本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 的成本和帳單管理最佳實務 AWS KMS
<a name="cost"></a>

透過廣度和深度， AWS 服務 提供彈性來管理成本，同時滿足業務需求。本節涵蓋 (AWS KMS) 中 AWS Key Management Service 金鑰儲存的定價，並提供降低成本的建議，例如透過金鑰快取。您也可以檢閱 KMS 金鑰用量，判斷是否有其他機會降低成本。

**Topics**
+ [AWS KMS 金鑰儲存的 定價](#cost-key-storage)
+ [使用預設加密的 Amazon S3 儲存貯體金鑰](#cost-bucket-keys)
+ [使用 快取資料金鑰 AWS Encryption SDK](#cost-key-caching)
+ [金鑰快取和 Amazon S3 儲存貯體金鑰的替代方案](#cost-alternatives)
+ [管理 KMS 金鑰用量的記錄成本](#cost-key-usage)

## AWS KMS 金鑰儲存的 定價
<a name="cost-key-storage"></a>

 AWS KMS key 您在 中建立的每個 AWS KMS 都會產生費用。對於對稱金鑰、非對稱金鑰、HMAC 金鑰、多區域金鑰 （每個主要金鑰和每個複本多區域金鑰）、具有匯入金鑰材料的金鑰，以及金鑰來源為 AWS CloudHSM 或外部金鑰存放區的 KMS 金鑰，每月費用相同。

對於您自動或隨需輪換的 KMS 金鑰，金鑰的第一次和第二次輪換會增加額外的每月費用 （每小時按比例分配）。在第二次輪換之後，該月的任何後續輪換都不會計費。如需最新[AWS KMS 定價](https://aws.amazon.com/kms/pricing/)資訊，請參閱 定價。

您可以使用 [AWS Budgets](https://docs.aws.amazon.com/cost-management/latest/userguide/budgets-managing-costs.html)來設定用量預算。當帳戶中的花費超過特定閾值時， AWS Budgets 可以提醒您。對於與 相關的成本 AWS KMS，您可以[建立用量預算](https://docs.aws.amazon.com/cost-management/latest/userguide/create-usage-budget.html)，以根據 KMS 金鑰或請求發出提醒。這可以提高您對 AWS KMS 金鑰儲存和使用成本的可見性。

## 使用預設加密的 Amazon S3 儲存貯體金鑰
<a name="cost-bucket-keys"></a>

在某些使用案例中，在 Amazon Simple Storage Service (Amazon S3) 中存取或產生大量物件的工作負載可能會產生大量請求 AWS KMS，進而增加您的成本。設定 [Amazon S3 儲存貯體金鑰](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html)可協助您將成本降低高達 99%。這是停用加密的建議替代方案，以協助降低與 相關的成本 AWS KMS。

## 使用 快取資料金鑰 AWS Encryption SDK
<a name="cost-key-caching"></a>

使用 [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)執行用戶端加密時，[資料金鑰快取](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/data-key-caching.html)有助於改善應用程式的效能、降低應用程式請求受到 AWS KMS 調節的風險，並協助您降低成本。 [https://docs.aws.amazon.com/kms/latest/developerguide/throttling.html](https://docs.aws.amazon.com/kms/latest/developerguide/throttling.html)如需如何開始使用的詳細資訊，請參閱[如何使用資料金鑰快取](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/implement-caching.html)。

## 金鑰快取和 Amazon S3 儲存貯體金鑰的替代方案
<a name="cost-alternatives"></a>

如果由於資料處理需求而無法選擇金鑰快取，您也可以使用 AWS 管理主控台 或 [Service Quotas API](https://docs.aws.amazon.com/servicequotas/2019-06-24/apireference/Welcome.html) 來請求 AWS KMS [增加配額](https://docs.aws.amazon.com/kms/latest/developerguide/increase-quota.html)。考慮您可能進行的 API 呼叫量。您進行的 API 呼叫數量是[AWS KMS 定價](https://aws.amazon.com/kms/pricing/)的重要因素。如果您增加請求率配額以擴展效能，則 產生的請求數量會增加 AWS KMS ，因而產生額外費用。

## 管理 KMS 金鑰用量的記錄成本
<a name="cost-key-usage"></a>

所有 AWS KMS API 呼叫都會記錄到 AWS CloudTrail。應用程式和服務可以產生大量 AWS KMS API 呼叫 （例如用於密碼編譯操作，包括加密和解密）。如果沒有可協助您整理資料、調查趨勢和搜尋異常 API 活動的工具，檢閱 CloudTrail 日誌可能具有挑戰性。[Amazon Athena](https://docs.aws.amazon.com/athena/latest/ug/what-is.html) 提供預先定義的資料結構，可協助您快速設定 CloudTrail 日誌的資料表，並開始分析日誌資料。在事件回應期間，它對於臨機操作分析或進一步調查特別有用。如需詳細資訊，請參閱 Athena 文件中的[查詢 AWS CloudTrail 日誌](https://docs.aws.amazon.com/athena/latest/ug/cloudtrail-logs.html)。

由於您按 Athena 的每個查詢付費，因此您可以免費事先設定資料表。資料定義語言陳述式不收取任何費用。當您回應事件時，這可協助您確保已符合許多先決條件。為了協助您做好準備，最佳實務是在建立資料表後撰寫查詢、進行測試，並確保它們產生您想要的結果。您可以在 Athena 中儲存查詢以供日後使用。如需如何開始使用 Athena 的詳細資訊，請參閱[開始使用 Amazon Athena](https://docs.aws.amazon.com/athena/latest/ug/getting-started.html)。

[資料事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events)可讓您查看在資源上執行或在資源內執行的操作。這些也稱為資料平面操作**。範例包括 Amazon S3 `PutObject`事件或 Lambda 函數操作 API 呼叫。資料事件通常是大量活動，您記錄它們會產生費用。為了協助控制記錄到 CloudTrail 中線索或事件資料存放區的資料事件量，您可以最佳化您的記錄以降低 CloudTrail 和 Amazon S3 的成本 AWS KMS，方法是設定進階事件選取器來限制要登入 CloudTrail 的資料事件。如需詳細資訊，請參閱[如何使用進階事件選取器來最佳化 AWS CloudTrail 成本 ](https://aws.amazon.com/blogs/mt/optimize-aws-cloudtrail-costs-using-advanced-event-selectors/)(AWS 部落格文章）。