成本、區域和效能考量 - Amazon Kinesis Data Streams
KMS API 用量區域伺服器端加密的可用性效能考量

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

成本、區域和效能考量

當您套用伺服器端加密時,您需要支付 AWS KMS API用量和金鑰成本。與自訂KMS主金鑰不同,(Default) aws/kinesis客戶主金鑰 (CMK) 是免費提供的。不過,您仍然必須支付 Amazon Kinesis Data Streams 代表您產生的API使用成本。

API 使用成本適用於每個 CMK,包括自訂成本。Kinesis Data Streams 在輪換資料金鑰時,大約每五分鐘呼叫一次 AWS KMS 。在 30 天月份中,由 Kinesis 串流啟動的 AWS KMS API呼叫總成本應少於幾美元。此成本會隨著您在資料生產者和取用者上使用的使用者憑證數量而擴展,因為每個使用者憑證都需要對 進行唯一的API呼叫 AWS KMS。當您使用IAM角色進行身分驗證時,每個擔任角色呼叫都會產生唯一的使用者憑證。為了節省KMS成本,您可能想要快取擔任角色呼叫傳回的使用者憑證。

以下依據資源說明各項成本:

  • 由 管理的 CMK for Kinesis AWS (別名 = aws/kinesis) 是免費的。

  • 使用者產生的KMS金鑰會受到KMS金鑰成本的影響。如需更多資訊,請參閱 AWS Key Management Service 定價

API 使用成本適用於每個 CMK,包括自訂成本。當 Kinesis Data Streams 輪換資料金鑰時,KMS大約每 5 分鐘呼叫一次。在 30 天月份中,由 Kinesis 資料串流啟動的KMSAPI呼叫總成本應少於幾美元。請注意,此成本會隨著您在資料生產者和取用者上使用的使用者憑證數量而增加,因為每個使用者憑證都需要對 進行唯一的API呼叫 AWS KMS。當您使用IAM角色進行身分驗證時,每個 assume-role-call 都會產生唯一的使用者憑證,而且您可能想要快取 assume-role-call傳回的使用者憑證,以節省KMS成本。

KMS API 用量

對於每個加密串流,在讀取器TIP和寫入器之間讀取和使用單一IAM帳戶/使用者存取金鑰時,Kinesis 服務每 5 分鐘呼叫服務 AWS KMS 約 12 次。無法從 讀取 TIP可能會導致對 AWS KMS 服務的呼叫次數增加。API 產生新資料加密金鑰的 請求會受到 AWS KMS 使用成本的影響。更多詳細資訊請參閱 AWS Key Management Service 定價:使用

區域伺服器端加密的可用性

目前,Kinesis 串流的伺服器端加密可在 Kinesis Data Streams 支援的所有區域中使用,包括 AWS GovCloud (美國西部) 和中國區域。如需 Kinesis Data Streams 支援區域的詳細資訊,請參閱 https://docs.aws.amazon.com/general/latest/gr/ak.html。

效能考量

由於套用伺服器端加密造成服務負荷,套用伺服器端加密會增加 PutRecordPutRecordsGetRecords 的延遲,一般不到 100 微秒。