Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Costes de supervisión
Amazon Cognito cobra por las siguientes dimensiones de uso.
-
Grupo de usuarios activos mensuales (MAU)
-
Las MAU del grupo de usuarios que han iniciado sesión con la federación OIDC o SAML
-
Las MAU de un grupo de usuarios con funciones de seguridad avanzadas
-
Grupo de usuarios activos, clientes de aplicaciones y volumen de solicitudes de autorización de máquina a máquina (M2M) con concesiones de credenciales de cliente
-
Se adquirió un uso superior a las cuotas predeterminadas para algunas categorías de API de grupos de usuarios
Además, las funciones de su grupo de usuarios, como los mensajes de correo electrónico, los mensajes SMS y los activadores Lambda, pueden generar costes en servicios dependientes. Para obtener una descripción completa, consulte los precios de Amazon Cognito
Visualización y previsión de los costos
Puede ver sus AWS costes e informar sobre ellos en la AWS Billing and Cost Management consolaCognito para ver su consumo. Para obtener más información, consulte Ver su factura en la Guía del usuario de AWS Billing .
Para supervisar las tasas de solicitudes de API, revise la métrica de utilización en la consola Service Quotas. Por ejemplo, las solicitudes de credenciales de los clientes se muestran como Tasa de ClientAuthentication solicitudes. En tu factura, estas solicitudes están asociadas al cliente de la aplicación que las generó. Con esta información, puede asignar los costos de manera equitativa a los inquilinos en una arquitectura con varios inquilinos.
Para hacer un recuento de las solicitudes M2M durante un período de tiempo, también puede enviar los AWS CloudTrail eventos a CloudWatch Logs para su análisis. Consulta tus CloudTrail eventos en busca de Token_POST eventos con una concesión de credenciales de cliente. La siguiente consulta de CloudWatch Insights devuelve este recuento.
filter eventName = "Token_POST" and @message like '"grant_type":["client_credentials"]' | stats count(*)
Administración de los costos de
Amazon Cognito factura en función del número de usuarios, el uso de las funciones y el volumen de solicitudes. Los siguientes son algunos consejos para gestionar los costes en Amazon Cognito,
No active a los usuarios inactivos
Las operaciones típicas que hacen que un usuario esté activo son el inicio de sesión, el registro y el restablecimiento de la contraseña. Para obtener una lista más completa, consulte. Monthly active users (Usuarios activos mensuales) Amazon Cognito no incluye a los usuarios inactivos en su factura. Evite cualquier operación que active a un usuario. En lugar de la operación de AdminGetUserAPI, consulta a los usuarios con la ListUsersoperación. No realices pruebas administrativas de gran volumen de operaciones de grupos de usuarios con usuarios inactivos.
Vincula a los usuarios federados
Los usuarios que inician sesión con un proveedor de identidad SAML 2.0 o OpenID Connect (OIDC) tienen un coste mayor que los usuarios locales. Puede vincular estos usuarios a un perfil de usuario local. Un usuario vinculado puede iniciar sesión como usuario local con los atributos y el acceso que vienen con su usuario federado. Los usuarios de SAML u OIDC IdPs que, en el transcurso de un mes, solo inicien sesión con una cuenta local vinculada se facturan como usuarios locales.
Gestione las tarifas de solicitud
Si su grupo de usuarios se acerca al límite superior de su cuota, podría considerar la posibilidad de adquirir capacidad adicional para gestionar el volumen. Es posible que pueda reducir el volumen de solicitudes de su aplicación. Para obtener más información, consulte Optimice las tasas de solicitud para cumplir con los límites de cuota.
Solicita un nuevo token solo cuando lo necesites
La autorización de máquina a máquina (M2M) con la concesión de credenciales de cliente puede alcanzar un gran volumen de solicitudes de token. Cada nueva solicitud de token afecta a tu cuota de solicitudes y al importe de tu factura. Para optimizar los costes, incluya la configuración de caducidad de los tokens y su gestión en el diseño de sus aplicaciones.
-
Almacene en caché los tokens de acceso para que, cuando su aplicación solicite un nuevo token, reciba una versión en caché de un token emitido anteriormente. Cuando implementas este método, tu proxy de almacenamiento en caché actúa como protección contra las aplicaciones que solicitan tokens de acceso sin saber que han caducado los tokens adquiridos anteriormente. El almacenamiento en caché de los tokens es ideal para microservicios de corta duración, como las funciones de Lambda y los contenedores de Docker.
-
Implemente mecanismos de gestión de tokens en sus aplicaciones que tengan en cuenta la caducidad de los tokens. No solicites un nuevo token hasta que los anteriores hayan caducado. Evalúe las necesidades de confidencialidad y disponibilidad de cada aplicación y configure el cliente de la aplicación del grupo de usuarios para que emita los tokens de acceso con un período de validez adecuado. La duración del token personalizado funciona mejor con API y servidores de larga duración que pueden gestionar de forma persistente la frecuencia de las solicitudes de credenciales.
Elimine las credenciales de cliente (clientes de aplicaciones) no utilizadas
Las autorizaciones M2M se facturan en función de dos factores: la tasa de solicitudes de tokens y la cantidad de clientes de aplicaciones que otorgan credenciales a los clientes. Cuando los clientes de aplicaciones para la autorización M2M no estén en uso, elimínelos o quite su autorización para emitir credenciales de cliente. Para obtener más información sobre la administración de la configuración de los clientes de aplicaciones, consulteClientes de aplicación de grupo de usuarios.
Gestione la seguridad avanzada
Al configurar funciones de seguridad avanzadas en un grupo de usuarios, la tarifa de facturación de seguridad avanzada se aplica a todas las MAU del grupo de usuarios. Si tiene usuarios que no necesitan funciones de seguridad avanzadas, sepárelos en otro grupo de usuarios.
