本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 規劃您的部署
<a name="plan-your-deployment"></a>

本節說明部署解決方案之前的成本、網路安全、支援的 AWS 區域、配額和其他考量事項。

# Cost
<a name="cost"></a>

您必須負責用來執行此解決方案的 AWS 服務成本。

截至此修訂，估計每月成本為：
+ 小型部署 (10 個帳戶，1 個區域 - 美國東部/北部。 維吉尼亞州）：每月 300 個修補約 14.70 美元
+ 中型部署 (100 個帳戶，1 個區域 - 美國東部/北部。 維吉尼亞州）：每月 3，000 個修補約 106.40 美元
+ 大型部署 (1，000 個帳戶，10 個區域）：每月約 7，360.00 USD 的 30，000 個修補

**重要**  
價格可能變動。如需完整詳細資訊，請參閱此解決方案中使用的每個 AWS 服務的定價頁面。

**注意**  
許多 AWS 服務包含免費方案 - 客戶可免費使用的基準服務數量。實際成本可能高於或低於提供的定價範例。

我們建議您透過 AWS Cost Explorer 建立[預算](https://docs.aws.amazon.com/cost-management/latest/userguide/budgets-create.html)，以協助管理成本。價格可能變動。如需完整詳細資訊，請參閱此解決方案中使用的每個 AWS 服務的定價網頁。

## 成本表範例
<a name="sample-cost-table"></a>

執行此解決方案的總成本取決於下列因素：
+ AWS Security Hub 成員帳戶的數量
+ 作用中自動調用修復的數量
+ 修復的頻率

此解決方案使用下列 AWS 元件，這會根據您的組態產生成本。定價範例適用於小型、中型和大型組織。


| 服務 | 免費方案 | 定價 【USD】 | 
| --- | --- | --- | 
|   [AWS Systems Manager 自動化 - 步驟計數](https://aws.amazon.com/systems-manager/pricing/)   |  無免費方案  |  每個基本步驟都會按每個步驟收取 0.002 USD。對於多帳戶自動化，包含在任何子帳戶中執行的所有步驟只會計入原始帳戶。  | 
|   [AWS Systems Manager 自動化 - 步驟持續時間](https://aws.amazon.com/systems-manager/pricing/)   |  無免費方案  |  每個`aws:executeScript`動作步驟每秒都會收取 0.00003 USD。  | 
|   [AWS Systems Manager 自動化 - 儲存](https://aws.amazon.com/systems-manager/pricing/)   |  無免費方案  |  每月每 GB 0.046 美元  | 
|   [AWS Systems Manager 自動化 - 資料傳輸](https://aws.amazon.com/systems-manager/pricing/)   |  無免費方案  |  每轉移 GB 0.900 美元 （跨帳戶或out-of-Region)  | 
|   [AWS Security Hub CSPM - 安全檢查](https://aws.amazon.com/security-hub/cspm/pricing/)   |  無免費方案  |  前 100，000 張checks/account/Region/每月每張支票 0.0010 美元 接下來 400，000 張checks/account/Region/每月每張支票 0.0008 USD 超過 500，000 張checks/account/Region/每月每張支票 0.0005 美元  | 
|   [AWS Security Hub CSPM - 尋找擷取事件](https://aws.amazon.com/security-hub/cspm/pricing/)   |  前 10，000 個events/account/Region/月是免費的。尋找與 Security Hub 安全檢查相關聯的擷取事件。  |  超過 10，000 個events/account/Region/每月每個事件 0.00003 美元  | 
|   [Amazon CloudWatch - 指標](https://aws.amazon.com/cloudwatch/pricing/)   |  基本監控指標 (5 分鐘頻率） 10 詳細監控指標 （以 1 分鐘的頻率） 1 100 萬個 API 請求 （不適用於 GetMetricData、GetInsightRuleReport 和 GetMetricWidgetImage)  |  前 10，000 個指標每月花費 0.30 美元 接下來的 240，000 個指標費用為每月 0.10 USD 接下來的 750，000 個指標費用為每月 0.05 USD 指標 每月超過 1，000，000 個指標花費 0.02 USD API 呼叫每 1，000 個請求 0.01 美元  | 
|   [Amazon CloudWatch - 儀表板](https://aws.amazon.com/cloudwatch/pricing/)   |  3 儀表板，每月最多 50 個指標  |  每月每個儀表板 3.00 美元  | 
|   [Amazon CloudWatch - 警示](https://aws.amazon.com/cloudwatch/pricing/)   |  10 個警示指標 （不適用於高解析度警示）  |  標準解析度 (60 秒） 每個警示指標的成本為 0.10 美元 高解析度 (10 秒） 每個警示指標的成本為 0.30 美元 標準解析異常偵測每個警示 0.30 USD 高解析度異常偵測每個警示的成本為 0.90 美元 每個警示的複合成本為 0.50 美元  | 
|   [Amazon CloudWatch - 日誌集合](https://aws.amazon.com/cloudwatch/pricing/)   |  5GB 資料 （由 Logs Insights 查詢掃描的擷取、封存儲存和資料）  |  每 GB 0.50 美元  | 
|   [Amazon CloudWatch - 日誌儲存](https://aws.amazon.com/cloudwatch/pricing/)   |  5GB 資料 （由 Logs Insights 查詢掃描的擷取、封存儲存和資料）  |  掃描的資料每 GB 0.005 美元  | 
|   [AWS Lambda - 請求](https://aws.amazon.com/lambda/pricing/)   |  每月 1M個免費請求  |  每 1M00 萬個請求 0.20 美元  | 
|   [AWS Lambda - 持續時間](https://aws.amazon.com/lambda/pricing/)   |  每月 400，000 GB 的運算時間  |  每 GB-秒 0.0000166667 USD。持續時間的價格取決於您配置給函數的記憶體數量。您可以將任意數量的記憶體配置到 128MB 到 10，240MB 之間的函數，以 1MB 為單位遞增。  | 
|   [AWS Step Functions - 狀態轉換](https://aws.amazon.com/step-functions/pricing/)   |  每月 4，000 次免費狀態轉換  |  之後每 1，000 個州轉換 0.025 美元  | 
|   [Amazon EventBridge](https://aws.amazon.com/eventbridge/pricing/)   |  AWS 服務發佈的所有狀態變更事件都是免費的  |  自訂事件每發佈一百萬美元的自訂事件 第三方 (SaaS) 事件每發佈一百萬美元的事件 跨帳戶事件每傳送 100 萬美元的跨帳戶事件  | 
|   [Amazon SNS](https://aws.amazon.com/sns/pricing/)   |  每月前 100 萬個 Amazon SNS 請求是免費的  |  之後每 100 萬個請求 0.50 美元  | 
|   [Amazon SQS](https://aws.amazon.com/sqs/pricing/)   |  每月前 100 萬個 Amazon SQS 請求是免費的  |  之後每 100 萬到 1，000 億個請求 0.40 美元  | 
|   [Amazon DynamoDB](https://aws.amazon.com/dynamodb/pricing/)   |  前 25GB 的儲存空間是免費的  |  之後每 100 萬次一致讀取和寫入 200 美元  | 
|   [AWS Key Management Service](https://aws.amazon.com/kms/pricing/)   |  每月 20，000 個請求  |  每 1 個 KMS 金鑰 1.00 美元。 每 10，000 個 API 請求 0.03 美元。對於您自動或隨需輪換的 KMS 金鑰，金鑰的第一次和第二次輪換會增加每月 1 USD （按小時比例） 的成本。  **注意：此解決方案包含 KMS 快取最佳化 (S3 儲存貯體金鑰、60 分鐘 SQS 資料金鑰重複使用、5 分鐘 Secrets Manager 快取），可將 KMS API 呼叫減少約 70%。**  | 
|   [Amazon Cognito](https://aws.amazon.com/cognito/pricing/)   |  在 Essentials 方案中，前 10，000 個每月作用中使用者是免費的。 注意：當使用者透過外部 IdP (SAML/OIDC) 驗證時，此免費方案為 50 個每月作用中使用者。  |  超過 10，000 名使用者的每月作用中使用者 0.015 美元。  | 
|   [Amazon CloudFront](https://aws.amazon.com/cloudfront/pricing/)   |  免費方案包括 1 TB 的資料傳輸，以及每月 10，000，000 個 HTTP 或 HTTPS 請求。  |  (US/Canada/Mexico) 第一個 9TB 為每月 0.085 美元。接下來的 40TB 為每月 0.080 美元。 每個 HTTP 請求 0.0075 美元。 每個 HTTPS 請求 \$10.0100。  | 
|   [Amazon S3](https://aws.amazon.com/s3/pricing/)   |  無免費方案  |  前 50 TB 為每月每 GB 0.023 USD。 每 1，000 個 PUT、COPY、POST、LIST 請求 \$10.005。 每 1，000 個 GET、SELECT 和所有其他請求 \$10.0004。  | 
|   [Amazon API Gateway](https://aws.amazon.com/api-gateway/pricing/)   |  使用的前 12 個月內 100 萬次 REST API 呼叫。  |  前 3.33 億個 API 呼叫每百萬 350 美元。  | 

## KMS 成本最佳化
<a name="kms-optimization"></a>

自 **3.1.0 版**起，此解決方案包含 KMS 快取最佳化，可將密碼編譯操作成本降低約 70%
+  **S3 儲存貯體金鑰**：減少 S3 加密操作的 KMS GenerateDataKey 呼叫
+  **SQS 資料金鑰重複使用**：訊息加密的 60 分鐘快取期間
+  **Secrets Manager 快取**：Lambda 函數中的 5 分鐘 TTL

 **效能影響**：這些最佳化將 S3 操作和完整工作流程的延遲提高 10-15 毫秒，同時降低成本，而不會降低輸送量。

## 定價範例 （每月）
<a name="pricing-examples"></a>

### 範例 1：每月 300 個修補
<a name="example-1-300-remediations-per-month"></a>
+ 10 個帳戶、1 個區域
+ 每個account/Region/month 30 個修補
+ 每個account/Region/month處理的 500 個 Security Hub 問題清單
+  **Web UI 已停用** 
+  **動作日誌已停用** 
+ 每月總成本 14.70 美元


| 服務 | 前提 | 每月費用 【USD】 | 
| --- | --- | --- | 
|  AWS Systems Manager 自動化  |  步驟：\$14 個步驟 \$1 300 個修補 \$1 \$10.002 = \$12.40 持續時間：10 秒 \$1 300 個修補 \$1 \$10.00003 = \$10.09  |  2.49 美元  | 
|  AWS Security Hub  |  未使用計費服務  |  0 USD  | 
|  Amazon CloudWatch Logs  |  每 GB 0.50 美元  |  < 0.01 美元  | 
|  AWS Lambda - 請求  |  300 個修補 \$1 7 個請求 = 2，100 個請求 5，000 個調查結果 \$1 1 個請求 = 5，000 個請求 \$10.20/1，000，000 個請求 = 每次請求 \$10.0000002   |  0.00142 美元  | 
|  AWS Lambda - 持續時間  |  (512MB 記憶體） 4，000 毫秒 \$1 300 個修補 \$1 \$10.0000000083 = \$10.00996 449 毫秒 \$1 5，000 個調查結果 \$1 \$10.0000000083 = \$1.0186  |  0.029 美元  | 
|  AWS Step Functions  |  19 個狀態轉換 \$1 300 個修補 = 5，700 \$10.025 \$1 (5，700/1，000) 州轉換 = \$10.14  |  0.14 美元  | 
|  Amazon EventBridge 規則  |  規則不收費  |  0 USD  | 
|  AWS Key Management Service  |  1 個金鑰 \$1 10 個帳戶 \$1 1 個區域 \$1 \$11 = \$110 （加密/解密 API 請求） (300 個修補 \$1 2 個請求） \$1 (5，000 個調查結果 \$1 4 個請求） = 20，600 個請求 使用 KMS 快取：20，600 \$1 0.30 = 6，180 個請求 每 10，000 個請求 \$10.03 ⇒ \$10.03 \$1 (6，180 / 10，000) = \$10.02  |  10.02 美元  | 
|  Amazon DynamoDB  |  \$12.00 \$1 1，000，000 讀取和寫入 = \$12.00 （調查結果表） 15MB \$1 10 個帳戶 \$1 1 個區域 = 150MB （歷史記錄表） 10MB \$1 10 個帳戶 \$1 1 個區域 = 100MB 每月每 GB 0.25 美元 \$1 0.25 GB = 0.0625 美元  |  2.0625 美元  | 
|  Amazon SQS  |  \$10.40 \$1 1，000，000 個請求 = \$10.40  |  0.40 美元  | 
|  Amazon SNS  |  \$10.50 \$1 (600 / 1，000，000 個通知） = \$10.0003  |  0.000 美元3  | 
|  Amazon CloudWatch - 指標  |  （已停用增強指標） \$10.30 \$1 7 個自訂指標 = \$12.10 \$10.01 \$1 (300 put metrics API call / 1，000) = \$10.003  |  2.10 美元  | 
|  Amazon CloudWatch - 儀表板  |  \$13.00 \$1 1 個儀表板 = \$13.00  |  3.00 美元  | 
|  Amazon CloudWatch - 警示  |  （已停用增強指標） \$10.10 \$1 4 個警示 = \$10.40  |  0.40 美元  | 
|  Amazon CloudWatch - X-Ray 追蹤  |  300 個修復 \$1 7 個請求 = 2，100 個 Lambda 調用 5，000 個調查結果 \$1 1 個請求 = 5，000 個 Lambda 調用 每個追蹤 \$10.00005 \$1 7，100 個追蹤 = \$10.0355  |  0.0355 美元  | 
|   **總計**   |  |   **14.70 美元**   | 

### 範例 2：每月 300 個修補 （啟用 Web UI)
<a name="example-2-300-remediations-per-month"></a>
+ 10 個帳戶、1 個區域
+ 每個account/Region/month 30 個修補
+ 每個account/Region/month處理的 5，000 個 Security Hub 問題清單
+  **已啟用 Web UI** 
+  **動作日誌已停用** 
+ 每月總成本 36.35 美元


| 服務 | 前提 | 每月費用 【USD】 | 
| --- | --- | --- | 
|  AWS Systems Manager 自動化  |  步驟：\$14 個步驟 \$1 300 個修補 \$1 \$10.002 = \$12.40 持續時間：10 秒 \$1 300 個修補 \$1 \$10.00003 = \$10.09  |  2.49 美元  | 
|  AWS Security Hub  |  未使用計費服務  |  0 USD  | 
|  Amazon CloudWatch Logs  |  每 GB 0.50 美元  |  < 0.01 美元  | 
|  AWS Lambda - 請求  |  300 個修補 \$1 7 個請求 = 2，100 個請求 5，000 個調查結果 \$1 1 個請求 = 5，000 個請求 \$10.20/1，000，000 個請求 = 每次請求 \$10.0000002   |  0.00142 美元  | 
|  AWS Lambda - 持續時間  |  (512MB 記憶體） 4，000 毫秒 \$1 300 個修補 \$1 \$10.0000000083 = \$10.00996 449 毫秒 \$1 5，000 個調查結果 \$1 \$10.0000000083 = \$1.0186  |  0.029 美元  | 
|  AWS Step Functions  |  19 個狀態轉換 \$1 300 個修補 = 5，700 \$10.025 \$1 (5，700/1，000) 州轉換 = \$10.14  |  0.14 美元  | 
|  Amazon EventBridge 規則  |  規則不收費  |  0 USD  | 
|  AWS Key Management Service  |  1 個金鑰 \$1 10 個帳戶 \$1 1 個區域 \$1 \$11 = \$110 （加密/解密 API 請求） (300 個修補 \$1 2 個請求） \$1 (5，000 個調查結果 \$1 4 個請求） = 20，600 個請求 每 10，000 個請求 \$10.03 ⇒ \$10.03 \$1 (20，600 / 10，000) = \$10.06  |  10.06 美元  | 
|  Amazon DynamoDB  |  \$12.00 \$1 1，000，000 讀取和寫入 = \$12.00 （調查結果表） 15MB \$1 10 個帳戶 \$1 1 個區域 = 150MB （歷史記錄表） 10MB \$1 10 個帳戶 \$1 1 個區域 = 100MB 每月每 GB 0.25 美元 \$1 0.25 GB = 0.0625 美元  |  2.0625 美元  | 
|  Amazon SQS  |  \$10.40 \$1 1，000，000 個請求 = \$10.40  |  0.40 美元  | 
|  Amazon SNS  |  \$10.50 \$1 (600 / 1，000，000 個通知） = \$10.0003  |  0.000 美元3  | 
|  Amazon CloudWatch - 指標  |  （已停用增強指標） \$10.30 \$1 7 個自訂指標 = \$12.10 \$10.01 \$1 (300 put metrics API call / 1，000) = \$10.003  |  2.10 美元  | 
|  Amazon CloudWatch - 儀表板  |  \$13.00 \$1 1 個儀表板 = \$13.00  |  3.00 美元  | 
|  Amazon CloudWatch - 警示  |  （已停用增強指標） \$10.10 \$1 4 個警示 = \$10.40  |  0.40 美元  | 
|  Amazon CloudWatch - X-Ray 追蹤  |  300 個修復 \$1 7 個請求 = 2，100 個 Lambda 調用 5，000 個調查結果 \$1 1 個請求 = 5，000 個 Lambda 調用 每個追蹤 \$10.00005 \$1 7，100 個追蹤 = \$10.0355  |  0.0355 美元  | 
|  Amazon Cognito  |  （基本方案） 500 個每月作用中使用者  |  0 USD  | 
|  Amazon CloudFront  |  區域資料傳輸至原始伺服器 （每 GB) = 0.020 美元 區域資料傳輸到網際網路 （每 GB) = 0.085 美元 請求所有 HTTP 方法的定價 （每 10，000) = 0.0075 美元  |  0.1125 美元  | 
|  Amazon S3  |  (UI 託管） 每 GB \$10.023 \$1 0.002 GB = \$10.00046 （歷史記錄匯出） 每 GB \$10.023 \$1 0.50 GB = \$10.0125 每 1，000 個 GET 請求 \$10.0004  |  \$10.0125  | 
|  AWS WAF  |  1 個 Web ACL = 每月 5.00 美元 7 個規則 \$1 每個規則 \$11.00 = \$17.00  |  12 美元  | 
|  Amazon API Gateway  |  每百萬 REST API 呼叫 3.50 美元  |  3.50 美元  | 
|   **總計**   |  |   **36.35 美元**   | 

### 範例 3：每月 3，000 個修補
<a name="example-3-3000-remediations-per-month"></a>
+ 100 個帳戶、1 個區域
+ 每個account/Region/month 30 個修補
+ 每個account/Region/month處理的 500 個 Security Hub 問題清單
+  **Web UI 已停用** 
+  **動作日誌已停用** 
+ 每月總成本 106.40 美元


| 服務 | 前提 | 每月費用 【USD】 | 
| --- | --- | --- | 
|  AWS Systems Manager 自動化  |  步驟：\$14 個步驟 \$1 3，000 個修補 \$1 \$10.002 = \$124.00 持續時間：10 秒 \$1 3，000 個修補 \$1 0.0000 美元3 = 0.90 美元  |  24.90 美元  | 
|  AWS Security Hub  |  未使用計費服務  |  0 USD  | 
|  Amazon CloudWatch Logs  |  每 GB 0.50 美元  |  < 0.01 美元  | 
|  AWS Lambda - 請求  |  3，000 個修補 \$1 7 個請求 = 2，100 個請求 50，000 個調查結果 \$1 1 個請求 = 50，000 個請求 \$10.20/1，000，000 個請求 = 每次請求 \$10.0000002   |  0.01 美元  | 
|  AWS Lambda - 持續時間  |  (512MB 記憶體） 4，000 毫秒 \$1 3，000 個修補 \$1 \$10.0000000083 = \$10.0996 449 毫秒 \$1 50，000 個調查結果 \$1 \$10.0000000083 = \$10.186  |  0.29 美元  | 
|  AWS Step Functions  |  19 個狀態轉換 \$1 3，000 個修補 = 57，000 個 \$10.025 \$1 (57，000/1，000) 州轉換 = \$11.425  |  1.425 美元  | 
|  Amazon EventBridge 規則  |  規則不收費  |  0 USD  | 
|  AWS Key Management Service  |  1 個金鑰 \$1 100 個帳戶 \$1 1 個區域 \$1 \$11 = \$1100 （加密/解密 API 請求） (3，000 個修補 \$1 2 個請求） \$1 (50，000 個調查結果 \$1 4 個請求） = 206，000 個請求 使用 KMS 快取：206，000 \$1 0.30 = 61，800 個請求 每 10，000 個請求 \$10.03 ⇒ \$10.03 \$1 (61，800 / 10，000) = \$10.185  |  100.185 美元  | 
|  Amazon DynamoDB  |  \$12.00 \$1 1，000，000 讀取和寫入 = \$12.00 （調查結果表） 15MB \$1 100 個帳戶 \$1 1 個區域 = 1，500MB （歷史記錄表） 10MB \$1 100 個帳戶 \$1 1 個區域 = 1，000MB 每月每 GB 0.25 美元 \$1 2.5 GB = 0.625 美元  |  2.625 美元  | 
|  Amazon SQS  |  \$10.40 \$1 1，000，000 個請求 = \$10.40  |  0.40 美元  | 
|  Amazon SNS  |  \$10.50 \$1 1，000，000 個通知 = \$10.50  |  0.50 美元  | 
|  Amazon CloudWatch - 指標  |  （已停用增強指標） \$10.30 \$1 7 個自訂指標 = \$12.10 \$10.01 \$1 (3000 / 1，000) 放置指標 API 呼叫 = \$10.03  |  2.13 美元  | 
|  Amazon CloudWatch - 儀表板  |  \$13.00 \$1 1 個儀表板 = \$13.00  |  3.00 美元  | 
|  Amazon CloudWatch - 警示  |  \$10.10 \$1 4 個警示 = \$10.40  |  0.40 美元  | 
|  Amazon CloudWatch - X-Ray 追蹤  |  3，000 個修補 \$1 7 個請求 = 2，100 個 Lambda 調用 50，000 個調查結果 \$1 1 個請求 = 50，000 個 Lambda 調用 每個追蹤 \$10.00005 \$1 52，100 個追蹤 = \$10.2605  |  0.2605 美元  | 
|   **總計**   |  |   **106.40 美元**   | 

### 範例 4：每月 30，000 個修補
<a name="example-4-30000-remediations-per-months"></a>
+ 1，000 個帳戶、10 個區域
+ 每個account/Region/month 30 個修補
+ 每個account/Region/month處理的 500 個 Security Hub 問題清單
+  **Web UI 已停用** 
+  **動作日誌已停用** 
+ 每月總成本 \$17，360.00


| 服務 | 前提 | 每月費用 【USD】 | 
| --- | --- | --- | 
|  AWS Systems Manager 自動化  |  步驟：\$14 個步驟 \$1 30，000 個修補 \$1 \$10.002 = \$1240.00 持續時間：10 秒 \$1 30，000 個修補 \$1 0.0000 美元3 = 9.00 美元  |  249.00 美元  | 
|  AWS Security Hub  |  未使用計費服務  |  0 USD  | 
|  Amazon CloudWatch Logs  |  每 GB 0.50 美元  |  < 0.01 美元  | 
|  AWS Lambda - 請求  |  30，000 個修補 \$1 7 個請求 = 210，000 個請求 5，000，000 個調查結果 \$1 1 個請求 = 5，000，000 個請求 \$10.20/1，000，000 個請求 = 每次請求 \$10.0000002   |  1.042 美元  | 
|  AWS Lambda - 持續時間  |  (512MB 記憶體） 4，000 毫秒 \$1 30，000 個修補 \$1 \$10.0000000083 = \$10.996 449 毫秒 \$1 5，000，000 個調查結果 \$1 \$10.0000000083 = \$118.63  |  19.63 美元  | 
|  AWS Step Functions  |  19 個狀態轉換 \$1 30，000 個修補 = 570，000 個 \$10.025 \$1 (570，000/1，000) 州轉換 = \$114.25  |  14.25 美元  | 
|  Amazon EventBridge 規則  |  規則不收費  |  0 USD  | 
|  AWS Key Management Service  |  (1 個金鑰） \$11 \$1 1，000 個帳戶 \$1 10 個區域 = \$110，000 （加密/解密 API 請求） (30，000 個修補 \$1 2 個請求） \$1 (5，000，000 個調查結果 \$1 4 個請求） = 20，060，000 個請求 使用 KMS 快取：20，060，000 \$1 0.30 = 6，018，000 個請求 每 10，000 個請求 \$10.03 ⇒ \$10.03 \$1 (6，018，000 / 10，000) = \$118.05  |  10，018.05 美元  | 
|  Amazon DynamoDB  |  \$12.00 \$1 (10，000，000 讀取和寫入/1，000，000) = \$120.00 （調查結果表） 15MB \$1 1000 個帳戶 \$1 10 個區域 = 150GB （歷史記錄表） 10MB \$1 1000 個帳戶 \$1 10 個區域 = 100GB 每月每 GB 0.25 美元 \$1 250 GB = 62.50 美元  |  82.50 美元  | 
|  Amazon SQS  |  \$10.40 \$1 (5，060，000 個請求/1，000，000) = \$12.024  |  2.024 美元  | 
|  Amazon SNS  |  \$10.00005 \$1 1，000，000 個通知 = \$10.50  |  0.50 美元  | 
|  Amazon CloudWatch - 指標  |  （已停用增強指標） \$10.30 \$1 7 個自訂指標 = \$12.10 \$10.01 \$1 (30，000 / 1，000) 放置指標 API 呼叫 = \$10.30  |  2.40 美元  | 
|  Amazon CloudWatch - 儀表板  |  \$13.00 \$1 1 個儀表板 = \$13.00  |  3.00 美元  | 
|  Amazon CloudWatch - 警示  |  （已停用增強指標） \$10.10 \$1 4 個警示 = \$10.40  |  0.40 美元  | 
|  Amazon CloudWatch - X-Ray 追蹤  |  30，000 個修補 \$1 7 個請求 = 210，000 個 Lambda 調用 5，000，000 個調查結果 \$1 1 個請求 = 5，000，000 個 Lambda 調用 每個追蹤 \$10.00005 \$1 5，210，000 個追蹤 = \$126.05  |  26.05 美元  | 
|   **總計**   |  |   **7，360.00 美元**   | 

### 範例 5：每月 30，000 個修補 （啟用 Web UI)
<a name="example-5-30000-remediations-per-months"></a>
+ 1，000 個帳戶、10 個區域
+ 每個account/Region/month 30 個修補
+ 每個account/Region/month處理的 500 個 Security Hub 問題清單
+  **已啟用 Web UI** 
+  **動作日誌已停用** 
+ 每月總成本 7，380.10 美元


| 服務 | 前提 | 每月費用 【USD】 | 
| --- | --- | --- | 
|  AWS Systems Manager 自動化  |  步驟：\$14 個步驟 \$1 30，000 個修補 \$1 \$10.002 = \$1240.00 持續時間：10 秒 \$1 30，000 個修補 \$1 0.0000 美元3 = 9.00 美元  |  249.00 美元  | 
|  AWS Security Hub  |  未使用計費服務  |  0 USD  | 
|  Amazon CloudWatch Logs  |  每 GB 0.50 美元  |  < 0.01 美元  | 
|  AWS Lambda - 請求  |  30，000 個修補 \$1 7 個請求 = 210，000 個請求 5，000，000 個調查結果 \$1 1 個請求 = 5，000，000 個請求 \$10.20/1，000，000 個請求 = 每次請求 \$10.0000002   |  1.042 美元  | 
|  AWS Lambda - 持續時間  |  (512MB 記憶體） 4，000 毫秒 \$1 30，000 個修補 \$1 \$10.0000000083 = \$10.996 449 毫秒 \$1 5，000，000 個調查結果 \$1 \$10.0000000083 = \$118.63  |  19.63 美元  | 
|  AWS Step Functions  |  19 個狀態轉換 \$1 30，000 個修補 = 570，000 個 \$10.025 \$1 (570，000/1，000) 州轉換 = \$114.25  |  14.25 美元  | 
|  Amazon EventBridge 規則  |  規則不收費  |  0 USD  | 
|  AWS Key Management Service  |  (1 金鑰） \$11 \$1 1，000 個帳戶 \$1 10 個區域 = \$110，000 （加密/解密 API 請求） (30，000 個修補 \$1 2 個請求） \$1 (5，000，000 個調查結果 \$1 4 個請求） = 20，060，000 個請求 使用 KMS 快取：20，060，000 \$1 0.30 = 6，018，000 個請求 每 10，000 個請求 \$10.03 ⇒ \$10.03 \$1 (6，018，000 / 10，000) = \$118.05  |  10，018.05 美元  | 
|  Amazon DynamoDB  |  \$12.00 \$1 (10，000，000 讀取和寫入/1，000，000) = \$120.00 （調查結果表） 15MB \$1 1000 個帳戶 \$1 10 個區域 = 150GB （歷史記錄表） 10MB \$1 1000 個帳戶 \$1 10 個區域 = 100GB 每月每 GB 0.25 美元 \$1 250 GB = 62.50 美元  |  82.50 美元  | 
|  Amazon SQS  |  \$10.40 \$1 (5，060，000 個請求/1，000，000) = \$12.024  |  2.024 美元  | 
|  Amazon SNS  |  \$10.00005 \$1 1，000，000 個通知 = \$10.50  |  0.50 美元  | 
|  Amazon CloudWatch - 指標  |  （已停用增強指標） \$10.30 \$1 7 個自訂指標 = \$12.10 \$10.01 \$1 (30，000 / 1，000) 放置指標 API 呼叫 = \$10.30  |  2.40 美元  | 
|  Amazon CloudWatch - 儀表板  |  \$13.00 \$1 1 個儀表板 = \$13.00  |  3.00 美元  | 
|  Amazon CloudWatch - 警示  |  （已停用增強指標） \$10.10 \$1 4 個警示 = \$10.40  |  0.40 美元  | 
|  Amazon CloudWatch - X-Ray 追蹤  |  30，000 個修補 \$1 7 個請求 = 210，000 個 Lambda 調用 5，000，000 個調查結果 \$1 1 個請求 = 5，000，000 個 Lambda 調用 每個追蹤 \$10.00005 \$1 5，210，000 個追蹤 = \$126.05  |  26.05 美元  | 
|  Amazon Cognito  |  （基本方案） 5，000 個每月作用中使用者  |  0 USD  | 
|  Amazon CloudFront  |  區域資料傳輸至原始伺服器 （每 GB) = 0.020 美元 區域資料傳輸到網際網路 （每 GB) = 0.085 美元 請求所有 HTTP 方法的定價 （每 10，000) = 0.0075 美元  |  0.1125 美元  | 
|  Amazon S3  |  (UI 託管） 每 GB \$10.023 \$1 0.002 GB = \$10.00046 （歷史記錄匯出） 每 GB 0.023 USD \$1 100 GB = 2.30 USD 每 1，000 個 GET 請求 \$10.0004 \$1 5，000 個請求 = \$12.00  |  4.30 美元  | 
|  AWS WAF  |  1 Web ACL = 每月 5.00 美元 7 個規則 \$1 每個規則 \$11.00 = \$17.00  |  12 美元  | 
|  Amazon API Gateway  |  每百萬 REST API 呼叫 3.50 美元  |  3.50 美元  | 
|   **總計**   |  |   **7，380.10 美元**   | 

**重要**  
 啟用輪換時，**KMS Key Rotation Costs** AWS Key Management Service (KMS) 每年會自動輪換一次客戶受管金鑰。每次輪換都會產生每個金鑰每年 1.00 USD 的成本。例如，在單一區域中擁有 1000 個帳戶，這會產生額外的每年 1000 美元 (1 個輪換 × 1000 個金鑰 × 1.00 美元）。

## 選用功能的額外費用
<a name="additional-cost-optional"></a>

本節識別與此解決方案的選用功能相關的額外費用。

### 增強型 CloudWatch 指標
<a name="additional-cost-enhanced-metrics"></a>

如果您在部署管理員堆疊時`yes`為 **EnableEnhancedCloudWatchMetrics** 參數選取 ，解決方案會為每個控制項 ID 建立兩個自訂指標和一個警示。成本取決於您要修復IDs 數目。在下表中，我們假設您每月修復全部 96 個不同的控制 IDs，以判斷成本上限。


| 服務 | 假設 96 IDs \$1 2 = 192 個自訂指標 | 每月費用 【USD】 | 
| --- | --- | --- | 
|  Amazon CloudWatch - 指標  |  \$10.30 \$1 192 個自訂指標 = \$157.60  |  57.60 美元  | 
|  Amazon CloudWatch - 警示  |  \$10.10 \$1 96 個警示 = \$19.60  |  9.60 美元  | 
|   **總計**   |  |   **67.20 美元**   | 

### CloudTrail 動作日誌
<a name="additional-cost-action-log"></a>

在您啟用動作日誌功能的每個成員帳戶中，解決方案會建立 CloudTrail 追蹤記錄所有寫入管理事件。Lambda 函數會篩選出與解決方案無關的事件。這表示成本與您帳戶中的管理事件總數有關，因為與解決方案無關的事件仍由追蹤擷取並由 Lambda 函數處理。

對於下表，我們假設帳戶中每個月有 150，000 個管理事件。實際成本取決於您帳戶中的實際管理事件活動。


| 服務 | 前提 | 每月費用 【USD】 | 
| --- | --- | --- | 
|  AWS CloudTrail  |  150，000 \$1 \$12.00/100，000 = \$13.00  |  3.00 美元  | 
|  Lambda  |  150，000 \$1 0.2 \$1 0.125 = 3，750 GB-秒 3，750 \$1 \$10.0000166667 = \$10.0625 運算時間成本 0.15 \$1 \$10.20 = \$10.03 請求成本 \$10.0625 \$1 \$10.03 = \$10.0952 總 Lambda 成本  |  0.0925 美元  | 
|   **總計**   |  |   **每個成員帳戶 3.09 美元**   | 

# 安全
<a name="security"></a>

當您在 AWS 基礎設施上建置系統時，安全責任會由您和 AWS 共同承擔。此[共用模型](https://aws.amazon.com/compliance/shared-responsibility-model/)可減少您的操作負擔，因為 AWS 會操作、管理和控制元件，包括主機作業系統、虛擬化層，以及服務操作所在設施的實體安全性。如需 AWS 安全性的詳細資訊，請造訪 [AWS 雲端安全性](https://aws.amazon.com/security/)。

## API Gateway 安全政策
<a name="api-gateway-security-policy"></a>

如果您選擇啟用解決方案的 Web 使用者介面，則 API Gateway REST API 會與 Admin CloudFormation 堆疊一起部署，做為 Web UI 中所有操作的後端。解決方案部署的 REST API 會使用 API Gateway 的預設 TLS 安全政策，這是`TLS-1-0`針對區域 APIs

不過，在部署 Admin CloudFormation 堆疊之後，您可以選擇新增更嚴格的 TLS 安全政策來自訂解決方案的 REST API。例如，您可以選擇 `TLS_1_2 security policy` 來限制使用 TLSv1.2 或 TLSv1.3. 您可以在 API Gateway 主控台中找到解決方案的 REST API，名稱為 **AutomatedSecurityResponseApi**。

若要為解決方案的 REST API 選擇安全政策，您必須先設定自訂網域名稱。如需詳細資訊，請參閱 [API Gateway 中公有 REST APIs的自訂網域名稱](https://docs.aws.amazon.com/apigateway/latest/developerguide/how-to-custom-domains.html)。

如需將安全政策新增至 REST API 的詳細資訊，請參閱 [API Gateway 指南中的在 API Gateway 中為您的 REST API 自訂網域選擇安全政策](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-custom-domain-tls-version.html)。

# IAM 角色
<a name="iam-roles"></a>

AWS Identity and Access Management (IAM) 角色可讓客戶將精細的存取政策和許可指派給 AWS 雲端中的服務和使用者。此解決方案會建立 IAM 角色，授予解決方案的自動化函數存取權，以在每個修補的特定許可集中執行修補動作。

管理員帳戶的 Step Function 會指派給 SO0111-ASR-Orchestrator-Admin 角色。只有此角色才能在每個成員帳戶中擔任 SO0111-Orchestrator-Member。每個修復角色都允許成員角色將其傳遞至 AWS Systems Manager 服務，以執行特定的修復 Runbook。修復角色名稱以 SO0111 開頭，後面接著符合修復 Runbook 名稱的描述。例如，SO0111-RemoveVPCDefaultSecurityGroupRules 是 ASR-RemoveVPCDefaultSecurityGroupRules 修復 Runbook 的角色。

## 支援的 AWS 區域
<a name="supported-aws-regions"></a>

**重要**  
在解決方案中啟用選用功能可能會減少支援部署的區域清單。換言之，以下清單僅適用於解決方案的核心元件。例如，如果您選擇啟用 Web UI，您將無法在 GovCloud 區域中部署解決方案，因為[截至 2025 年 11 月，GovCloud (US) 不支援 CloudFront](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/setting-up-cloudfront.html)。


| 區域名稱 | 區域代碼 | 
| --- | --- | 
|  美國東部 (俄亥俄)  |  us-east-2  | 
|  美國東部 (維吉尼亞北部)  |  us-east-1  | 
|  美國西部 (加利佛尼亞北部)  |  us-west-1  | 
|  美國西部 (奧勒岡)  |  us-west-2  | 
|  Africa (Cape Town)  |  af-south-1  | 
|  亞太地區 (香港)  |  ap-east-1  | 
|  亞太地區 (海德拉巴)  |  ap-south-2  | 
|  亞太地區 (雅加達)  |  ap-southeast-3  | 
|  亞太地區 (墨爾本)  |  ap-southeast-4  | 
|  亞太區域 (孟買)  |  ap-south-1  | 
|  亞太地區 (大阪)  |  ap-northeast-3  | 
|  亞太區域 (首爾)  |  ap-northeast-2  | 
|  亞太區域 (新加坡)  |  ap-southeast-1  | 
|  亞太區域 (雪梨)  |  ap-southeast-2  | 
|  亞太區域 (東京)  |  ap-northeast-1  | 
|  加拿大 (中部)  |  ca-central-1  | 
|  歐洲 (法蘭克福)  |  eu-central-1  | 
|  歐洲 (愛爾蘭)  |  eu-west-1  | 
|  歐洲 (倫敦)  |  eu-west-2  | 
|  歐洲 (米蘭)  |  eu-south-1  | 
|  Europe (Paris)  |  eu-west-3  | 
|  歐洲 (西班牙)  |  eu-south-2  | 
|  Europe (Stockholm)  |  eu-north-1  | 
|  歐洲 (蘇黎世)  |  eu-central-2  | 
|  Middle East (Bahrain)  |  me-south-1  | 
|  中東 (阿拉伯聯合大公國)  |  me-central-1  | 
|  南美洲 (聖保羅)  |  sa-east-1  | 
|  AWS GovCloud (US-East)  |  us-gov-east-1  | 
|  AWS GovCloud (US-West)  |  us-gov-west-1  | 
|  中國 (北京)  |  cn-north-1  | 
|  中國 (寧夏)  |  cn-northwest-1  | 
|  以色列 (特拉維夫)  |  il-central-1  | 
|  加拿大西部 (卡加利)  |  ca-west-1  | 
|  墨西哥 （墨西哥市）  |  mx-central-1  | 
|  亞太區域 (泰國)  |  ap-southeast-7  | 
|  亞太地區 (馬來西亞)  |  ap-southeast-5  | 

**注意**  
任何未列出的新 AWS 區域都可以透過本機部署支援，但無法一鍵式部署。

# 配額
<a name="quotas"></a>

服務配額 (也稱為限制) 是您 AWS 帳戶的服務資源或操作數目最大值。

## 此解決方案中 AWS 服務的配額
<a name="quotas-for-aws-services-in-this-solution"></a>

請確定您為此[解決方案中實作的每個服務](architecture-details.md#aws-services-in-this-solution)有足夠的配額。如需詳細資訊，請參閱 [AWS 服務配額](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html)。

使用以下連結前往該服務的 頁面。若要在不切換頁面的情況下檢視文件中所有 AWS 服務的 Service Quotas，請改為檢視 PDF 中[服務端點和配額](https://docs.aws.amazon.com/general/latest/gr/aws-general.pdf#aws-service-information)頁面中的資訊。

## AWS CloudFormation 配額
<a name="aws-cloudformation-quotas"></a>

您的 AWS 帳戶具有在此解決方案中[啟動堆疊](deployment.md#step-2)時應注意的 AWS CloudFormation 配額。透過了解這些配額，您可以避免限制會阻止您成功部署此解決方案的錯誤。如需詳細資訊，請參閱《[AWS CloudFormation 使用者指南》中的 AWS CloudFormation 配額](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cloudformation-limits.html)。 *AWS CloudFormation *

## AWS CloudWatch 配額
<a name="aws-cloudwatch-quotas"></a>

您的 AWS 帳戶具有與 CloudWatch 資源政策繫結的 AWS CloudWatch 配額，每個帳戶每個區域僅允許 10 個資源政策，因此無法請求增加配額，請參閱[《AWS CloudWatch 使用者指南》中的 AWS CloudWatch Logs Quotas](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch_limits_cwl.html)。 * CloudWatch * 在部署之前，請檢查您目前的用量，以確保您在部署解決方案時不會超過此閾值。

## AWS Organizations
<a name="aws-org-quotas"></a>

解決方案的 Lambda 函數會呼叫 [AWS Organizations API](https://docs.aws.amazon.com/organizations/latest/APIReference/Welcome.html)，以擷取目前帳戶的別名，以包含在發佈至解決方案 SNS 主題的訊息中。這可讓人類可讀取的帳戶名稱顯示在解決方案的通知中，以供偵錯和追蹤之用。

AWS Organizations 會限制客戶調用其 API 端點的頻率。如果您發現解決方案超過您帳戶設定的限制，您可以停用擷取和顯示帳戶別名的功能。

若要執行此作業，請**導覽至名為 的 Lambda 函數**，該函數`SO0111-ASR-sendNotifications`位於您部署 Admin 堆疊的區域和帳戶中。然後，**找到名為 的環境變數**，並將值從 "False" `DISABLE_ACCOUNT_ALIAS_LOOKUP`變更為 **"True"**。解決方案通知中的帳戶別名欄位現在將是*「未知」*，但這不會影響解決方案的功能。

# AWS Security Hub 部署
<a name="aws-security-hub-deployment"></a>

AWS Security Hub 部署和組態是此解決方案的先決條件。如需設定 AWS Security Hub CSPM 的詳細資訊，請參閱[《AWS Security Hub 使用者指南》中的設定 AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html)*。*此解決方案也支援 [AWS Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub-v2.html) （非 CSPM 版本）。如需設定 AWS Security Hub 的詳細資訊，請參閱[啟用 Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-enable.html)。

您至少必須在主要帳戶中設定正常運作的 Security Hub。您可以在與 Security Hub 主要帳戶相同的 帳戶 （和 AWS 區域） 中部署此解決方案。在每個 Security Hub 主要和次要帳戶中，您還必須部署成員範本，允許 AssumeRole 許可給解決方案的 AWS Step Functions，以在帳戶中執行修復 Runbook。

# Stack 與 StackSets 部署
<a name="stack-vs-stacksets-deployment"></a>

*堆疊集*可讓您使用單一 AWS CloudFormation 範本，跨 AWS 區域在 AWS 帳戶中建立堆疊。從 1.4 版開始，此解決方案會根據資源部署的位置和方式來分割資源，以支援堆疊集部署。多帳戶客戶，特別是使用 AWS Organizations 的客戶，可以受益於使用堆疊集在多個帳戶中進行部署。它減少了安裝和維護解決方案所需的工作量。如需 StackSets 的詳細資訊，請參閱[使用 AWS CloudFormation StackSets](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/using-stacksets.html)。