, gerencia e controla os componentes, incluindo o sistema operacional do host, a camada de virtualização e a segurança física das instalações nas quais os serviços operam. Para obter mais informações sobre a segurança da AWS, visite a [AWS Cloud Security](https://aws.amazon.com/security/).

## Política de segurança do API Gateway
<a name="api-gateway-security-policy"></a>

Se você optar por ativar a interface de usuário da Web da solução, uma API REST do API Gateway será implantada junto com a CloudFormation pilha de administração, que serve como back-end para todas as operações na interface do usuário da Web. A API REST implantada pela solução usa a política de segurança TLS padrão para o API Gateway, que é regional`TLS-1-0`. APIs

No entanto, depois de implantar a CloudFormation pilha Admin, você pode optar por personalizar a API REST da solução adicionando uma política de segurança TLS mais restritiva. Por exemplo, você pode escolher a opção de `TLS_1_2 security policy` restringir o tráfego usando TLSv1 .2 ou TLSv1 .3. Você pode encontrar a API REST da solução no console do API Gateway abaixo do nome **AutomatedSecurityResponseApi**.

Para escolher uma política de segurança para a API REST da solução, você deve primeiro configurar um nome de domínio personalizado. Para obter mais informações, consulte [Nome de domínio personalizado para REST público APIs no API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/how-to-custom-domains.html).

Para obter mais informações sobre como adicionar uma política de segurança à sua API REST, consulte [Escolha uma política de segurança para seu domínio personalizado da API REST no API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-custom-domain-tls-version.html) no guia do API Gateway.

# Perfis do IAM
<a name="iam-roles"></a>

As funções do AWS Identity and Access Management (IAM) permitem que os clientes atribuam políticas e permissões de acesso granulares a serviços e usuários na nuvem da AWS. Essa solução cria funções do IAM que concedem às funções automatizadas da solução acesso para realizar ações de remediação dentro de um conjunto restrito de permissões específicas para cada remediação.

A função Step da conta de administrador é atribuída à função SO0111-ASR-Orchestrator-Admin . Somente essa função pode assumir o SO0111-Orchestrator-Member em cada conta de membro. Cada função de remediação permite que a função de membro seja transmitida ao serviço AWS Systems Manager para executar runbooks de remediação específicos. Os nomes das funções de remediação começam com SO0111, seguidos por uma descrição correspondente ao nome do runbook de remediação. Por exemplo, SO0111-Remove VPCDefault SecurityGroupRules é a função do runbook de remediação ASR-Remove. VPCDefault SecurityGroupRules 

## Regiões da AWS compatíveis
<a name="supported-aws-regions"></a>

**Importante**  
A ativação de recursos opcionais na solução pode reduzir a lista de regiões com suporte para implantação. Em outras palavras, a lista abaixo se aplica somente aos componentes principais da solução. Por exemplo, se você optar por habilitar a interface de usuário da Web, não poderá implantar a solução em GovCloud regiões, pois [não CloudFront é suportada nos GovCloud (EUA), em novembro de 2025](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/setting-up-cloudfront.html).


| Nome da região | Código da região | 
| --- | --- | 
|  Leste dos EUA (Ohio)  |  us-east-2  | 
|  Leste dos EUA (Norte da Virgínia)  |  us-east-1  | 
|  Oeste dos EUA (Norte da Califórnia)  |  us-west-1  | 
|  Oeste dos EUA (Oregon)  |  us-west-2  | 
|  África (Cidade do Cabo)  |  af-south-1  | 
|  Ásia-Pacífico (Hong Kong)  |  ap-east-1  | 
|  Ásia-Pacífico (Hyderabad)  |  ap-south-2  | 
|  Ásia-Pacífico (Jacarta)  |  ap-southeast-3  | 
|  Ásia-Pacífico (Melbourne)  |  ap-southeast-4  | 
|  Ásia-Pacífico (Mumbai)  |  ap-south-1  | 
|  Ásia-Pacífico (Osaka)  |  ap-northeast-3  | 
|  Ásia-Pacífico (Seul)  |  ap-northeast-2  | 
|  Ásia-Pacífico (Singapura)  |  ap-southeast-1  | 
|  Ásia-Pacífico (Sydney)  |  ap-southeast-2  | 
|  Ásia-Pacífico (Tóquio)  |  ap-northeast-1  | 
|  Canadá (Central)  |  ca-central-1  | 
|  Europa (Frankfurt)  |  eu-central-1  | 
|  Europa (Irlanda)  |  eu-west-1  | 
|  Europa (Londres)  |  eu-west-2  | 
|  Europa (Milão)  |  eu-south-1  | 
|  Europa (Paris)  |  eu-west-3  | 
|  Europa (Espanha)  |  eu-south-2  | 
|  Europa (Estocolmo)  |  eu-north-1  | 
|  Europa (Zurique)  |  eu-central-2  | 
|  Oriente Médio (Barém)  |  me-south-1  | 
|  Oriente Médio (Emirados Árabes Unidos)  |  me-central-1  | 
|  América do Sul (São Paulo)  |  sa-east-1  | 
|  AWS GovCloud (Leste dos EUA)  |  us-gov-east-1  | 
|  AWS GovCloud (Oeste dos EUA)  |  us-gov-west-1  | 
|  China (Pequim)  |  cn-north-1  | 
|  China (Ningxia)  |  cn-northwest-1  | 
|  Israel (Tel Aviv)  |  il-central-1  | 
|  Oeste do Canadá (Calgary)  |  ca-west-1  | 
|  México (Cidade do México)  |  mx-central-1  | 
|  Ásia-Pacífico (Tailândia)  |  ap-southeast-7  | 
|  Ásia-Pacífico (Malásia)  |  ap-southeast-5  | 

**nota**  
Qualquer nova região da AWS não listada pode ser suportada por meio da implantação local, mas não da implantação com um clique.

# Cotas
<a name="quotas"></a>

Service quotas, ou limites, representam o máximo de recursos ou operações de serviço permitidos em uma conta AWS.

## Cotas para serviços da AWS nesta solução
<a name="quotas-for-aws-services-in-this-solution"></a>

Verifique se você tem cota suficiente para cada um dos [serviços implementados nessa solução](architecture-details.md#aws-services-in-this-solution). Para obter mais informações, consulte as [cotas de serviços da AWS](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html).

Use os links a seguir para acessar a página desse serviço. Para visualizar as cotas de serviço de todos os serviços da AWS na documentação sem trocar de página, veja as informações na página de [endpoints e cotas do serviço](https://docs.aws.amazon.com/general/latest/gr/aws-general.pdf#aws-service-information) no PDF.

## CloudFormation Cotas da AWS
<a name="aws-cloudformation-quotas"></a>

Sua conta da AWS tem CloudFormation cotas da AWS que você deve conhecer ao [lançar a pilha](deployment.md#step-2) nesta solução. Ao compreender essas cotas, você pode evitar erros de limitação que o impediriam de implantar essa solução com êxito. Para obter mais informações, consulte [as CloudFormation cotas da AWS](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cloudformation-limits.html) no *Guia do CloudFormation usuário da AWS*.

## CloudWatch Cotas da AWS
<a name="aws-cloudwatch-quotas"></a>

Sua conta da AWS tem CloudWatch cotas da AWS vinculadas às políticas de CloudWatch recursos, que permitem apenas 10 políticas de recursos por região por conta. Isso não pode ser solicitado para aumentar a cota. Consulte [Cotas de CloudWatch registros da AWS no Guia](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch_limits_cwl.html) do usuário da *AWS CloudWatch *. Antes da implantação, verifique seu uso atual para garantir que você não ultrapasse esse limite ao implantar a solução.

## AWS Organizations
<a name="aws-org-quotas"></a>

As funções Lambda da solução fazem chamadas para a [API do AWS Organizations](https://docs.aws.amazon.com/organizations/latest/APIReference/Welcome.html) para buscar o alias da conta atual para incluir nas mensagens publicadas no tópico SNS da solução. Isso permite que nomes de contas legíveis por humanos sejam visíveis nas notificações da solução para fins de depuração e rastreamento.

O AWS Organizations impõe limites à frequência com que os clientes podem invocar seus endpoints de API. Se você achar que a solução está excedendo os limites definidos para sua conta, você pode desativar o recurso que busca e exibe o alias da conta.

Para fazer isso, **navegue até a função Lambda** chamada `SO0111-ASR-sendNotifications` localizada na região e na conta em que você implantou a pilha Admin. Em seguida, **localize a variável de ambiente** chamada `DISABLE_ACCOUNT_ALIAS_LOOKUP` e altere o valor de “Falso” para **“Verdadeiro”**. O campo de alias da conta nas notificações da solução agora será *“Desconhecido”*, mas isso não afetará a funcionalidade da solução.

# Implantação do AWS Security Hub
<a name="aws-security-hub-deployment"></a>

A implantação e a configuração do AWS Security Hub são um pré-requisito para essa solução. Para obter mais informações sobre como configurar o AWS Security Hub CSPM, consulte [Configurar o AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html) no Guia do usuário do *AWS Security* Hub. Essa solução também é compatível com o [AWS Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub-v2.html) (versão não CSPM). Para obter mais informações sobre como configurar o AWS Security Hub, consulte [Habilitando o Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-enable.html).

No mínimo, você deve ter um Security Hub ativo configurado em sua conta principal. Você pode implantar essa solução na mesma conta (e região da AWS) da conta principal do Security Hub. Em cada conta primária e secundária do Security Hub, você também deve implantar o modelo de membro que concede AssumeRole permissões ao AWS Step Functions da solução para executar runbooks de remediação na conta.

# Empilhamento versus implantação StackSets
<a name="stack-vs-stacksets-deployment"></a>

Um *conjunto de pilhas* permite criar pilhas em contas da AWS em todas as regiões da AWS usando um único modelo da AWS CloudFormation . A partir da versão 1.4, essa solução oferece suporte à implantação de conjuntos de pilhas dividindo os recursos com base em onde e como eles são implantados. Clientes com várias contas, especialmente aqueles que usam o AWS Organizations, podem se beneficiar do uso de conjuntos de pilhas para implantação em várias contas. Isso reduz o esforço necessário para instalar e manter a solução. Para obter mais informações sobre StackSets, consulte [Como usar a AWS CloudFormation StackSets](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/using-stacksets.html).