AWS IAM 访问权限分析器定价
定价概述
AWS Identity and Access Management(IAM)访问权限分析器通过提供设置、验证和细化权限的工具来指导您获得最低权限。IAM 访问权限分析器提供访问权限分析调查发现、策略检查和策略生成。
启用 IAM 访问权限分析器,您将创建一个分析器,该分析器会定期检查您的账户或 AWS 组织是否存在外部访问权限、内部访问权限和未使用访问权限。该分析器会为您的 IAM 角色、IAM 用户和 AWS 资源生成访问权限调查发现。您可以启用三种类型的分析器:外部访问权限分析器、内部访问权限分析器和未使用访问权限分析器:
- 外部访问权限分析器可为 AWS 资源创建公共和跨账户访问权限调查发现。此功能免费提供。
- 内部访问权限分析器可识别您的 AWS 组织内有权访问您的业务关键型 AWS 资源的 IAM 角色和用户。这是一项付费功能。对于启用的每个内部分析器,需要按每个区域监控的资源每月付费。
- 未使用访问权限分析器会检查未使用的访问权限,以指导您获得最低权限。这是一项付费功能。对于启用的每个未使用访问权限分析器,需要按每个 IAM 角色或 IAM 用户每月付费。由于 IAM 角色和用户是全球性的,因此只需在一个分区的所有区域中启用一个分析器即可。
内部访问权限分析器和未使用访问权限分析器的费用在设置时收取一次,之后每月第一天收取。
IAM 访问权限分析器还提供两种类型的策略检查:
- IAM 访问权限分析器策略验证可指导您根据 IAM 最佳实践编写并验证安全和功能策略。此功能免费提供。
- IAM 访问权限分析器自定义策略检查会在部署前验证开发人员编写的策略是否符合您指定的安全标准。这是一项付费功能。自定义策略检查利用自动推理(由数学证明支持的可证明的安全性保障)功能,使安全团队能够主动检测策略的不合规更新。对于自定义策略检查,根据您通过调用 IAM 访问权限分析器 API 运行的检查数量向您收费。
IAM 访问权限分析器策略生成会根据在您的日志中捕获的访问活动创建精细策略。此功能免费提供。
定价
-
内部访问
-
未使用的访问权限
-
自定义策略检查
-
内部访问
-
定价示例
示例 1:您为美国东部(弗吉尼亚北部)地区的账户启用了内部访问分析器。您已将分析器配置为监控三个 Amazon S3 存储桶和五个 Amazon DynamoDB 表的访问权限。
受监控的 AWS 资源总数:
3 个存储桶 + 5 个表 = 8 个资源
每月分析成本
9.00 美元 * 8 个 AWS 资源 = 每月 72 美元示例 2:您的 AWS 组织中有五个账户。您已为美国东部(弗吉尼亚北部)地区的组织启用了内部访问分析器。以下是每个账户中的资源明细和每月总成本。
AWS 账号 亚马逊 S3 存储桶的数量 亚马逊 DynamoDB 表的数量 每个账户的资源总量 1 5 1 6 2 10 2 12 3 0 10 10 4 3 0 3 5 2 5 7 AWS 资源总数 38 每月分析成本
9.00 美元 * 38 个 AWS 资源 = 每月 342 美元 -
未使用的访问权限
-
定价示例
示例 1:
您有一个包含 10 个 IAM 用户和 60 个 IAM 角色的账户。您已在美国东部(弗吉尼亚州北部)区域为该账户启用 IAM Access Analyzer 的未使用的访问分析器。
一个月内分析的 IAM 角色或用户总数
10 个用户 + 60 个角色 = 70 个 IAM 角色和用户
分析费用
0.20 美元*70 个 IAM 角色和用户 = 每月 14 美元
示例 2:
您的 AWS 组织中有 5 个账户。您已在美国东部(弗吉尼亚州北部)区域为该组织启用未使用的访问分析器。以下是每个账户中 IAM 角色和用户的数量以及每月总费用的明细。
账户编号 IAM 角色的数量 IAM 用户的数量 每个账户总计 1 150 10 160 2 200 15 215 3 100 20 120 4 250 10 260 5 80 15 95 组织中的 IAM 角色和用户总数 850 分析费用
0.20 美元*850 个 IAM 角色和用户 = 每月 170 美元
-
自定义策略检查
-
定价示例
示例 1:
您只有一个 AWS 账户,每月调用 1000 次 IAM Access Analyzer API 来运行自定义策略检查,这是自动策略审查流程的一部分。
分析费用
0.0020 美元*1000 次 API 调用 = 每月 2 美元示例 2:
您每月调用 10,000 次 IAM Access Analyzer API,对通过 AWS Organizations 注册整合账单的 5 个账户运行自定义策略检查。
分析费用
0.0020 美元*10,000 次 API 调用 = 每月 20 美元