密钥存储
对于您在 AWS Key Management Service (KMS) 中创建的每个客户主密钥 (CMK),无论您是通过 KMS 生成的密钥材料还是通过自己导入的密钥材料来使用它,在删除前每月都要花费 1 USD。对于使用 KMS 生成的密钥材料的 CMK,如果您选择让 CMK 每年自动轮换,则每个新轮换的 CMK 版本每月都将多花费 1 USD。KMS 会保留和管理以前的每个 CMK 版本,以确保您可以解密较早的数据。以下项目不收费:
- 创建和存储 AWS 托管的 CMK(当您第一次尝试在支持的 AWS 服务中加密资源时系统自动替您创建)。
- 计划删除的 CMK。如果您在等待期内取消删除操作,则该 CMK 将产生与其从未被计划删除等额的费用。
- 数据密钥(由 GenerateDataKey 和 GenerateDataKeyWithoutPlaintext API 请求创建)。无论是您直接发出这些 API 请求还是某项集成 AWS 服务替您发出这些 API 请求,您都需按照下面所述的使用量定价为其付费。您无需为数据密钥本身按月支付费用,因为它们不由 KMS 存储和管理。
试用 AWS Key Management Service
AWS 免费套餐包含每月 20000 个免费的 AWS Key Management Service 请求。
密钥使用量
自定义密钥存储
您可以选择使用 CloudHSM 群集生成和存储 AWS KMS 密钥。使用自定义密钥存储不会影响存储和使用 CMK 的 KMS 费用。但是,自定义密钥存储库确实需要维护包含至少两个 HSM 的 CloudHSM 群集。为了提高可用性和性能,可以添加更多 HSM。需要支付标准 CloudHSM 费用。请参见定价示例。
免费套餐
AWS Key Management Service 提供 20000 个请求/月的免费套餐,计算范围涵盖 KMS 的所有可用区域。
定价示例
Amazon EBS 示例
1 个 CMK,当通过 AWS KMS CLI 或 API 每月创建 250 个加密的 EBS 卷时用作主密钥。
成本维度:
- 1 个 CMK
- 3 X 250 个 API 请求,为每 250 个卷创建和预配置一个单独的数据加密密钥
| 1.00 USD | 1 个 CMK |
| 0.00 USD | 0 请求(750 个请求 — 20000 个免费套餐请求) |
| 合计: | |
| 1 USD/月 |
Amazon S3 示例
1 个 CMK,用于加密 10000 份集体解密用于每月 2000000 次访问的单独文件。
成本维度:
- 1 个 CMK
- 10000 个加密请求(1 个请求 x 10000 个对象)
- 2000000 个访问对象的解密请求
月度成本:
| 1.00 USD | 1 个 CMK |
| 5.97 USD | 1990000 个请求(2010000 个总请求 – 20000 个免费套餐请求)x 0.03 USD/10000 个请求 |
| 合计: | |
| 6.97 USD/月 |
Amazon S3 示例 – 使用自定义密钥存储
1 个 CMK,用于加密 10000 份集体解密用于每月 2000000 次访问的单独文件。一个包含 2 个 HSM 的 CloudHSM 群集在美国东部(弗吉尼亚北部)维护整个月。
成本维度:
- 1 个 CMK
- 10000 个加密请求(1 个请求 x 10000 个对象)
- 2000000 个访问对象的解密请求
- 2 个 CloudHSM 实例
月度成本:
| 1.00 USD | 1 个 CMK |
| 5.97 USD | 1990000 个请求(2010000 个总请求 – 20000 个免费套餐请求)x 0.03 USD/10000 个请求 |
| 2380.80 USD | 31 天,2 个 HSM x 1.60 USD/HSM/小时 |
| 合计: | |
| 2387.77 USD/月 |
AWS CloudTrail 日志记录
如果您在账户中启用 AWS CloudTrail,则可以获得指向或来自 AWS KMS 的 API 调用的日志。请参阅 AWS CloudTrail 定价页面了解更多信息。
