本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 成本
<a name="cost"></a>

您负责支付用于运行此解决方案的 AWS 服务的费用。

自本次修订以来，估计的每月费用为：
+ 小型部署（10 个账户，1 个区域-美国 East/N. Virginia): Approximately \$114.70 for 300 remediations/month
+ 中型部署（100 个账户，1 个区域-美国）East/N. Virginia): Approximately \$1106.40 for 3,000 remediations/month
+ 大规模部署（1,000 个账户，10 个区域）：每月 30,000 次修复费用约为 7,360.00 美元

**重要**  
价格可能会发生变化。有关完整详情，请参阅本解决方案中使用的每项 AWS 服务的定价页面。

**注意**  
许多 AWS 服务都包含免费套餐，即客户可以免费使用的基本服务量。实际成本可能高于或低于提供的定价示例。

我们建议通过 AWS Cost Explorer 成本管理服务创建[预算](https://docs.aws.amazon.com/cost-management/latest/userguide/budgets-create.html)，以帮助管理成本。价格可能会发生变化。有关完整详情，请参阅本解决方案中使用的每项 AWS 服务的定价网页。

## 费用表示例
<a name="sample-cost-table"></a>

运行此解决方案的总成本取决于以下因素：
+ AWS Security Hub 成员账户的数量
+ 主动自动调用的修正的数量
+ 补救频率

此解决方案使用以下 AWS 组件，这些组件会根据您的配置产生费用。为小型、中型和大型组织提供了定价示例。


| 服务 | 免费套餐 | 定价 [美元] | 
| --- | --- | --- | 
|   [AWS Systems Manager Automation Systems](https://aws.amazon.com/systems-manager/pricing/)   |  没有免费套餐  |  每个基本步骤的费用为每步 0.002 美元。对于多账户自动化，所有步骤，包括在任何儿童账户中运行的步骤，都仅计入原始账户。  | 
|   [AWS Systems Manager Automation Systems](https://aws.amazon.com/systems-manager/pricing/)   |  没有免费套餐  |  每个`aws:executeScript`操作步骤的费用为每秒 0.00003 美元。  | 
|   [AWS Systems Manager Automation Autom](https://aws.amazon.com/systems-manager/pricing/)   |  没有免费套餐  |  每月每 GB 0.046 美元  | 
|   [AWS Systems Manager Automation Systems](https://aws.amazon.com/systems-manager/pricing/)   |  没有免费套餐  |  每 GB 转账 0.900 美元（跨账户或） out-of-Region  | 
|   [AWS Security Hub CSPM-安全检查](https://aws.amazon.com/security-hub/cspm/pricing/)   |  没有免费套餐  |  前 10 万张每张支票的checks/account/Region/month费用为 0.0010 美元 接下来的 40 万张每张支票的checks/account/Region/month费用为 0.0008 美元 超过 50 万张每张支票的checks/account/Region/month费用为 0.0005 美元  | 
|   [AWS Security Hub CSPM-查找摄取事件](https://aws.amazon.com/security-hub/cspm/pricing/)   |  前 10,000 events/account/Region/month 是免费的。查找与 Security Hub 的安全检查相关的摄取事件。  |  超过 10,000 人每场events/account/Region/month活动的费用为 0.00003 美元  | 
|   [亚马逊 CloudWatch -指标](https://aws.amazon.com/cloudwatch/pricing/)   |  基本监控指标（每隔 5 分钟）10 详细监控指标（以 1 分钟为频率）1 100 万个 API 请求（不适用于 GetMetricData、 GetInsightRuleReport 和 GetMetricWidgetImage）  |  前 10,000 个指标每月的费用为 0.30 美元 接下来的 240,000 个指标每月花费 0.10 美元 接下来的 750,000 个指标每月花费 0.05 美元 超过 100 万个指标的费用为每月 0.02 美元 API 调用每 1,000 个请求的费用为 0.01 美元  | 
|   [亚马逊 CloudWatch -控制面板](https://aws.amazon.com/cloudwatch/pricing/)   |  3 个控制面板，每月最多可显示 50 个指标  |  每个控制面板每月 3.00 美元  | 
|   [Amazon CloudWatch -警报](https://aws.amazon.com/cloudwatch/pricing/)   |  10 个警报指标（不适用于高分辨率警报）  |  标准分辨率（60 秒）费用为每个警报 0.10 美元 高分辨率（10 秒）的费用为每个警报指标 0.30 美元 标准分辨率异常检测费用为每个警报 0.30 美元 高分辨率异常检测费用为每个警报 0.90 美元 每个警报的复合费用为 0.50 美元  | 
|   [Amazon CloudWatch -日志收集](https://aws.amazon.com/cloudwatch/pricing/)   |  5GB 数据（摄取、存档存储以及通过 Logs Insights 查询扫描的数据）  |  每 GB 0.50 美元  | 
|   [Amazon CloudWatch -日志存储](https://aws.amazon.com/cloudwatch/pricing/)   |  5GB 数据（摄取、存档存储以及通过 Logs Insights 查询扫描的数据）  |  扫描的每 GB 数据为 0.005 美元  | 
|   [AWS Lambda-请求](https://aws.amazon.com/lambda/pricing/)   |  每月 100 万次免费请求  |  每 100 万个请求 0.20 美元  | 
|   [AWS Lambda-持续时间](https://aws.amazon.com/lambda/pricing/)   |  每月 400,000 GB 秒的计算时间  |  每 GB 秒收取 0.0000166667 美元。持续时间的价格取决于您为函数分配的内存量。您可以为函数分配介于 128MB 到 10,240MB 之间任意数量的内存，以 1MB 为增量。  | 
|   [AWS Step Functions — 状态转换](https://aws.amazon.com/step-functions/pricing/)   |  每月 4,000 次自由状态转换  |  此后每 1,000 个状态转换为 0.025 美元  | 
|   [Amazon EventBridge](https://aws.amazon.com/eventbridge/pricing/)   |  AWS 服务发布的所有状态变更事件都是免费的  |  自定义事件每发布一百万个自定义事件的成本 第三方 (SaaS) 事件每发布一百万个事件的成本为100万美元 跨账户事件的费用为每发送一百万次跨账户事件  | 
|   [Amazon SNS](https://aws.amazon.com/sns/pricing/)   |  每月前 100 万个 Amazon SNS 请求是免费的  |  此后每100万个请求0.50美元  | 
|   [Amazon SQS](https://aws.amazon.com/sqs/pricing/)   |  每月前 100 万个 Amazon SQS 请求是免费的  |  此后每 100 万至 1000 亿个请求中有 0.40 美元  | 
|   [Amazon DynamoDB](https://aws.amazon.com/dynamodb/pricing/)   |  前 25GB 的存储空间是免费的  |  此后每 100 万次持续读取和写入 2.00 美元  | 
|   [AWS Key Management Service](https://aws.amazon.com/kms/pricing/)   |  每月 20,000 个请求  |  每 1 KMS 密钥 1.00 美元。每 10,000 个 API 请求 0.03 美元。对于自动轮换或按需轮换的 KMS 密钥，密钥的第一次和第二次轮换会增加 1 美元/月（按小时按比例分配）的成本。  **注意：此解决方案包括 KMS 缓存优化（S3 存储桶密钥、60 分钟 SQS 数据密钥重用、5 分钟 Secrets Manager 缓存），可将 KMS API 调用减少大约 70%。**  | 
|   [Amazon Cognito](https://aws.amazon.com/cognito/pricing/)   |  在 Essentials 套餐中，前 10,000 名月活跃用户免费。 注意：当用户通过外部 IdP (SAML/OIDC) 进行身份验证时，此免费套餐为 50 个月活跃用户。  |  超过 10,000 名用户每位月活跃用户 0.015 美元。  | 
|   [Amazon CloudFront](https://aws.amazon.com/cloudfront/pricing/)   |  免费套餐包括每月 1 TB 的数据传输和一千万个 HTTP 或 HTTPS 请求。  |  (US/Canada/Mexico) 前 9 TB 为每月 0.085 美元。接下来的40TB为每月0.080美元。 每个 HTTP 请求 0.0075 美元。每个 HTTPS 请求 0.0100 美元。  | 
|   [Amazon S3](https://aws.amazon.com/s3/pricing/)   |  没有免费套餐  |  前 50 TB 的费用为每月每 GB 0.023 美元。 每 1,000 个 PUT、COPY、POST、LIST 请求 0.005 美元。 每 1,000 个 GET、SELECT 和所有其他请求 0.0004 美元。  | 
|   [Amazon API Gateway](https://aws.amazon.com/api-gateway/pricing/)   |  在使用的前 12 个月内，有 100 万次 REST API 调用。  |  前 3.33 亿个 API 调用每百万美元 3.50 美元。  | 

## KMS 成本优化
<a name="kms-optimization"></a>

自 **3.1.0 版**起，该解决方案包括 KMS 缓存优化，可将加密操作成本降低大约 70%
+  **S3 存储桶密钥**：减少 S3 加密操作的 KMS GenerateDataKey 调用
+  **SQS 数据密钥重用**：用于消息加密的 60 分钟缓存期
+  S@@ **ecrets Manager 缓存**：Lambda 函数中的 5 分钟 TTL

 **性能影响**：这些优化将 S3 操作和完整工作流程的延迟缩短了 10-15 毫秒，同时降低了成本，同时不会降低吞吐量。

## 定价示例（每月）
<a name="pricing-examples"></a>

### 示例 1：每月修复 300 次
<a name="example-1-300-remediations-per-month"></a>
+ 10 个账户，1 个区域
+ 每次 30 次修复 account/Region/month
+ 每人处理了 500 个 Security Hub 调查结果 account/Region/month
+  **网页用户界面已禁用** 
+  **操作日志已禁用** 
+ 每月总花费 14.70 美元


| 服务 | 假设 | 每月费用 [美元] | 
| --- | --- | --- | 
|  AWS Systems Manager Automation  |  步骤：大约 4 个步骤 \$1 300 次修复 \$1 0.002 美元 = 2.40 美元 时长：10 秒 \$1 300 次修复 \$1 0.00003 美元 = 0.09 美元  |  2.49 美元  | 
|  AWS Security Hub  |  未使用任何可计费的服务  |  \$10  | 
|  Amazon CloudWatch 日志  |  每 GB 0.50 美元  |  < 0.01  | 
|  AWS Lambda-请求  |  300 次补救 \$1 7 个请求 = 2,100 个请求 5,000 个发现 \$1 1 个请求 = 5,000 个请求 0.20 美元/1,000,000 个请求 = 每个请求 0.0000002 美元  |  0.00142  | 
|  AWS Lambda-持续时间  |  (512MB 内存) 4,000ms \$1 300 次修复 \$1 0.0000000083 = 0.00996 美元 449ms \$1 5,000 个调查结果 \$1 0.0000000083 = .0186 美元  |  0.029 美元  | 
|  AWS Step Functions  |  19 次状态转换 \$1 300 次修复 = 5,700 0.025 美元 \$1 (5,700/1,000) 状态转换 = 0.14 美元  |  0.14 美元  | 
|  亚马逊 EventBridge 规则  |  规则不收费  |  \$10  | 
|  AWS Key Management Service  |  1 个密钥 \$1 10 个账户 \$1 1 个区域 \$1 \$11 = 10 美元 （加密/解密 API 请求） （300 次补救 \$1 2 个请求）\$1（5,000 个调查结果 \$1 4 个请求）= 20,600 个请求 使用 KMS 缓存：20,600 \$1 0.30 = 6,180 个请求 每 10,000 个请求 0.03 美元 ⇒ 0.03 美元 \$1 (6,180/10,000) = 0.02 美元  |  10.02 美元  | 
|  Amazon DynamoDB  |  2.00 \$1 1,000,000 次读取和写入 = 2.00 美元 （调查结果表）15MB \$1 10 个账户 \$1 1 个区域 = 150MB （历史表）10MB \$1 10 个账户 \$1 1 个区域 = 100MB 每月每 GB 0.25 美元 \$1 0.25 GB = 0.0625 美元  |  2.0625  | 
|  Amazon SQS  |  0.40 \$1 1,000,000 个请求 = 0.40 美元  |  0.40 美元  | 
|  Amazon SNS  |  0.50 美元 \$1（600 份/1,000,000 份通知）= 0.0003 美元  |  0.0003  | 
|  亚马逊 CloudWatch -指标  |  （已禁用增强指标） 0.30 美元 \$1 7 个自定义指标 = 2.10 美元 0.01 美元\$1（300 个看跌期权指标 API 调用/1,000）= 0.003 美元  |  2.10 美元  | 
|  Amazon CloudWatch -控制面板  |  3.00 美元 \$1 1 个仪表板 = 3.00 美元  |  3.00 美元  | 
|  Amazon CloudWatch -警报  |  （已禁用增强指标） 0.10 美元 \$1 4 个警报 = 0.40 美元  |  0.40 美元  | 
|  亚马逊 CloudWatch -X-Ray Traces  |  300 次补救 \$1 7 个请求 = 2,100 次 Lambda 调用 5,000 个发现 \$1 1 个请求 = 5,000 次 Lambda 调用 每条跟踪 0.000005 美元 \$1 7,100 条跟踪 = 0.0355 美元  |  0.0355 美元  | 
|   **总计**   |  |   **14.70 美元**   | 

### 示例 2：每月修复 300 次（已启用 Web 用户界面）
<a name="example-2-300-remediations-per-month"></a>
+ 10 个账户，1 个区域
+ 每次 30 次修复 account/Region/month
+ 每人处理 5,000 个 Security Hub 发现 account/Region/month
+  **网页用户界面已启用** 
+  **操作日志已禁用** 
+ 每月总费用为 36.35 美元


| 服务 | 假设 | 每月费用 [美元] | 
| --- | --- | --- | 
|  AWS Systems Manager Automation  |  步骤：大约 4 个步骤 \$1 300 次修复 \$1 0.002 美元 = 2.40 美元 时长：10 秒 \$1 300 次修复 \$1 0.00003 美元 = 0.09 美元  |  2.49 美元  | 
|  AWS Security Hub  |  未使用任何可计费的服务  |  \$10  | 
|  Amazon CloudWatch 日志  |  每 GB 0.50 美元  |  < 0.01  | 
|  AWS Lambda-请求  |  300 次补救 \$1 7 个请求 = 2,100 个请求 5,000 个发现 \$1 1 个请求 = 5,000 个请求 0.20 美元/1,000,000 个请求 = 每个请求 0.0000002 美元  |  0.00142  | 
|  AWS Lambda-持续时间  |  (512MB 内存) 4,000ms \$1 300 次修复 \$1 0.0000000083 = 0.00996 美元 449ms \$1 5,000 个调查结果 \$1 0.0000000083 = .0186 美元  |  0.029 美元  | 
|  AWS Step Functions  |  19 次状态转换 \$1 300 次修复 = 5,700 0.025 美元 \$1 (5,700/1,000) 状态转换 = 0.14 美元  |  0.14 美元  | 
|  亚马逊 EventBridge 规则  |  规则不收费  |  \$10  | 
|  AWS Key Management Service  |  1 个密钥 \$1 10 个账户 \$1 1 个区域 \$1 \$11 = 10 美元 （加密/解密 API 请求） （300 次补救 \$1 2 个请求）\$1（5,000 个调查结果 \$1 4 个请求）= 20,600 个请求 每 10,000 个请求 0.03 美元 ⇒ 0.03 美元 \$1 (20,600 /10,000) = 0.06 美元  |  10.06 美元  | 
|  Amazon DynamoDB  |  2.00 \$1 1,000,000 次读取和写入 = 2.00 美元 （调查结果表）15MB \$1 10 个账户 \$1 1 个区域 = 150MB （历史表）10MB \$1 10 个账户 \$1 1 个区域 = 100MB 每月每 GB 0.25 美元 \$1 0.25 GB = 0.0625 美元  |  2.0625  | 
|  Amazon SQS  |  0.40 \$1 1,000,000 个请求 = 0.40 美元  |  0.40 美元  | 
|  Amazon SNS  |  0.50 美元 \$1（600 份/1,000,000 份通知）= 0.0003 美元  |  0.0003  | 
|  亚马逊 CloudWatch -指标  |  （已禁用增强指标） 0.30 美元 \$1 7 个自定义指标 = 2.10 美元 0.01 美元\$1（300 个看跌期权指标 API 调用/1,000）= 0.003 美元  |  2.10 美元  | 
|  Amazon CloudWatch -控制面板  |  3.00 美元 \$1 1 个仪表板 = 3.00 美元  |  3.00 美元  | 
|  Amazon CloudWatch -警报  |  （已禁用增强指标） 0.10 美元 \$1 4 个警报 = 0.40 美元  |  0.40 美元  | 
|  亚马逊 CloudWatch -X-Ray Traces  |  300 次补救 \$1 7 个请求 = 2,100 次 Lambda 调用 5,000 个发现 \$1 1 个请求 = 5,000 次 Lambda 调用 每条跟踪 0.000005 美元 \$1 7,100 条跟踪 = 0.0355 美元  |  0.0355 美元  | 
|  Amazon Cognito  |  （基本等级） 500 个月活跃用户  |  \$10  | 
|  Amazon CloudFront  |  向源站传输的区域数据（每 GB）= 0.020 美元 向互联网传输的区域数据（每 GB）= 0.085 美元 所有 HTTP 方法的请求定价（每 10,000 个）= 0.0075 美元  |  0.1125 美元  | 
|  Amazon S3  |  （用户界面托管） 每 GB 0.023 美元 \$1 0.002 GB = 0.000046 美元 （历史导出）每 GB 0.023 美元 \$1 0.50 GB = 0.0125 美元 每 1,000 个 GET 请求 0.0004 美元  |  0.0125 美元  | 
|  AWS WAF  |  1 个 Web ACL = 每月 5.00 美元 7 条规则 \$1 每条规则 1.00 美元 = 7.00 美元  |  12 美元  | 
|  Amazon API Gateway  |  每百万个 REST API 调用 3.50 美元  |  3.50 美元  | 
|   **总计**   |  |   **36.35 美元**   | 

### 示例 3：每月修复 3,000 次
<a name="example-3-3000-remediations-per-month"></a>
+ 100 个账户，1 个区域
+ 每次 30 次修复 account/Region/month
+ 每人处理了 500 个 Security Hub 调查结果 account/Region/month
+  **网页用户界面已禁用** 
+  **操作日志已禁用** 
+ 每月总花费 106.40 美元


| 服务 | 假设 | 每月费用 [美元] | 
| --- | --- | --- | 
|  AWS Systems Manager Automation  |  步骤：大约 4 个步骤 \$1 3,000 次补救 \$1 0.002 美元 = 24.00 美元 时长：10 秒 \$1 3,000 次修复 \$1 0.00003 美元 = 0.90 美元  |  24.90 美元  | 
|  AWS Security Hub  |  未使用任何可计费的服务  |  \$10  | 
|  Amazon CloudWatch 日志  |  每 GB 0.50 美元  |  < 0.01  | 
|  AWS Lambda-请求  |  3,000 次补救 \$1 7 个请求 = 2,100 个请求 50,000 个结果 \$1 1 个请求 = 50,000 个请求 0.20 美元/1,000,000 个请求 = 每个请求 0.0000002 美元  |  0.01 美元  | 
|  AWS Lambda-持续时间  |  (512MB 内存) 4,000ms \$1 3,000 次修复 \$1 0.0000000083 = 0.0996 美元 449ms \$1 50,000 个调查结果 \$1 0.0000000083 = 0.186 美元  |  0.29 美元  | 
|  AWS Step Functions  |  19 次状态转换 \$1 3,000 次修复 = 57,000 0.025 美元 \$1 (57,000/1,000) 状态转换 = 1.425 美元  |  1.425  | 
|  亚马逊 EventBridge 规则  |  规则不收费  |  \$10  | 
|  AWS Key Management Service  |  1 个密钥 \$1 100 个账户 \$1 1 个区域 \$1 \$11 = 100 美元 （加密/解密 API 请求） （3,000 次补救 \$1 2 个请求）\$1（50,000 个调查结果 \$1 4 个请求）= 20.6万份请求 使用 KMS 缓存：206,000 \$1 0.30 = 61,800 个请求 每 10,000 个请求 0.03 美元 ⇒ 0.03 美元 \$1 (61,800 /10,000) = 0.185 美元  |  100.185 美元  | 
|  Amazon DynamoDB  |  2.00 \$1 1,000,000 次读取和写入 = 2.00 美元 （调查结果表）15MB \$1 100 个账户 \$1 1 个区域 = 1,500MB （历史表）10MB \$1 100 个账户 \$1 1 个区域 = 1,000MB 每月每 GB 0.25 美元 \$1 2.5 GB = 0.625 美元  |  2.625 美元  | 
|  Amazon SQS  |  0.40 \$1 1,000,000 个请求 = 0.40 美元  |  0.40 美元  | 
|  Amazon SNS  |  0.50 美元 \$1 1,000,000 个通知 = 0.50 美元  |  0.50 美元  | 
|  亚马逊 CloudWatch -指标  |  （已禁用增强指标） 0.30 美元 \$1 7 个自定义指标 = 2.10 美元 0.01 美元\$1 (3000/1,000) 看跌指标 API 调用 = 0.03 美元  |  2.13 美元  | 
|  Amazon CloudWatch -控制面板  |  3.00 美元 \$1 1 个仪表板 = 3.00 美元  |  3.00 美元  | 
|  Amazon CloudWatch -警报  |  0.10 美元 \$1 4 个警报 = 0.40 美元  |  0.40 美元  | 
|  亚马逊 CloudWatch -X-Ray Traces  |  3,000 次补救 \$1 7 个请求 = 2,100 次 Lambda 调用 50,000 个发现 \$1 1 个请求 = 50,000 次 Lambda 调用 每条跟踪 0.000005 美元 \$1 52,100 条跟踪 = 0.2605 美元  |  0.2605 美元  | 
|   **总计**   |  |   **106.40 美元**   | 

### 示例 4：每月修复 30,000 次
<a name="example-4-30000-remediations-per-months"></a>
+ 1,000 个账户，10 个区域
+ 每次 30 次修复 account/Region/month
+ 每人处理了 500 个 Security Hub 调查结果 account/Region/month
+  **网页用户界面已禁用** 
+  **操作日志已禁用** 
+ 每月总花费 7,360.00 美元


| 服务 | 假设 | 每月费用 [美元] | 
| --- | --- | --- | 
|  AWS Systems Manager Automation  |  步骤：大约 4 个步骤 \$1 30,000 次补救 \$1 0.002 美元 = 240.00 美元 时长：10 秒 \$1 30,000 次修复 \$1 0.00003 美元 = 9.00 美元  |  249.00 美元  | 
|  AWS Security Hub  |  未使用任何可计费的服务  |  \$10  | 
|  Amazon CloudWatch 日志  |  每 GB 0.50 美元  |  < 0.01  | 
|  AWS Lambda-请求  |  30,000 次补救 \$1 7 次请求 = 210,000 次请求 500 万个调查结果 \$1 1 个请求 = 500 万个请求 0.20 美元/1,000,000 个请求 = 每个请求 0.0000002 美元  |  1.042  | 
|  AWS Lambda-持续时间  |  (512MB 内存) 4,000ms \$1 30,000 次补救 \$1 0.0000000083 = 0.996 美元 449ms \$1 500万个调查结果 \$1 0.0000000083 = 18.63 美元  |  19.63 美元  | 
|  AWS Step Functions  |  19 个状态转换 \$1 30,000 次修复 = 570,000 0.025 美元 \$1 (570,000/1,000) 状态转换 = 14.25 美元  |  14.25 美元  | 
|  亚马逊 EventBridge 规则  |  规则不收费  |  \$10  | 
|  AWS Key Management Service  |  (1 个密钥) 1 美元 \$1 1,000 个账户 \$1 10 个区域 = 10,000 美元 （加密/解密 API 请求） （30,000 次补救 \$1 2 次请求）\$1（500万次调查结果 \$1 4 次请求）= 20,060,000 次请求 使用 KMS 缓存：20,060,000 \$1 0.30 = 6,018,000 个请求 每 10,000 个请求 0.03 美元 ⇒ 0.03 美元 \$1 (6,018,000 /10,000) = 18.05 美元  |  10,018.05 美元  | 
|  Amazon DynamoDB  |  2.00 美元 \$1（1,000,000 次读取和写入/100万次）= 20.00 美元 （调查结果表）15MB \$1 1000 个账户 \$1 10 个区域 = 150GB （历史表）10MB \$1 1000 个账户 \$1 10 个区域 = 100GB 每月每 GB 0.25 美元 \$1 250 GB = 62.50 美元  |  82.50 美元  | 
|  Amazon SQS  |  0.40 美元\$1（5,060,000 个请求/100万个）= 2.024 美元  |  2.024  | 
|  Amazon SNS  |  0.000005 \$1 1,000,000 个通知 = 0.50 美元  |  0.50 美元  | 
|  亚马逊 CloudWatch -指标  |  （已禁用增强指标） 0.30 美元 \$1 7 个自定义指标 = 2.10 美元 0.01 美元\$1 (30,000 /1,000) 看跌指标 API 调用 = 0.30 美元  |  2.40 美元  | 
|  Amazon CloudWatch -控制面板  |  3.00 美元 \$1 1 个仪表板 = 3.00 美元  |  3.00 美元  | 
|  Amazon CloudWatch -警报  |  （已禁用增强指标） 0.10 美元 \$1 4 个警报 = 0.40 美元  |  0.40 美元  | 
|  亚马逊 CloudWatch -X-Ray Traces  |  30,000 次补救 \$1 7 个请求 = 210,000 次 Lambda 调用 500 万个发现 \$1 1 个请求 = 500 万次 Lambda 调用 每条跟踪 0.000005 美元 \$1 5,210,000 条跟踪 = 26.05 美元  |  26.05 美元  | 
|   **总计**   |  |   **7,360.00 美元**   | 

### 示例 5：每月修复 30,000 次（已启用 Web 用户界面）
<a name="example-5-30000-remediations-per-months"></a>
+ 1,000 个账户，10 个区域
+ 每次 30 次修复 account/Region/month
+ 每人处理了 500 个 Security Hub 调查结果 account/Region/month
+  **网页用户界面已启用** 
+  **操作日志已禁用** 
+ 每月总花费 7,380.10 美元


| 服务 | 假设 | 每月费用 [美元] | 
| --- | --- | --- | 
|  AWS Systems Manager Automation  |  步骤：大约 4 个步骤 \$1 30,000 次补救 \$1 0.002 美元 = 240.00 美元 时长：10 秒 \$1 30,000 次修复 \$1 0.00003 美元 = 9.00 美元  |  249.00 美元  | 
|  AWS Security Hub  |  未使用任何可计费的服务  |  \$10  | 
|  Amazon CloudWatch 日志  |  每 GB 0.50 美元  |  < 0.01  | 
|  AWS Lambda-请求  |  30,000 次补救 \$1 7 次请求 = 210,000 次请求 500 万个调查结果 \$1 1 个请求 = 500 万个请求 0.20 美元/1,000,000 个请求 = 每个请求 0.0000002 美元  |  1.042  | 
|  AWS Lambda-持续时间  |  (512MB 内存) 4,000ms \$1 30,000 次补救 \$1 0.0000000083 = 0.996 美元 449ms \$1 500万个调查结果 \$1 0.0000000083 = 18.63 美元  |  19.63 美元  | 
|  AWS Step Functions  |  19 个状态转换 \$1 30,000 次修复 = 570,000 0.025 美元 \$1 (570,000/1,000) 状态转换 = 14.25 美元  |  14.25 美元  | 
|  亚马逊 EventBridge 规则  |  规则不收费  |  \$10  | 
|  AWS Key Management Service  |  (1 个密钥) 1 美元 \$1 1,000 个账户 \$1 10 个区域 = 10,000 美元 （加密/解密 API 请求） （30,000 次补救 \$1 2 次请求）\$1（500万次调查结果 \$1 4 次请求）= 20,060,000 次请求 使用 KMS 缓存：20,060,000 \$1 0.30 = 6,018,000 个请求 每 10,000 个请求 0.03 美元 ⇒ 0.03 美元 \$1 (6,018,000 /10,000) = 18.05 美元  |  10,018.05 美元  | 
|  Amazon DynamoDB  |  2.00 美元 \$1（1,000,000 次读取和写入/100万次）= 20.00 美元 （调查结果表）15MB \$1 1000 个账户 \$1 10 个区域 = 150GB （历史表）10MB \$1 1000 个账户 \$1 10 个区域 = 100GB 每月每 GB 0.25 美元 \$1 250 GB = 62.50 美元  |  82.50 美元  | 
|  Amazon SQS  |  0.40 美元\$1（5,060,000 个请求/100万个）= 2.024 美元  |  2.024  | 
|  Amazon SNS  |  0.000005 \$1 1,000,000 个通知 = 0.50 美元  |  0.50 美元  | 
|  亚马逊 CloudWatch -指标  |  （已禁用增强指标） 0.30 美元 \$1 7 个自定义指标 = 2.10 美元 0.01 美元\$1 (30,000 /1,000) 看跌指标 API 调用 = 0.30 美元  |  2.40 美元  | 
|  Amazon CloudWatch -控制面板  |  3.00 美元 \$1 1 个仪表板 = 3.00 美元  |  3.00 美元  | 
|  Amazon CloudWatch -警报  |  （已禁用增强指标） 0.10 美元 \$1 4 个警报 = 0.40 美元  |  0.40 美元  | 
|  亚马逊 CloudWatch -X-Ray Traces  |  30,000 次补救 \$1 7 个请求 = 210,000 次 Lambda 调用 500 万个发现 \$1 1 个请求 = 500 万次 Lambda 调用 每条跟踪 0.000005 美元 \$1 5,210,000 条跟踪 = 26.05 美元  |  26.05 美元  | 
|  Amazon Cognito  |  （基本等级） 5,000 个月活跃用户  |  \$10  | 
|  Amazon CloudFront  |  向源站传输的区域数据（每 GB）= 0.020 美元 向互联网传输的区域数据（每 GB）= 0.085 美元 所有 HTTP 方法的请求定价（每 10,000 个）= 0.0075 美元  |  0.1125 美元  | 
|  Amazon S3  |  （用户界面托管） 每 GB 0.023 美元 \$1 0.002 GB = 0.000046 美元 （历史导出）每 GB 0.023 美元 \$1 100 GB = 2.30 美元 每 1,000 个 GET 请求 0.0004 美元 \$1 5,000 个请求 = 2.00 美元  |  4.30 美元  | 
|  AWS WAF  |  1 个 Web ACL = 每月 5.00 美元 7 条规则 \$1 每条规则 1.00 美元 = 7.00 美元  |  12 美元  | 
|  Amazon API Gateway  |  每百万个 REST API 调用 3.50 美元  |  3.50 美元  | 
|   **总计**   |  |   **7,380.10 美元**   | 

**重要**  
 KMS **密钥轮换成本** AWS Key Management Service (KMS) 在启用轮换后，每年自动轮换客户托管密钥一次。每次轮换每年会产生每个密钥1.00美元的成本。例如，如果单个区域有 1000 个账户，则每年可额外获得 1000 美元（1 次轮换 × 1000 个密钥 × 1.00 美元）。

## 可选功能的额外费用
<a name="additional-cost-optional"></a>

本节列出了与该解决方案的可选功能相关的额外成本。

### 增强的 CloudWatch 指标
<a name="additional-cost-enhanced-metrics"></a>

如果您在部署管理堆栈时选择`yes`该**EnableEnhancedCloudWatchMetrics**参数，则该解决方案会为每个控件 ID 创建两个自定义指标和一个警报。费用取决于您要修复 IDs 的控制数量。在下表中，我们假设您 IDs 每月要修复所有96种不同的控制措施，以确定成本的上限。


| 服务 | 假设 96 个控件 IDs \$1 2 = 192 个自定义指标 | 每月费用 [美元] | 
| --- | --- | --- | 
|  亚马逊 CloudWatch -指标  |  0.30 美元 \$1 192 个自定义指标 = 57.60 美元  |  57.60 美元  | 
|  Amazon CloudWatch -警报  |  0.10 美元 \$1 96 个警报 = 9.60 美元  |  9.60 美元  | 
|   **总计**   |  |   **67.20 美元**   | 

### CloudTrail 操作日志
<a name="additional-cost-action-log"></a>

在您为其启用操作日志功能的每个成员账户中，解决方案都会创建一个记录所有写入管理事件的 CloudTrail 跟踪。Lambda 函数会筛选出与解决方案无关的事件。这意味着费用与您账户中的管理事件总数有关，因为与解决方案无关的事件仍由跟踪捕获并由 Lambda 函数处理。

在下表中，我们假设账户中每月有 150,000 个管理事件。实际费用取决于您账户中的实际管理活动活动。


| 服务 | 假设 | 每月费用 [美元] | 
| --- | --- | --- | 
|  AWS CloudTrail  |  150,000 \$1 2.00美元/100,000 美元 = 3.00 美元  |  3.00 美元  | 
|  Lambda  |  150,000 \$1 0.2 \$1 0.125 = 3,750 Gb-秒 3,750 \$1 0.0000166667 美元 = 0.0625 美元的计算时间成本 0.15 \$1 0.20 美元 = 0.03 美元请求费用 0.0625 美元 \$1 0.03 美元 = Lambda 总成本 0.0952 美元  |  0.0925  | 
|   **总计**   |  |   **每个会员账户 3.09 美元**   |