本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
成本、地区和性能注意事项
当你应用服务器端加密时,你必须遵守 AWS KMS API使用量和密钥成本。与自定义KMS主密钥不同,(Default) aws/kinesis
客户主密钥 (CMK) 是免费提供的。但是,您仍然必须支付亚马逊 Kinesis Data Streams 代表您产生的API使用费用。
API使用成本适用于每个CMK,包括自定义的。Kinesis Data Streams 通话 AWS KMS 大约每五分钟轮换一次数据密钥。在 30 天内,总费用为 AWS KMS API由 Kinesis 直播发起的通话费用应少于几美元。此费用会随着您在数据生产者和使用者身上使用的用户凭证数量而变化,因为每个用户凭证都需要对每个用户凭证进行唯一的API调用 AWS KMS。 当您使用IAM角色进行身份验证时,每次代入角色调用都会生成唯一的用户凭证。为了节省KMS成本,您可能需要缓存代入角色调用返回的用户证书。
下面按资源介绍各项费用:
键
-
CMK由 Kinesis 管理的 AWS (别名 =
aws/kinesis
)是免费的。 -
用户生成的KMS密钥需支付KMS密钥费用。有关更多信息,请参阅 AWS 密钥管理服务定价
。
API使用成本适用于每个CMK,包括自定义的。Kinesis Data Streams 在轮换数据密钥时大约每 5 分钟KMS调用一次。在 30 天内,由 Kinesis 数据流发起的KMSAPI呼叫的总费用应少于几美元。请注意,此费用会随着您在数据生产者和使用者身上使用的用户凭证数量而变化,因为每个用户凭证都需要对每个用户凭证进行唯一的API调用 AWS KMS。当您使用IAM角色进行身份验证时,每个角色都 assume-role-call将生成唯一的用户凭证,您可能需要缓存返回的用户凭证 assume-role-call 以节省KMS成本。
KMSAPI用法
对于每个加密流,当读取TIP者和写入者使用单个IAM账户/用户访问密钥时,Kinesis 服务会调用 AWS KMS
每 5 分钟大约有 12 次服务。未从中读取TIP数据可能会导致更多的拨打电话 AWS KMS 服务。API生成新数据加密密钥的请求受到 AWS KMS 使用成本。有关更多信息,请参阅 AWS 密钥管理服务定价:使用情况
按地区划分的服务器端加密的可用性
目前,Kinesis 流的服务器端加密功能在 Kinesis Data Streams 支持的所有区域都可用,包括 AWS GovCloud (美国西部)和中国地区。有关 Kinesis Data Streams 支持的区域的更多信息,https://docs.aws.amazon.com/general/请参阅 latest/gr/ak.html。
性能注意事项
由于应用加密存在服务开销,应用服务器端加密的开销会将 PutRecord
、PutRecords
和 GetRecords
的典型延迟增加不到 100 微秒。