本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
费用、区域和性能注意事项
当你应用服务器端加密时,你需要支付 Amazon KMS API 使用量和密钥费用。与自定义 KMS 主密钥不同,(Default) aws/kinesis 客户主密钥 (CMK) 是免费提供的。但是,您仍必须支付因您产生的 Amazon Kinesis Data Streams API 使用费。
API 使用费适用于所有 CMK,包括自定义的 CMK。在 Kinesis Data Streams 轮换数据密钥时,大约每五分钟调用一次 Amazon KMS 。以 30 天为一个月,由 Kinesis 流启动的 Amazon KMS API 调用的总费用应该不到几美元。此费用随着数据创建者和消费端上使用的用户凭据数的增加而提高,因为每个用户凭据都需要对进行唯一的 API 调用。 Amazon KMS当您使用 IAM 角色进行身份验证时,每个代入角色调用都会产生唯一的用户凭据。为了节约 KMS 成本,您可能想要缓存代入角色调用返回的用户凭据。
下面按资源介绍各项费用:
键
-
Amazon 由(别名
aws/kinesis=)管理的用于 Kinesis 的 CMK 不收费。 -
用户生成的 KMS 密钥需要收取 KMS 密钥费用。有关更多信息,请参阅 Amazon Key Management Service Pricing
。
API 使用费适用于所有 CMK,包括自定义的 CMK。在 Kinesis Data Streams 轮换数据密钥时,大约每 5 分钟调用一次 KMS。以 30 天为一个月,由 Kinesis 数据流启动的 KMS API 调用的总费用应该不到几美元。请注意,此费用随着数据创建者和消费端上使用的用户凭据数的增加而提高,因为每个用户凭据都需要对 Amazon KMS 进行唯一的 API 调用。当您使用 IAM 角色进行身份验证时,每个角色都 assume-role-call将生成唯一的用户凭证,您可能需要缓存中返回的用户凭证 assume-role-call以节省 KMS 费用。
KMS API 使用量
对于每个加密流,当从 TIP 进行读取并在读取器和写入器之间使用单个 IAM 账户/用户访问密钥时,Kinesis 服务大约每 5 分钟调用该 Amazon KMS
服务 12 次。如果不从 TIP 进行读取,则可能会导致更高的 Amazon KMS 服务调用次数。生成新数据加密密钥的 API 请求需支付 Amazon KMS 使用费用。有关更多信息,请参阅 Amazon Key Management Service Pricing: Usage
按区域的服务器端加密的可用性
目前,Kinesis 流的服务器端加密功能已在 Kinesis Data Streams 支持的所有区域提供 Amazon GovCloud ,包括(美国西部)和中国区域。有关 Kinesis Data Streams 支持的区域的更多信息,https://docs.aws.amazon.com/general/latest/gr/ak请参阅 .html。
性能注意事项
由于应用加密存在服务开销,应用服务器端加密的开销会将 PutRecord、PutRecords 和 GetRecords 的典型延迟增加不到 100 微秒。