AWS Control Tower の料金
概要
AWS Control Tower は追加料金なしでご利用いただけます。ただし、AWS Control Tower をセットアップすると、ランディングゾーンおよび必須のコントロールをセットアップするように設定された AWS のサービスの費用が発生します。AWS Organizations や AWS IAM Identity Center などの一部の AWS サービスは追加料金なしですが、 AWS サービスカタログ、AWS CloudTrail、AWS Config 、Amazon CloudWatch 、Amazon 簡易通知サービス (Amazon SNS)、アマゾンシンプルストレージサービス (Amazon S3)、Amazon 仮想プライベートクラウド (Amazon VPC) などのサービスの料金は、お客様の使用状況に応じてお支払いいただきます。これらのサービスの内容は次のとおりです。使用した分だけをお支払いいただきます。
たとえば、新しいアカウントをプロビジョニングするときにパブリックサブネットを有効にするように AWS Control Tower のアカウントファクトリ設定を編集した場合、アカウントファクトリは Amazon VPC が NAT ゲートウェイを作成するように Amazon VPC を設定し、Amazon VPC によって使用量が請求されます。次の例は、他のサービスを有効にすることで発生するコストに、AWS Control Tower がどのように影響するかを示しています。
AWS Control Tower のアカウントから一時的ワークロードを実行している場合、これらの一時的なリソースの作成や削除に関連する設定変更を記録するため、AWS Config のコストが増加する可能性があります。一時的ワークロードとは、コンピューティングリソースを一時的に使用するもので、必要なときにロードされて実行されます。例えば、Amazon Elastic Compute Cloud (Amazon EC2) スポットインスタンス、Amazon EMR ジョブ、AWS Auto Scaling などがあります。
詳細については、 AWS Config の料金表を参照してください。これらのコストの管理に関する具体的な情報については、AWS のアカウント担当者にお問い合わせください。
料金の例 1: AWS Control Tower のセットアップ
米国東部 (バージニア北部) の AWS リージョンに、AWS Control Tower をセットアップします。アカウントファクトリーを使用してオプションのコントロールを適用したり、新しいアカウントを作成することはありません。
管理アカウントで AWS Control Tower を最初にセットアップすると、AWS Control Tower がアカウントファクトリーをプロビジョニングし、2 つの共有アカウント (ログアーカイブと監査) を作成して、必須のコントロール (予防と検出) が適用されます。サービスコントロールポリシー (SCP) として実装される予防コントロールはグローバルに適用されます。AWS Config ルールとして実装される検出コントロールは、AWS Control Tower が現在利用可能なすべてのリージョンで有効になります。
管理アカウントには、AWS Control Tower に関連するアクティビティに関連する次の料金が課金されます。
- 0.033 USD の 1 回限りの料金が請求されます。これには、 AWS Config が最初に 3 つの設定項目を記録する場合、設定項目あたり 0.003 USD、2 つのルールを評価するための AWS Config が 0.002 USD(評価あたり 1 回の評価につき 0.001 ドル)が含まれ、どちらもログアーカイブアカウントの Amazon S3 バケットに関連する料金です。0.022 USD は AWS CloudTrail に請求されます。ランディングゾーンの作成中に、管理イベント100,000件あたり2.00ドルのレートで、1,100件のイベントを記録します。
- AWS CloudTrail、AWS Service Catalog (新しいポートフォリオの作成、アカウントファクトリ製品の作成、および権限の関連付けのために記録された 8 回の API コール)、 Amazon CloudWatch、Amazon S3 、Amazon SNS 、 AWS Config などのリソースについては、すべてのアカウントでのアクティビティに応じて追加の適用料金が請求されます。たとえば、Amazon S3 がログアーカイブバケットを保存する場合、1 GB あたり 0.023 USD が課金されます。
詳細については、それぞれの AWS のサービスの料金ページをご参照ください。
料金の例 2: AWS での使用プロファイルが小さいお客様
料金の例 1 でランディングゾーンを設定した後、チームが使用する 10 個の新しいアカウントをプロビジョニングし、新しいアカウントごとに 5 つのリソースを作成します。ビジネスポリシーに従って、リソースをホストし、単一のリージョン、たとえば米国東部 (バージニア北部) でオペレーションを実行してください。他のリージョンではオペレーションを行いません。さらに、新しいアカウントで強く推奨される 2 つの予防コントロールを有効にします。
管理アカウントは、AWS Control Tower に関連する次のアクティビティに対して課金されます。
- 0.31 USD の 1 回限りの料金が請求されます。これには、 AWS Config が 50 個の構成項目 (= 10 アカウント X 5 リソース X 1 リージョン) を設定項目あたり 0.003 USD のレートで記録する場合の 0.15 USD が含まれます (各リソースが 1 つの設定項目を作成すると仮定します)。AWS Control Towerが 2 つの予防的統制を有効にし、アカウントファクトリが 10 個の新しいアカウントをプロビジョニングした場合、8 ,000 件のイベントを記録するために AWS CloudTrail に 0.16 USD が請求されます(2 ドルのレートで)管理イベント 100,000 件あたり 00 件
- AWS CloudTrail、AWS サービスカタログ (アカウントファクトリが 10 個の新しいアカウントをプロビジョニングすると 100 回の API 呼び出しが記録される)、 Amazon CloudWatch、Amazon S3 、 Amazon SNS 、 AWS Config などのリソースに対して、すべてのアカウントでのアクティビティに応じて追加の適用料金が請求されます。
新しいアカウントをプロビジョニングし、アカウントにリソースを作成したら、10 個のアカウントすべてと AWS Control Tower が現在利用可能なリージョンすべてで、5 つの強く推奨される検出コントロールを有効にします。さらに、各リソースは 1 か月あたり 10 件の設定状態の変更を行い、強く推奨される各検出コントロールはすべてのアカウントで 1 か月あたり合計 250 件のルール評価を呼び出します。米国東部 (バージニア北部) リージョンでリソースをホストし、オペレーションの実行を継続します。
管理アカウントは、AWS Control Tower に関連する次のアクティビティに対して月額 3.75 USD が課金されます。
- 500 個の構成項目 (= 10 アカウント X 5 リソース X 1 リージョン X 1 リージョン X 1 アカウントあたりリソースあたり 10 個の構成状態変更) を記録するために AWS Config には、1 か月あたり 1.50 USD が請求されます。設定項目あたり 0.003 USD です。
- AWS Config が 1,250 件のルール評価を実行するのにかかる月額 1.25 USD (すなわち、コントロールあたり 5 コントロール X 1 リージョン X 250 件のルール評価)。評価あたりの料金は 0.001 USD (最初の 10 万件の評価に対して)。
さらに、コントロールが最初にアカウントのリソースを評価する際 (各リソースが 1 つの設定項目を作成するとします)、AWS Config が 250 個の設定項目と 250 件のルール評価 (すなわち、両方に対して 10 アカウント X 5 リソース X 1 リージョン X 5 コントロール) を記録するのに 1 回限り 1.00 USD の料金も発生します。
さらに、管理アカウントには、すべてのアカウントでのアクティビティに応じて、 AWS CloudTrail、 Amazon CloudWatch 、 AWS サービスカタログ、 Amazon S3 、 Amazon SNS 、 AWS Config などのリソースに適用される追加料金が請求されます。
詳細については、それぞれの AWS のサービスの料金ページをご参照ください。
料金の例 3: AWS での使用プロファイルが大きいお客様
料金の例 1 でランディングゾーンを設定した後、チームが使用する 25 個の新しいアカウントをプロビジョニングし、新しいアカウントごとに、操作を行う各リージョンで 15 個のリソースを作成します。ビジネスポリシーに従って、リソースをホストし、3 つのリージョン (たとえば、米国東部 (バージニア北部) のホームリージョンと、米国東部 (オハイオ) と欧州 (アイルランド)などその他の 2 つのリージョン) でオペレーションを実行してください。他のリージョンではオペレーションを行いません。さらに、新しいアカウントで強く推奨される 2 つの予防コントロールを有効にします。
管理アカウントには、AWS Control Tower に関連するアクティビティに関連する次の料金が課金されます。
- 3.775 USD の 1 回限りの料金が請求されます。これには、設定項目あたり 0.003 USD のレートで 1,125 の構成項目 (= 25 アカウント X 15 リソース X 3 リージョン) を記録するための AWS Config の 3.375 USD が含まれます (各リソースが 1 つの設定項目を作成すると仮定します)。AWS Control Towerが 2 つの予防統制を有効にし、アカウントファクトリが 25 個の新しいアカウントを次のレートでプロビジョニングした場合、20,000 件のイベントを記録するために AWS CloudTrail に 0.40 USD が請求されます。管理イベント100,000件あたり2.00ドルです。
- AWS CloudTrail、AWS サービスカタログ (アカウントファクトリが 25 個の新しいアカウントをプロビジョニングすると 250 回の API 呼び出しが記録される)、 Amazon CloudWatch、Amazon S3 、 Amazon SNS 、 AWS Config などのリソースに対して、すべてのアカウントでのアクティビティに応じて追加の適用料金が請求されます。
新しいアカウントをプロビジョニングし、アカウントにリソースを作成したら、25 個のアカウントすべてと AWS Control Tower が利用可能なリージョンすべてで、5 つの強く推奨される検出コントロールを有効にします。さらに、各リソースは 1 か月あたり 15 件の設定状態の変更を行い、強く推奨される各検出コントロールはすべてのアカウントおよび運用しているすべてのリージョンで、1 か月あたり合計 2000 件のルール評価を呼び出します。米国東部 (バージニア北部)、米国東部 (オハイオ)、欧州 (アイルランド) のリージョンでリソースをホストし、オペレーションの実行を継続します。
管理アカウントは、AWS Control Tower に関連するアクティビティに対して月額 60.625 USD が課金されます。
- AWS Config では、16,875 個の構成項目 (= 25 アカウント X 15 リソース X 3 リージョン X 1 アカウントあたりリソースあたり 15 個の構成状態変更) を記録するために、1 か月あたり 50.625 USD が、設定項目あたり 0.003 USD で請求されます。
- AWS Config が 10,000 件のルール評価を実行するのにかかる月額 10.00 USD (すなわち、コントロールあたり 5 コントロール X 1 コントロールあたり 2,000 件のルール評価)。評価あたりの料金は 0.001 USD (最初の 10 万件の評価に対して) が請求されます。
さらに、コントロールが最初にアカウントのリソースを評価する際 (各リソースが 1 つの設定項目を作成するとします)、AWS Config が 5,625 個の設定項目と 5,625 件のルール評価 (すなわち、両方に対して 25 アカウント X 15 リソース X 3 リージョン X 5 コントロール) を記録するのに 1 回限り 22.50 USD の料金も発生します。さらに、管理アカウントには、すべてのアカウントでのアクティビティに応じて、 AWS CloudTrail、 Amazon CloudWatch 、 AWS サービスカタログ、 Amazon S3 、 Amazon SNS 、 AWS Config などのリソースに適用される追加料金が請求されます。
詳細については、それぞれの AWS のサービスの料金ページをご参照ください。
料金の例 4: AWS で一時的ワークロードを利用するお客様
AWS Control Tower のセットアップとプロファイルの使用に関連する上記の例に加えて、大きな一時的ワークロードを持つお客様は、AWS Config のコストが増加する可能性があります。
一時的ワークロードとは、コンピューティングリソースを一時的に使用するもので、必要なときにロードされて実行されます。例としては、Amazon EC2 スポットインスタンス、Amazon EMR ジョブ、AWS Auto Scaling などがあります。AWS Control Tower のアカウントから一時的ワークロードを実行している場合、これらの一時的なリソースの作成や削除に関連する設定変更を記録するため、AWS Config のコストが増加する可能性があります。
AWS Config では、以下の数に基づいて課金されます。
- 記録された設定項目
- アクティブな AWS Config ルール評価
- アカウント内のコンフォーマンスパック評価
AWS リージョンごとに AWS アカウントで記録された設定項目あたり 0.003 USD をお支払いいただきます。設定項目 (CI) は、リソースの設定や関係に変更があった際に記録されます。リソースには、AWS、サードパーティー、カスタムのリソースが含まれます。関係は、AWS アカウント内で、あるリソースが他のリソースにどのように関連付けられているかを定義するものです。Amazon EC2 スポットインスタンス、Amazon EMR ジョブ、AWS Auto Scaling などの一時的なワークロードを実行している場合、AWS Config に関連するコストが増加する可能性があります。
各一時的ワークロードに対して、以下のように CI が記録されます。
一時的リソースの生成で記録される 1 つの CI
一時的リソースの削除で記録される 1 つの CI
例えば、10 個の EC2 リソースを生成しているとします。未使用の EC2 容量を活用するために、100 個の EC2 スポットインスタンス と 100 個の AWS Auto Scaling リソースを生成し、アカウントごと、AWS リージョンごとに、24 時間で 10 回、スケールアップとスケールダウンを行います。
一時的ワークロードで記録された CI の数
Amazon EC2 スポットインスタンスの場合
24 時間の間にいつでもスケールアップできる 100 個の Amazon EC2 スポットインスタンス = 100 CI
24 時間の間にいつでもスケールダウンできる 100 個の Amazon EC2 スポットインスタンス = 100 CI
生成される CI の合計 = (100 + 100) × 10 回/24 時間 = 各アカウント、各リージョンに CI 2000 個/24 時間
AWS Auto Scaling の場合
24 時間の間にいつでもスケールアップできる 100 個の AWS Auto Scaling リソース = CI 100 個
24 時間の間にいつでもスケールダウンできる 100 個の AWS Auto Scaling リソース = CI 100 個
生成される CI の合計 = (100 + 100) × 10 回/24 時間 = 各アカウント、各リージョンに CI 2000 個/24 時間
一時的ワークロードの変化のために記録された CI のコスト
4000 × 0.003 = 各アカウント、各リージョンに 12 USD/日
または
12 USD/日 × 31 日 = 各アカウント、各リージョンに 372 USD/月
AWS Control Tower でリソースを実行する場合、AWS Control Tower 自体には追加コストはかかりません。追加のコストは、一時的ワークロード、それらに関連する変更、および AWS Config によって生成される CI に関連します。一時的ワークロードは、AWS Control Tower の中でも外でも、AWS Config で同じ料金になっています。
詳細については、AWS Config の料金をご覧ください。これらのコストの管理に関する具体的な情報については、AWS のアカウント担当者にお問い合わせください。