本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
费用、区域和性能注意事项
当您应用服务器端加密时,您需要支付 AWS KMS API使用量和密钥成本。与自定义KMS主密钥不同,(Default) aws/kinesis
客户主密钥 (CMK) 是免费提供的。但是,您仍然必须支付亚马逊 Kinesis Data Streams 代表您产生的API使用费用。
API使用成本适用于每个CMK,包括自定义的。在 Kinesis Data Streams 轮换数据密钥时,大约每五分钟调用一次 AWS KMS 。在 30 天内,由 Kinesis 直播发起的 AWS KMS API通话的总费用应少于几美元。此费用会随着您在数据生产者和使用者身上使用的用户凭证数量而变化,因为每个用户凭证都需要对 AWS KMS的唯一API调用。当您使用IAM角色进行身份验证时,每次代入角色调用都会生成唯一的用户凭证。为了节省KMS成本,您可能需要缓存代入角色调用返回的用户证书。
下面按资源介绍各项费用:
键
-
由 AWS (别名 =
aws/kinesis
)管理的 Kinesis 版是免费的。CMK -
用户生成的KMS密钥需支付KMS密钥费用。有关更多信息,请参阅 AWS Key Management Service Pricing
。
API使用成本适用于每个CMK,包括自定义的。Kinesis Data Streams 在轮换数据密钥时大约每 5 分钟KMS调用一次。在 30 天内,由 Kinesis 数据流发起的KMSAPI呼叫的总费用应少于几美元。请注意,此费用会随着您在数据生产者和使用者身上使用的用户凭证数量而变化,因为每个用户凭证都需要对每个用户凭证进行唯一的API调用。 AWS KMS当您使用IAM角色进行身份验证时,每个角色都 assume-role-call将生成唯一的用户凭证,您可能需要缓存返回的用户凭证 assume-role-call以节省KMS成本。
KMSAPI用法
对于每个加密流,当读取TIP者和写入者使用单个IAM账户/用户访问密钥时,Kinesis 服务大约每 5 分钟调用该 AWS KMS
服务 12 次。不读取TIP数据可能会导致更多的 AWS KMS 服务呼叫。API生成新数据加密密钥的请求需支付 AWS KMS 使用费用。有关更多信息,请参阅 AWS Key Management Service Pricing: Usage
按区域的服务器端加密的可用性
目前,Kinesis 数据流的服务器端加密可在所有支持 Kinesis Data Streams 的区域 AWS GovCloud ,包括(美国西部)和中国区域。有关 Kinesis Data Streams 支持的区域的更多信息,https://docs.aws.amazon.com/general/latest/gr/ak请参阅 .html。
性能注意事项
由于应用加密存在服务开销,应用服务器端加密的开销会将 PutRecord
、PutRecords
和 GetRecords
的典型延迟增加不到 100 微秒。