AWS Key Management Service 定价

密钥存储

对于您在 AWS Key Management Service (KMS) 中创建的每个客户主密钥 (CMK)，无论您是通过服务、自定义密钥存储库生成潜在密钥材料，还是导入密钥材料，在删除前每月都要花费 1 USD。对于使用该服务生成的密钥材料的 CMK，如果您选择让其每年自动轮换，则每个新的密钥版本都会使 CMK 的每月成本提高 1 USD。AWS KMS 会保留和管理以前的每个 CMK 版本，以确保您可以解密使用之前版本加密的数据。由 GenerateDataKeyPair 和 GenerateDataKeyPairWithoutPlaintext API 请求创建的数据密钥对，将按照下面讨论的使用定价为这些 API 请求支付费用。您无需为数据密钥对本身按月支付费用，因为它们不由该服务存储和管理。在创建密钥的月份中，每月 1 USD 的密钥存储费用将按比例分摊到最近的整小时费用。

以下项目不收费：

AWS 托管 CMK 的创建和存储。当您首次尝试对与 AWS KMS 集成的 AWS 服务中的资源进行加密时，会自动为您创建这些密钥。您无法管理生命周期或对 AWS 托管密钥的访问权限。
您创建的计划删除的客户托管 CMK。如果您在等待期内取消删除操作，则该 CMK 将产生与其从未被计划删除等额的费用。

试用 AWS Key Management Service

AWS 免费套餐包含每月 20000 个免费的 AWS Key Management Service 请求。

查看 AWS 免费套餐详细信息 »

免费试用 AWS Key Management Service

密钥使用量

自定义密钥存储

您可以选择使用 AWS CloudHSM 集群生成和存储 CMK。使用自定义密钥存储不会影响存储和使用 CMK 的费用。但是，一个自定义密钥存储确实需要您维护包含至少两个 HSM 的 AWS CloudHSM 集群。为了提高可用性和性能，可以添加更多 HSM。需要支付标准 AWS CloudHSM 费用。请参阅定价示例。

免费套餐

AWS Key Management Service 提供 20000 个请求/月的免费套餐，计算范围涵盖该服务的所有可用区域。

*对 GenerateDataKeyPair 和 GenerateDataKeyPairWithoutPlaintext API 的请求，以及对 API 的请求，例如签名、验证、加密、解密和引用非对称 CMK 的 GetPublicKeycmk 均未包含在免费套餐内。

定价示例

Amazon EBS 示例

1 个 CMK，当通过 AWS KMS CLI 或 API 每月创建 250 个加密的 EBS 卷时用作主密钥。

成本维度：

1 个 CMK
3 X 250 个 API 请求，为每 250 个卷创建和预配置一个单独的数据加密密钥

月度成本：

1.00 USD	1 个 CMK
0.00 USD	0 请求（750 个请求 — 20000 个免费套餐请求）
合计：
1 USD/月

Amazon S3 示例

1 个 CMK，用于加密 10000 份集体解密用于每月 2000000 次访问的单独文件。

成本维度：

1 个 CMK
10000 个加密请求（1 个请求 x 10000 个对象）
2000000 个访问对象的解密请求

月度成本：

1.00 USD	1 个 CMK
5.97 USD	1990000 个请求（2010000 个总请求 – 20000 个免费套餐请求）x 0.03 USD/10000 个请求
合计：
6.97 USD/月

Amazon S3 示例 – 使用自定义密钥存储

1 个 CMK，用于加密 10000 份集体解密用于每月 2000000 次访问的单独文件。一个包含 2 个 HSM 的 CloudHSM 群集在美国东部（弗吉尼亚北部）维护整个月。

成本维度：

1 个 CMK
10000 个加密请求（1 个请求 x 10000 个对象）
2000000 个访问对象的解密请求
2 个 CloudHSM 实例

月度成本：

1.00 USD	1 个 CMK
5.97 USD	1990000 个请求（2010000 个总请求 – 20000 个免费套餐请求）x 0.03 USD/10000 个请求
2380.80 USD	31 天，2 个 HSM x 1.60 USD/HSM/小时
合计：
2387.77 USD/月