AWS Control Tower は追加料金なしでご利用いただけます。ただし、AWS Control Tower をセットアップすると、ランディングゾーンおよび必須のガードレールをセットアップするように設定された AWS のサービスの費用が発生します。AWS Organizations や AWS IAM アイデンティティセンター (AWS SSO の後継) などの一部の AWS のサービスは追加料金がかかりませんが、AWS Service Catalog, AWS CloudTrailAWS ConfigAmazon CloudWatchAmazon Simple Notification Service (SNS)、Amazon Simple Storage Service (S3)、Amazon Virtual Private Cloud (VPC) などのサービスの料金が、これらのサービスの使用量に基づいて発生します。使用した分だけをお支払いいただきます。

たとえば、新しいアカウントをプロビジョニングする際に AWS Control Tower のアカウントファクトリーの設定を編集してパブリックサブネットを有効にすると、アカウントファクトリーは Amazon VPC を設定して NAT Gateway を作成し、Amazon VPC の使用に対して請求するようになります。次の例は、他のサービスを有効にすることで発生するコストに、AWS Control Tower がどのように影響するかを示しています。

AWS Control Tower のアカウントから一時的ワークロードを実行している場合、これらの一時的なリソースの作成や削除に関連する設定変更を記録するため、AWS Config のコストが増加する可能性があります。一時的ワークロードとは、コンピューティングリソースを一時的に使用するもので、必要なときにロードされて実行されます。例えば、Amazon Elastic Compute Cloud (EC2) スポットインスタンス、Amazon EMR ジョブ、AWS Auto Scaling などがあります。

詳細については、Config の料金をご覧ください。これらのコストの管理に関する具体的な情報については、AWS のアカウント担当者にお問い合わせください。

料金の例 1: AWS Control Tower のセットアップ

米国東部 (バージニア北部) の AWS リージョンにあるホームリージョンで、AWS Control Tower をセットアップします。強く推奨されたり必須ではないガードレールを適用したり、アカウントファクトリーを使用して新しいアカウントを作成したりしないでください。

管理アカウントで AWS Control Tower を最初にセットアップすると、AWS Control Tower がアカウントファクトリーをプロビジョニングし、2 つの共有アカウント (ログアーカイブと監査) を作成して、必須のガードレール (予防ガードレールと検出ガードレール) が適用されます。サービスコントロールポリシー (SCP) として実装される予防ガードレールはグローバルに適用されます。AWS Config ルールとして実装される検出ガードレールは、AWS Control Tower が現在利用可能なすべての AWS リージョンで有効になります。

管理アカウントには、AWS Control Tower に関連するアクティビティに関連する次の料金が課金されます。

  • 1 回限り 0.033 USD の料金。これには、AWS Config が最初に 3 つの設定項目を記録するのにかかる 0.009 USD (設定項目あたりの料金は 0.003 USD) と、AWS Config が 2 つのルールを評価するのにかかる 0.002 USD (最初の 10 万件の評価に対し、評価あたり 0.001 USD の料金で) が含まれます。どちらの料金も、ログ–アーカイブアカウントの Simple Storage Service (Amazon S3) バケットに関連するものです。AWS CloudTrail がランディングゾーンの作成中に 1,100 件のイベントを記録するのにかかる 0.022 USD (10 万件の管理イベントあたりの料金は 2.00 USD)。
  • すべてのアカウントでのアクティビティに応じて、AWS CloudTrailAWS Service Catalog (新しいポートフォリオの作成、アカウントファクトリー製品の作成、アクセス許可の関連付けのために記録した 8 つの API コール)、Amazon CloudWatchSimple Storage Service (Amazon S3)Amazon SNSAWS Config、およびその他のサービスなどのリソースに適用される追加料金。たとえば、Amazon S3 がログ–アーカイブバケットを保存する場合、1 GB あたり 0.023 USD が課金されます。

詳細については、それぞれの AWS のサービスの料金ページをご参照ください。 

料金の例 2: AWS での使用プロファイルが小さいお客様

料金の例 1 でランディングゾーンを設定した後、チームが使用する 10 個の新しいアカウントをプロビジョニングし、新しいアカウントごとに 5 つのリソースを作成します。ビジネスポリシーに従って、リソースをホストし、単一の AWS リージョン、たとえば米国東部 (バージニア北部) でオペレーションを実行してください。他の AWS リージョンではオペレーションを行いません。さらに、新しいアカウントで強く推奨される 2 つの予防ガードレールを有効にします。

管理アカウントは、AWS Control Tower に関連する次のアクティビティに対して課金されます。

  • 1 回限り 0.31 USD の料金。これには、AWS Config が 50 個の設定項目 (すなわち、10 アカウント X 5 リソース X 1 リージョン) を記録するのにかかる 0.15 USD (各リソースが 1 つの設定項目を作成するとします) (設定項目あたりの料金は 0.003 USD) と、AWS CloudTrail が AWS Control Tower が 2 つの予防ガードレールを有効にし、アカウントファクトリーが 10 個の新しいアカウントをプロビジョニングする場合、8,000 件のイベントを記録するのにかかる 0.16 USD (10 万件の管理イベントあたりの料金は 2.00 USD) が含まれます。
  • すべてのアカウントでのアクティビティに応じて、AWS CloudTrailAWS Service Catalog (アカウントファクトリーが 10 個の新しいアカウントをプロビジョニングするときに記録した 100 件の API コール)、Amazon CloudWatchSimple Storage Service (Amazon S3)Amazon SNSAWS Config、およびその他のサービスなどのリソースに適用される追加料金。

新しいアカウントをプロビジョニングし、アカウントにリソースを作成したら、10 個のアカウントすべてと Control Tower が現在利用可能なリージョンすべてで、5 つの強く推奨される検出ガードレールを有効にします。さらに、各リソースは 1 か月あたり 10 件の設定状態の変更を行い、強く推奨される各検出ガードレールはすべてのアカウントで 1 か月あたり合計 250 件のルール評価を呼び出します。米国東部 (バージニア北部) リージョンでリソースをホストし、オペレーションの実行を継続します。

管理アカウントは、AWS Control Tower に関連する次のアクティビティに対して月額 3.75 USD が課金されます。

  • AWS Config が 500 個の設定項目 (すなわち、リソース、リージョン、アカウントあたり 10 アカウント X 5 リソース X 1 リージョン X 10 個の設定状態の変更) を記録するのにかかる月額 1.50 USD (設定項目あたりの料金は 0.003 USD)。 
  • AWS Config が 1,250 件のルール評価を実行するのにかかる月額 1.25 USD (すなわち、ガードレールあたり 5 ガードレール X 1 リージョン X 250 件のルール評価)。評価あたりの料金は 0.001 USD (最初の 10 万件の評価に対して)。

さらに、ガードレールが最初にアカウントのリソースを評価する際 (各リソースが 1 つの設定項目を作成するとします)、AWS Config が 250 個の設定項目と 250 件のルール評価 (すなわち、両方に対して 10 アカウント X 5 リソース X 1 リージョン X 5 ガードレール) を記録するのに 1 回限り 1.00 USD の料金も発生します。 

加えて、管理アカウントには、すべてのアカウントでのアクティビティに応じて、AWS CloudTrailAmazon CloudWatchAWS Service CatalogAmazon S3Amazon SNSAWS Config、およびその他のサービスなどのリソースに適用される追加料金が課金されます。

詳細については、それぞれの AWS のサービスの料金ページをご参照ください。

料金の例 3: AWS での使用プロファイルが大きいお客様

料金の例 1 でランディングゾーンを設定した後、チームが使用する 25 個の新しいアカウントをプロビジョニングし、新しいアカウントごとに、操作を行う各リージョンで 15 個のリソースを作成します。ビジネスポリシーに従って、リソースをホストし、3 つの AWS リージョン (たとえば、米国東部 (バージニア北部) のホームリージョンと、米国東部 (オハイオ) と欧州 (アイルランド)などその他の 2 つのリージョン) でオペレーションを実行してください。他の AWS リージョンではオペレーションを行いません。さらに、新しいアカウントで強く推奨される 2 つの予防ガードレールを有効にします。

管理アカウントには、AWS Control Tower に関連するアクティビティに関連する次の料金が課金されます。

  • 1 回限り 3.775 USD の料金。これには、AWS Config が 1,125 個の設定項目 (すなわち、25 アカウント X 15 リソース X 3 リージョン) を記録するのにかかる 3.375 USD (各リソースが 1 つの設定項目を作成するとします) (設定項目あたりの料金は 0.003 USD) と、AWS CloudTrail が AWS Control Tower が 2 つの予防ガードレールを有効にし、Account Factory が 25 個の新しいアカウントをプロビジョニングする場合、2 万件のイベントを記録するのにかかる 0.40 USD (10 万件の管理イベントあたりの料金は 2.00 USD) が含まれます。
  • すべてのアカウントでのアクティビティに応じて、AWS CloudTrailAWS Service Catalog (アカウントファクトリーが 25 個の新しいアカウントをプロビジョニングするときに記録した 250 件の API 呼び出し)、Amazon CloudWatchAmazon S3Amazon SNSAWS Config、およびその他のサービスなどのリソースに適用される追加料金。

新しいアカウントをプロビジョニングし、アカウントにリソースを作成したら、25 個のアカウントすべてと Control Tower が利用可能なリージョンすべてで、5 つの強く推奨される検出ガードレールを有効にします。さらに、各リソースは 1 か月あたり 15 件の設定状態の変更を行い、強く推奨される各検出ガードレールはすべてのアカウントおよび運用しているすべてのリージョンで、1 か月あたり合計 2000 件のルール評価を呼び出します。米国東部 (バージニア北部)、米国東部 (オハイオ)、欧州 (アイルランド) のリージョンでリソースをホストし、オペレーションの実行を継続します。

管理アカウントは、AWS Control Tower に関連するアクティビティに対して月額 60.625 USD が課金されます。

  • AWS Config が 16,875 件の設定項目を記録するのにかかる月額 50.625 USD (すなわち、リソース、リージョン、アカウントあたり 25 アカウント X 15 リソース X 3 リージョン X 15 個の設定状態の変更)。設定項目あたりの料金は 0.003 USD。 
  • AWS Config が 1 万件のルール評価を実行するのにかかる月額 10.00 USD(すなわち、ガードレールあたり 5 ガードレール X 2,000 件のルール評価)。評価あたりの料金は 0.001 USD (最初の 10 万件の評価に対して)。

さらに、ガードレールが最初にアカウントのリソースを評価する際 (各リソースが 1 つの設定項目を作成するとします)、AWS Config が 5,625 個の設定項目と 5,625 件のルール評価 (すなわち、両方に対して 25 アカウント X 15 リソース X 3 リージョン X 5 ガードレール) を記録するのに 1 回限り 22.50 USD の料金も発生します。加えて、管理アカウントには、すべてのアカウントでのアクティビティに応じて、AWS CloudTrailAmazon CloudWatchAWS Service CatalogAmazon S3Amazon SNSAWS Config、およびその他のサービスなどのリソースに適用される追加料金が課金されます。 

詳細については、それぞれの AWS のサービスの料金ページをご参照ください。

料金の例 4: AWS で一時的ワークロードを利用するお客様

AWS Control Tower のセットアップとプロファイルの使用に関連する上記の例に加えて、大きな一時的ワークロードを持つお客様は、AWS Config のコストが増加する可能性があります。

一時的ワークロードとは、コンピューティングリソースを一時的に使用するもので、必要なときにロードされて実行されます。例としては、EC2 スポットインスタンス、Amazon EMR ジョブ、AWS Auto Scaling などがあります。AWS Control Tower のアカウントから一時的ワークロードを実行している場合、これらの一時的なリソースの作成や削除に関連する設定変更を記録するため、AWS Config のコストが増加する可能性があります。

AWS Config では、以下の数に基づいて課金されます。

  • 記録された設定項目
  • アクティブな AWS Config ルール評価
  • アカウント内のコンフォーマンスパック評価

AWS リージョンごとに AWS アカウントで記録された設定項目あたり 0.003 USD をお支払いいただきます。設定項目 (CI) は、リソースの設定や関係に変更があった際に記録されます。リソースには、AWS、サードパーティー、カスタムのリソースが含まれます。関係は、AWS アカウント内で、あるリソースが他のリソースにどのように関連付けられているかを定義するものです。EC2 スポットインスタンス、Amazon EMR ジョブ、AWS Auto Scaling などの一時的なワークロードを実行している場合、AWS Config に関連するコストが増加する可能性があります。

各一時的ワークロードに対して、以下のように CI が記録されます。
一時的リソースの生成で記録される 1 つの CI
一時的リソースの削除で記録される 1 つの CI
例えば、10 個の EC2 リソースを生成しているとします。未使用の EC2 容量を活用するために、100 個の EC2 スポットインスタンス と 100 個の Auto Scaling リソースを生成し、アカウントごと、AWS リージョンごとに、24 時間で 10 回、スケールアップとスケールダウンを行います。

一時的ワークロードで記録された CI の数
EC2 スポットインスタンスの場合:
24 時間の間にいつでもスケールアップできる 100 個の EC2 スポットインスタンス = 100 CI
24 時間の間にいつでもスケールダウンできる 100 個の EC2 スポットインスタンス = 100 CI
生成される CI の合計 = (100 + 100) × 10 回/24 時間 = 各アカウント、各リージョンに CI 2000 個/24 時間

AWS Auto Scaling の場合
24 時間の間にいつでもスケールアップできる 100 個の AWS Auto Scaling リソース = CI 100 個
24 時間の間にいつでもスケールダウンできる 100 個の AWS Auto Scaling リソース = CI 100 個
生成される CI の合計 = (100 + 100) × 10 回/24 時間 = 各アカウント、各リージョンに CI 2000 個/24 時間

一時的ワークロードの変化のために記録された CI のコスト
4000 × 0.003 = 各アカウント、各リージョンに 12 USD/日
または
12 USD/日 × 31 日 = 各アカウント、各リージョンに 372 USD/月

Control Tower でリソースを実行する場合、Control Tower 自体には追加コストはかかりません。追加のコストは、一時的ワークロード、それらに関連する変更、および AWS Config によって生成される CI に関連します。一時的ワークロードは、Control Tower の中でも外でも、AWS Config で同じ料金になっています。

詳細については、Config の料金をご覧ください。これらのコストの管理に関する具体的な情報については、AWS のアカウント担当者にお問い合わせください。

料金に関するその他のリソース

AWS 料金計算ツール

AWS の月額料金を簡単に計算

料金に関するサポートを受ける

個別のお見積もりをご希望の場合、AWS のスペシャリストに問い合わせる

AWS Control Tower の概要を確認する
概要 
AWS Control Tower の機能を確認する
詳細 
AWS Marketplace
AWS Marketplace で AWS Control Tower のソリューションを見つける
詳細