Coûts de surveillance - Amazon Cognito
Visualisation et anticipation des coûtsGestion des coûts

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Coûts de surveillance

Amazon Cognito facture les dimensions suivantes de votre utilisation.

  • Groupe d'utilisateurs utilisateurs actifs mensuels (MAU)

  • Groupe d'utilisateurs MAU connectés avec la fédération OIDC ou SAML

  • MAU dans un groupe d'utilisateurs dotés de fonctionnalités de sécurité avancées

  • Groupe d'utilisateurs actifs, clients de l'application et volume de demandes d'autorisation machine à machine (M2M) avec octroi d'informations d'identification client

  • Utilisation achetée supérieure aux quotas par défaut pour certaines catégories d'API de pool d'utilisateurs

En outre, les fonctionnalités de votre groupe d'utilisateurs, telles que les e-mails, les SMS et les déclencheurs Lambda, peuvent entraîner des coûts pour les services dépendants. Pour un aperçu complet, consultez la section Tarification d'Amazon Cognito.

Visualisation et anticipation des coûts

Vous pouvez consulter et générer des rapports sur vos AWS coûts dans la AWS Billing and Cost Management console. Vous trouverez les derniers frais que vous avez facturés pour Amazon Cognito dans la section Facturation et paiements. Sous Factures, Frais par service, filtrez Cognito pour afficher votre consommation. Pour plus d’informations, consultez la section Viewing your bill (Affichage d’une facture) dans le Guide de l’utilisateur AWS Billing .

Pour surveiller les taux de demandes d'API, consultez la métrique d'utilisation dans la console Service Quotas. Par exemple, les demandes d'informations d'identification des clients s'affichent sous la forme « Taux de ClientAuthentication demandes ». Dans votre facture, ces demandes sont associées à l'application cliente qui les a produites. Grâce à ces informations, vous pouvez répartir équitablement les coûts entre les locataires dans une architecture multi-locataires.

Pour connaître le nombre de demandes M2M sur une période donnée, vous pouvez également envoyer des AWS CloudTrail événements à CloudWatch Logs à des fins d'analyse. Recherchez dans vos CloudTrail événements les Token_POST événements bénéficiant d'une autorisation d'identification client. La requête CloudWatch Insights suivante renvoie ce nombre.

filter eventName = "Token_POST" and @message like '"grant_type":["client_credentials"]' | stats count(*)

Gestion des coûts

Amazon Cognito facture en fonction du nombre d'utilisateurs, de l'utilisation des fonctionnalités et du volume de demandes. Voici quelques conseils pour gérer les coûts dans Amazon Cognito,

N'activez pas les utilisateurs inactifs

Les opérations typiques qui rendent un utilisateur actif sont la connexion, l'inscription et la réinitialisation du mot de passe. Pour une liste plus complète, voirMonthly active users (Utilisateurs actifs mensuels). Amazon Cognito ne prend pas en compte les utilisateurs inactifs dans le calcul de votre facture. Évitez toute opération qui active un utilisateur. Au lieu de l'opération AdminGetUserAPI, interrogez les utilisateurs avec l'ListUsersopération. N'effectuez pas de tests administratifs volumineux sur les opérations du groupe d'utilisateurs avec des utilisateurs inactifs.

Lier les utilisateurs fédérés

Les utilisateurs qui se connectent avec un fournisseur d'identité SAML 2.0 ou OpenID Connect (OIDC) ont un coût plus élevé que les utilisateurs locaux. Vous pouvez associer ces utilisateurs à un profil utilisateur local. Un utilisateur lié peut se connecter en tant qu'utilisateur local avec les attributs et les accès fournis avec son utilisateur fédéré. Les utilisateurs de SAML ou OIDC IdPs qui, au cours d'un mois, ne se connectent qu'avec un compte local associé sont facturés comme des utilisateurs locaux.

Gérez les taux de demandes

Si votre groupe d'utilisateurs approche de la limite supérieure de votre quota, vous pouvez envisager d'acheter de la capacité supplémentaire pour gérer le volume. Vous pourriez être en mesure de réduire le volume de demandes dans votre application. Pour plus d’informations, consultez Optimisation des taux de demandes pour les limites de quotas.

Demandez un nouveau jeton uniquement lorsque vous en avez besoin

L'autorisation de machine à machine (M2M) avec l'octroi d'informations d'identification aux clients peut atteindre un volume élevé de demandes de jetons. Chaque nouvelle demande de jeton a un effet sur votre quota de taux de demandes et sur le montant de votre facture. Pour optimiser les coûts, incluez les paramètres d'expiration des jetons et la gestion des jetons dans la conception de vos applications.

  • Jetons d'accès au cache afin que, lorsque votre application demande un nouveau jeton, elle reçoive une version mise en cache d'un jeton émis précédemment. Lorsque vous implémentez cette méthode, votre proxy de mise en cache agit comme une protection contre les applications qui demandent des jetons d'accès sans se rendre compte de l'expiration des jetons précédemment acquis. La mise en cache des jetons est idéale pour les microservices de courte durée tels que les fonctions Lambda et les conteneurs Docker.

  • Mettez en œuvre des mécanismes de gestion des jetons dans vos applications qui tiennent compte de l'expiration des jetons. Ne demandez pas de nouveau jeton tant que les jetons précédents n'ont pas expiré. Évaluez les besoins de confidentialité et de disponibilité de chaque application et configurez le client de l'application du pool d'utilisateurs pour émettre des jetons d'accès avec une période de validité appropriée. La durée du jeton personnalisé fonctionne mieux avec des API et des serveurs à plus longue durée de vie capables de gérer de manière permanente la fréquence des demandes d'informations d'identification.

Supprimer les informations d'identification client non utilisées (clients d'applications)

Les factures d'autorisation M2M sont basées sur deux facteurs : le taux de demandes de jetons et le nombre de clients de l'application qui accordent des identifiants aux clients. Lorsque les clients de l'application pour l'autorisation M2M ne sont pas utilisés, supprimez-les ou retirez leur autorisation d'émettre des informations d'identification client. Pour plus d'informations sur la gestion de la configuration du client d'application, consultezClients de l’application de groupe d’utilisateurs.

Gérez la sécurité avancée

Lorsque vous configurez des fonctionnalités de sécurité avancées dans un groupe d'utilisateurs, le taux de facturation de sécurité avancé s'applique à toutes les MAU du groupe d'utilisateurs. Si certains de vos utilisateurs n'ont pas besoin de fonctionnalités de sécurité avancées, séparez-les dans un autre groupe d'utilisateurs.