AWS Control Tower は追加料金なしでご利用いただけます。ただし、AWS Control Tower をセットアップすると、ランディングゾーンおよび必須のコントロールをセットアップするように設定された AWS のサービスの費用が発生します。AWS Organizations や AWS IAM アイデンティティセンターなどの一部の AWS のサービスは追加料金がかかりませんが、AWS Service Catalog、AWS CloudTrail、AWS Config、Amazon CloudWatch、Amazon Simple Notification Service (Amazon SNS)、Amazon Simple Storage Service (Amazon S3)、Amazon Virtual Private Cloud (Amazon VPC) などのサービスの料金が、これらのサービスの使用量に基づいて発生します。使用した分だけをお支払いいただきます。
たとえば、新しいアカウントをプロビジョニングする際に AWS Control Tower のアカウントファクトリーの設定を編集してパブリックサブネットを有効にすると、アカウントファクトリーは Amazon VPC を設定して NAT Gateway を作成し、Amazon VPC の使用に対して請求するようになります。次の例は、他のサービスを有効にすることで発生するコストに、AWS Control Tower がどのように影響するかを示しています。
AWS Control Tower のアカウントから一時的ワークロードを実行している場合、これらの一時的なリソースの作成や削除に関連する設定変更を記録するため、AWS Config のコストが増加する可能性があります。一時的ワークロードとは、コンピューティングリソースを一時的に使用するもので、必要なときにロードされて実行されます。例えば、Amazon Elastic Compute Cloud (Amazon EC2) スポットインスタンス、Amazon EMR ジョブ、AWS Auto Scaling などがあります。
詳細については、AWS Config の料金をご覧ください。これらのコストの管理に関する具体的な情報については、AWS のアカウント担当者にお問い合わせください。
料金の例 1: AWS Control Tower のセットアップ
米国東部 (バージニア北部) の AWS リージョンに、AWS Control Tower をセットアップします。アカウントファクトリーを使用してオプションのコントロールを適用したり、新しいアカウントを作成することはありません。
管理アカウントで AWS Control Tower を最初にセットアップすると、AWS Control Tower がアカウントファクトリーをプロビジョニングし、2 つの共有アカウント (ログアーカイブと監査) を作成して、必須のコントロール (予防と検出) が適用されます。サービスコントロールポリシー (SCP) として実装される予防コントロールはグローバルに適用されます。AWS Config ルールとして実装される検出コントロールは、AWS Control Tower が現在利用可能なすべてのリージョンで有効になります。
管理アカウントには、AWS Control Tower に関連するアクティビティに関連する次の料金が課金されます。
- 1 回限り 0.033 USD の料金が請求されます。これには、AWS Config が最初に 3 つの設定項目を記録するのにかかる 0.009 USD (設定項目あたりの料金は 0.003 USD) と、AWS Config が 2 つのルールを評価するのにかかる 0.002 USD (最初の 10 万件の評価に対し、評価あたり 0.001 USD の料金で) が含まれます。どちらの料金も、ログ–アーカイブアカウントの Simple Storage Service (Amazon S3) バケットに関連するものです。AWS CloudTrail がランディングゾーンの作成中に 1,100 件のイベントを記録する場合、0.022 USD が課金されます(10 万件の管理イベントあたりの料金は 2.00 USD)。
- すべてのアカウントでのアクティビティに応じて、AWS CloudTrail、AWS Service Catalog (新しいポートフォリオの作成、アカウントファクトリー製品の作成、アクセス許可の関連付けのために記録した 8 つの API コール)、Amazon CloudWatch、Simple Storage Service (Amazon S3)、Amazon SNS、AWS Config、およびその他のサービスなどのリソースに適用される追加料金が請求されます。たとえば、Amazon S3 がログアーカイブバケットを保存する場合、1 GB あたり 0.023 USD が課金されます。
詳細については、それぞれの AWS のサービスの料金ページをご参照ください。
料金の例 2: AWS での使用プロファイルが小さいお客様
料金の例 1 でランディングゾーンを設定した後、チームが使用する 10 個の新しいアカウントをプロビジョニングし、新しいアカウントごとに 5 つのリソースを作成します。ビジネスポリシーに従って、リソースをホストし、単一のリージョン、たとえば米国東部 (バージニア北部) でオペレーションを実行してください。他のリージョンではオペレーションを行いません。さらに、新しいアカウントで強く推奨される 2 つの予防コントロールを有効にします。
管理アカウントは、AWS Control Tower に関連する次のアクティビティに対して課金されます。
- 1 回限り 0.31 USD の料金が請求されます。これには、AWS Config が 50 個の設定項目 (すなわち、10 アカウント X 5 リソース X 1 リージョン) を記録するのにかかる 0.15 USD (各リソースが 1 つの設定項目を作成するとします) (設定項目あたりの料金は 0.003 USD) が含まれます。AWS CloudTrail が AWS Control Tower が 2 つの予防コントロールを有効にし、アカウントファクトリーが 10 個の新しいアカウントをプロビジョニングする場合、8,000 件のイベントを記録するのに 0.16 USD (10 万件の管理イベントあたりの料金は 2.00 USD) が課金されます。
- すべてのアカウントでのアクティビティに応じて、AWS CloudTrail、AWS Service Catalog (アカウントファクトリーが 10 個の新しいアカウントをプロビジョニングするときに記録した 100 件の API コール)、Amazon CloudWatch、Amazon S3、Amazon SNS、AWS Config、およびその他のサービスなどのリソースに適用される追加料金が請求されます。
新しいアカウントをプロビジョニングし、アカウントにリソースを作成したら、10 個のアカウントすべてと AWS Control Tower が現在利用可能なリージョンすべてで、5 つの強く推奨される検出コントロールを有効にします。さらに、各リソースは 1 か月あたり 10 件の設定状態の変更を行い、強く推奨される各検出コントロールはすべてのアカウントで 1 か月あたり合計 250 件のルール評価を呼び出します。米国東部 (バージニア北部) リージョンでリソースをホストし、オペレーションの実行を継続します。
管理アカウントは、AWS Control Tower に関連する次のアクティビティに対して月額 3.75 USD が課金されます。
- AWS Config が 500 個の設定項目 (すなわち、リソース、リージョン、アカウントあたり 10 アカウント X 5 リソース X 1 リージョン X 10 個の設定状態の変更) を記録するのにかかる月額 1.50 USD (設定項目あたりの料金は 0.003 USD) が請求されます。
- AWS Config が 1,250 件のルール評価を実行するのにかかる月額 1.25 USD (すなわち、コントロールあたり 5 コントロール X 1 リージョン X 250 件のルール評価)。評価あたりの料金は 0.001 USD (最初の 10 万件の評価に対して)。
さらに、コントロールが最初にアカウントのリソースを評価する際 (各リソースが 1 つの設定項目を作成するとします)、AWS Config が 250 個の設定項目と 250 件のルール評価 (すなわち、両方に対して 10 アカウント X 5 リソース X 1 リージョン X 5 コントロール) を記録するのに 1 回限り 1.00 USD の料金も発生します。
加えて、管理アカウントには、すべてのアカウントでのアクティビティに応じて、AWS CloudTrail、Amazon CloudWatch、AWS Service Catalog、Amazon S3、Amazon SNS、AWS Config、およびその他のサービスなどのリソースに適用される追加料金が課金されます。
詳細については、それぞれの AWS のサービスの料金ページをご参照ください。
料金の例 3: AWS での使用プロファイルが大きいお客様
料金の例 1 でランディングゾーンを設定した後、チームが使用する 25 個の新しいアカウントをプロビジョニングし、新しいアカウントごとに、操作を行う各リージョンで 15 個のリソースを作成します。ビジネスポリシーに従って、リソースをホストし、3 つのリージョン (たとえば、米国東部 (バージニア北部) のホームリージョンと、米国東部 (オハイオ) と欧州 (アイルランド)などその他の 2 つのリージョン) でオペレーションを実行してください。他のリージョンではオペレーションを行いません。さらに、新しいアカウントで強く推奨される 2 つの予防コントロールを有効にします。
管理アカウントには、AWS Control Tower に関連するアクティビティに関連する次の料金が課金されます。
- 1 回限り 3.775 USD の料金が請求されます。これには、AWS Config が 1,125 個の設定項目 (すなわち、25 アカウント X 15 リソース X 3 リージョン) を記録するのにかかる 3.375 USD (各リソースが 1 つの設定項目を作成するとします) (設定項目あたりの料金は 0.003 USD) が含まれます。AWS CloudTrail が AWS Control Tower が 2 つの予防コントロールを有効にし、アカウントファクトリーが 25 個の新しいアカウントをプロビジョニングする場合、20,000 件のイベントを記録するのに 0.40 USD (10 万件の管理イベントあたりの料金は 2.00 USD) が課金されます。
- すべてのアカウントでのアクティビティに応じて、AWS CloudTrail、AWS Service Catalog (アカウントファクトリーが 25 個の新しいアカウントをプロビジョニングするときに記録した 250 件の API コール)、Amazon CloudWatch、Amazon S3、Amazon SNS、AWS Config、およびその他のサービスなどのリソースに適用される追加料金が請求されます。
新しいアカウントをプロビジョニングし、アカウントにリソースを作成したら、25 個のアカウントすべてと AWS Control Tower が利用可能なリージョンすべてで、5 つの強く推奨される検出コントロールを有効にします。さらに、各リソースは 1 か月あたり 15 件の設定状態の変更を行い、強く推奨される各検出コントロールはすべてのアカウントおよび運用しているすべてのリージョンで、1 か月あたり合計 2000 件のルール評価を呼び出します。米国東部 (バージニア北部)、米国東部 (オハイオ)、欧州 (アイルランド) のリージョンでリソースをホストし、オペレーションの実行を継続します。
管理アカウントは、AWS Control Tower に関連するアクティビティに対して月額 60.625 USD が課金されます。
- AWS Config が 16,875 件の設定項目を記録するのにかかる月額 50.625 USD (すなわち、リソース、リージョン、アカウントあたり 25 アカウント X 15 リソース X 3 リージョン X 15 個の設定状態の変更)。設定項目あたりの料金は 0.003 USD が請求されます。
- AWS Config が 10,000 件のルール評価を実行するのにかかる月額 10.00 USD (すなわち、コントロールあたり 5 コントロール X 1 コントロールあたり 2,000 件のルール評価)。評価あたりの料金は 0.001 USD (最初の 10 万件の評価に対して) が請求されます。
さらに、コントロールが最初にアカウントのリソースを評価する際 (各リソースが 1 つの設定項目を作成するとします)、AWS Config が 5,625 個の設定項目と 5,625 件のルール評価 (すなわち、両方に対して 25 アカウント X 15 リソース X 3 リージョン X 5 コントロール) を記録するのに 1 回限り 22.50 USD の料金も発生します。加えて、管理アカウントには、すべてのアカウントでのアクティビティに応じて、AWS CloudTrail、Amazon CloudWatch、AWS Service Catalog、Amazon S3、Amazon SNS、AWS Config、およびその他のサービスなどのリソースに適用される追加料金が課金されます。
詳細については、それぞれの AWS のサービスの料金ページをご参照ください。
料金の例 4: AWS で一時的ワークロードを利用するお客様
AWS Control Tower のセットアップとプロファイルの使用に関連する上記の例に加えて、大きな一時的ワークロードを持つお客様は、AWS Config のコストが増加する可能性があります。
一時的ワークロードとは、コンピューティングリソースを一時的に使用するもので、必要なときにロードされて実行されます。例としては、Amazon EC2 スポットインスタンス、Amazon EMR ジョブ、AWS Auto Scaling などがあります。AWS Control Tower のアカウントから一時的ワークロードを実行している場合、これらの一時的なリソースの作成や削除に関連する設定変更を記録するため、AWS Config のコストが増加する可能性があります。
AWS Config では、以下の数に基づいて課金されます。
- 記録された設定項目
- アクティブな AWS Config ルール評価
- アカウント内のコンフォーマンスパック評価
AWS リージョンごとに AWS アカウントで記録された設定項目あたり 0.003 USD をお支払いいただきます。設定項目 (CI) は、リソースの設定や関係に変更があった際に記録されます。リソースには、AWS、サードパーティー、カスタムのリソースが含まれます。関係は、AWS アカウント内で、あるリソースが他のリソースにどのように関連付けられているかを定義するものです。Amazon EC2 スポットインスタンス、Amazon EMR ジョブ、AWS Auto Scaling などの一時的なワークロードを実行している場合、AWS Config に関連するコストが増加する可能性があります。
各一時的ワークロードに対して、以下のように CI が記録されます。
一時的リソースの生成で記録される 1 つの CI
一時的リソースの削除で記録される 1 つの CI
例えば、10 個の EC2 リソースを生成しているとします。未使用の EC2 容量を活用するために、100 個の EC2 スポットインスタンス と 100 個の AWS Auto Scaling リソースを生成し、アカウントごと、AWS リージョンごとに、24 時間で 10 回、スケールアップとスケールダウンを行います。
一時的ワークロードで記録された CI の数
Amazon EC2 スポットインスタンスの場合
24 時間の間にいつでもスケールアップできる 100 個の Amazon EC2 スポットインスタンス = 100 CI
24 時間の間にいつでもスケールダウンできる 100 個の Amazon EC2 スポットインスタンス = 100 CI
生成される CI の合計 = (100 + 100) × 10 回/24 時間 = 各アカウント、各リージョンに CI 2000 個/24 時間
AWS Auto Scaling の場合
24 時間の間にいつでもスケールアップできる 100 個の AWS Auto Scaling リソース = CI 100 個
24 時間の間にいつでもスケールダウンできる 100 個の AWS Auto Scaling リソース = CI 100 個
生成される CI の合計 = (100 + 100) × 10 回/24 時間 = 各アカウント、各リージョンに CI 2000 個/24 時間
一時的ワークロードの変化のために記録された CI のコスト
4000 × 0.003 = 各アカウント、各リージョンに 12 USD/日
または
12 USD/日 × 31 日 = 各アカウント、各リージョンに 372 USD/月
AWS Control Tower でリソースを実行する場合、AWS Control Tower 自体には追加コストはかかりません。追加のコストは、一時的ワークロード、それらに関連する変更、および AWS Config によって生成される CI に関連します。一時的ワークロードは、AWS Control Tower の中でも外でも、AWS Config で同じ料金になっています。
詳細については、AWS Config の料金をご覧ください。これらのコストの管理に関する具体的な情報については、AWS のアカウント担当者にお問い合わせください。
料金に関するその他のリソース
AWS の月額料金を簡単に計算
個別のお見積もりをご希望の場合、AWS のスペシャリストに問い合わせる