View a markdown version of this page

のコストと請求管理のベストプラクティス AWS KMS - AWS 規範ガイダンス
キーストレージコストAmazon S3 バケットキーデータキーのキャッシュ代替案ログ記録コストの管理

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

のコストと請求管理のベストプラクティス AWS KMS

の幅と深さを通じて、ビジネス要件を満たしながらコストを AWS のサービス 柔軟に管理できます。このセクションでは、 (AWS KMS) の AWS Key Management Service キーストレージの料金について説明し、キーキャッシュなどを通じてコストを削減するための推奨事項を提供します。KMS キーの使用状況を確認して、コストを削減する追加の機会があるかどうかを調べることもできます。

AWS KMS キーストレージの料金

で AWS KMS key 作成する ごとに料金 AWS KMS が発生します。月額料金は、対称キー、非対称キー、HMAC キー、マルチリージョンキー (各プライマリキーと各レプリカマルチリージョンキー)、インポートされたキーマテリアルを持つキー、キーオリジンが AWS CloudHSM または外部キーストアの KMS キーで同じです。

自動またはオンデマンドでローテーションする KMS キーの場合、キーの最初のローテーションと 2 番目のローテーションにより、月額料金 (時間単位の按分計算) が追加されます。2 回目のローテーションの後、その月のそれ以降のローテーションは請求されません。最新のAWS KMS 料金情報については、「 の料金」を参照してください。

AWS Budgets を使用して使用量の予算を設定できます。 AWS Budgets は、アカウント内の支出が特定のしきい値を超えたときに警告できます。に関連するコストについては AWS KMS、KMS キーまたはリクエストに基づいてアラートする使用予算を作成できます。これにより、 AWS KMS キーストレージと使用コストの可視性が向上します。

デフォルトの暗号化を使用した Amazon S3 バケットキー

ユースケースによっては、Amazon Simple Storage Service (Amazon S3) で多数のオブジェクトにアクセスまたは生成するワークロードによって AWS KMS、 への大量のリクエストが生成され、コストが増加する可能性があります。Amazon S3 バケットキーを設定すると、コストを最大 99% 削減できます。これは、関連するコストを削減するために暗号化を無効にするための推奨される代替手段です AWS KMS。

を使用したデータキーのキャッシュ AWS Encryption SDK

を使用してクライアント側の暗号化AWS Encryption SDKを実行する場合、データキーキャッシュはアプリケーションのパフォーマンスを向上させ、アプリケーションから へのリクエストがスロットリング AWS KMS されるリスクを軽減し、コストを削減するのに役立ちます。開始方法の詳細については、「データキーキャッシュの使用方法」を参照してください。

キーキャッシュと Amazon S3 バケットキーの代替方法

データ処理要件のためにキーキャッシュがオプションでない場合は、 AWS マネジメントコンソール または Service Quotas API を使用して AWS KMS クォータの引き上げをリクエストすることもできます。実行できる API コールの量を考慮してください。実行する API コールの数は、AWS KMS 料金の重要な要素です。リクエストレートクォータを増やしてパフォーマンスをスケールすると、 へのリクエスト数が増えると、追加コスト AWS KMS が発生します。

KMS キー使用のログ記録コストの管理

すべての AWS KMS API コールがログに記録されます AWS CloudTrail。アプリケーションとサービスは、大量の AWS KMS API コールを生成できます (暗号化や復号化を含む暗号化オペレーションなど)。データの整理、傾向の調査、異常な API アクティビティの検索に役立つツールなしで CloudTrail ログを確認するのは難しい場合があります。Amazon Athena には、CloudTrail ログのテーブルをすばやくセットアップし、ログデータの分析を開始するのに役立つ事前定義されたデータ構造が用意されています。これは、インシデント対応中のアドホック分析やさらなる調査に特に役立ちます。詳細については、Athena ドキュメントの「クエリ AWS CloudTrail ログ」を参照してください。

Athena の料金はクエリごとに支払うため、テーブルは事前に無料で設定できます。データ定義言語ステートメントには料金はかかりません。インシデントに対応すると、多くの前提条件が既に満たされていることを確認するのに役立ちます。準備に役立つように、テーブルの作成後にクエリを記述し、テストして、必要な結果を生成していることを確認するのがベストプラクティスです。クエリは、今後の使用のために Athena に保存できます。Athena の開始方法の詳細については、Amazon Athena の開始方法」を参照してください。

データイベントは、リソース上またはリソース内で実行されるオペレーションを可視化します。これらのイベントは、データプレーンオペレーションとも呼ばれます。例としては、Amazon S3 PutObjectイベントや Lambda 関数オペレーション API コールなどがあります。データイベントは多くの場合、大量のアクティビティであり、ログ記録に対して料金が発生します。CloudTrail の証跡またはイベントデータストアにログ記録されるデータイベントの量を制御するために、CloudTrail と Amazon S3 のコストを削減するために AWS KMS、CloudTrail にログインするデータイベントを制限する高度なイベントセレクタを設定することで、ログ記録を最適化できます。 Amazon S3 詳細については、「高度なイベントセレクタを使用して AWS CloudTrail コストを最適化する方法」(AWS ブログ記事) を参照してください。