Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Supervisión y administración de los costos
Al igual que con cualquier otro Servicio de AWS, es importante entender el efecto de la configuración y el uso de Amazon Cognito en la factura AWS . Como parte de sus preparativos para el despliegue de grupos de usuarios en la producción, configure la supervisión y las medidas de seguridad para controlar la actividad y el consumo de recursos. Cuando sepa qué medidas tomar y cuáles son las medidas que generan costes adicionales, podrá establecer medidas preventivas en su factura para evitar sorpresas.
Amazon Cognito cobra por las siguientes dimensiones de uso.
-
Grupo de usuarios: usuarios activos mensuales () MAUs
-
Grupo de usuarios que MAUs han iniciado sesión con OIDC o con SAML la federación
-
MAUsen un grupo de usuarios con funciones de seguridad avanzadas
-
Grupo de usuarios activos, clientes de aplicaciones y volumen de solicitudes de autorización de máquina a máquina (M2M) con concesiones de credenciales de cliente
-
Se adquirió un uso superior a las cuotas predeterminadas para algunas categorías de grupos de usuarios APIs
Además, las funciones de su grupo de usuarios, como los mensajes de correo electrónico, SMS los mensajes y los activadores Lambda, pueden generar costes en servicios dependientes. Para obtener una descripción completa, consulte los precios de Amazon Cognito
Visualización y previsión de los costos
Los eventos de gran volumen, como el lanzamiento de productos y la apertura a nuevas bases de usuarios, pueden aumentar su MAU número y tener un impacto en los costos. Calcule el número de nuevos usuarios con antelación y observe la actividad a medida que se produce. Es posible que desee ajustar el volumen mediante la compra de una cuota de capacidad adicional o controlar el volumen con medidas de seguridad adicionales.
Puede ver sus AWS costes e informar sobre ellos en la AWS Billing and Cost Management consolaCognito
para ver su consumo. Para obtener más información, consulte Ver su factura en la Guía del usuario de AWS Billing .
Para supervisar las tasas de API solicitudes, revise la métrica de utilización en la consola Service Quotas. Por ejemplo, las solicitudes de credenciales de los clientes se muestran como Tasa de ClientAuthentication solicitudes. En tu factura, estas solicitudes están asociadas al cliente de la aplicación que las generó. Con esta información, puede asignar los costos de manera equitativa a los inquilinos en una arquitectura con varios inquilinos.
Para hacer un recuento de las solicitudes M2M durante un período de tiempo, también puede enviar los AWS CloudTrail eventos a CloudWatch Logs para su análisis. Consulta tus CloudTrail eventos en busca de Token_POST
eventos con una concesión de credenciales de cliente. La siguiente consulta de CloudWatch Insights devuelve este recuento.
filter eventName = "Token_POST" and @message like '"grant_type":["client_credentials"]' | stats count(*)
Administración de los costos de
Amazon Cognito factura en función del número de usuarios, el uso de las funciones y el volumen de solicitudes. Los siguientes son algunos consejos para gestionar los costes en Amazon Cognito,
No active a los usuarios inactivos
Las operaciones típicas que hacen que un usuario esté activo son el inicio de sesión, el registro y el restablecimiento de la contraseña. Para obtener una lista más completa, consulte. Monthly active users (Usuarios activos mensuales) Amazon Cognito no incluye a los usuarios inactivos en su factura. Evite cualquier operación que active a un usuario. En lugar de realizar la AdminGetUserAPIoperación, consulte a los usuarios con la ListUsersoperación. No realice pruebas administrativas de gran volumen de operaciones de grupos de usuarios con usuarios inactivos.
Vincula a los usuarios federados
Los usuarios que inician sesión con un proveedor de identidad SAML 2.0 o OpenID Connect (OIDC) tienen un coste mayor que los usuarios locales. Puede vincular estos usuarios a un perfil de usuario local. Un usuario vinculado puede iniciar sesión como usuario local con los atributos y el acceso que vienen con su usuario federado. Los usuarios de una cuenta local vinculada SAML o OIDC IdPs que, en el transcurso de un mes, solo inicien sesión con ella se facturan como usuarios locales.
Gestiona las tarifas de solicitud
Si su grupo de usuarios se acerca al límite superior de su cuota, podría considerar la posibilidad de adquirir capacidad adicional para gestionar el volumen. Es posible que pueda reducir el volumen de solicitudes de su aplicación. Para obtener más información, consulte Optimice las tasas de solicitud para cumplir con los límites de cuota.
Solicita un nuevo token solo cuando lo necesites
La autorización de máquina a máquina (M2M) con la concesión de credenciales de cliente puede alcanzar un gran volumen de solicitudes de token. Cada nueva solicitud de token afecta a tu cuota de solicitudes y al importe de tu factura. Para optimizar los costes, incluya la configuración de caducidad de los tokens y su gestión en el diseño de sus aplicaciones.
-
Almacene en caché los tokens de acceso para que, cuando su aplicación solicite un nuevo token, reciba una versión en caché de un token emitido anteriormente. Cuando implementas este método, tu proxy de almacenamiento en caché actúa como protección contra las aplicaciones que solicitan tokens de acceso sin saber que han caducado los tokens adquiridos anteriormente. El almacenamiento en caché de los tokens es ideal para microservicios de corta duración, como las funciones de Lambda y los contenedores de Docker.
-
Implemente mecanismos de gestión de tokens en sus aplicaciones que tengan en cuenta la caducidad de los tokens. No solicites un nuevo token hasta que los anteriores estén a punto de caducar. Como práctica recomendada, actualiza los tokens aproximadamente al 75% de su vida útil. Esta práctica maximiza la duración del token y, al mismo tiempo, garantiza la continuidad del usuario en la aplicación.
Evalúe las necesidades de confidencialidad y disponibilidad de cada aplicación y configure el cliente de la aplicación del grupo de usuarios para que emita los tokens de acceso con un período de validez adecuado. La duración de los tokens personalizados funciona mejor con servidores de larga duración APIs que puedan gestionar de forma persistente la frecuencia de las solicitudes de credenciales.
Elimine las credenciales de cliente no utilizadas (clientes de aplicaciones)
Las autorizaciones M2M se facturan en función de dos factores: la tasa de solicitudes de tokens y la cantidad de clientes de aplicaciones que otorgan credenciales a los clientes. Cuando los clientes de aplicaciones para la autorización M2M no estén en uso, elimínelos o quite su autorización para emitir credenciales de cliente. Para obtener más información sobre la administración de la configuración de los clientes de aplicaciones, consulteConfiguración específica de la aplicación con clientes de aplicaciones.
Gestione la seguridad avanzada
Al configurar funciones de seguridad avanzadas en un grupo de usuarios, la tarifa de facturación de seguridad avanzada se aplica a todos los MAUs miembros del grupo de usuarios. Si tiene usuarios que no necesitan funciones de seguridad avanzadas, sepárelos en otro grupo de usuarios.