CyberArk Conjur 定价：完整指南（2026版）

infisical
发布于 2025-04-30 12:57
阅读 107

文章主要梳理了 CyberArk Conjur 的三种形态：开源版、企业自托管版和 SaaS 版，并重点拆解其按“身份数”计费的模式、常见隐藏成本以及总拥有成本（TCO）估算。文章指出 Conjur 在企业级安全、审计、与 CyberArk PAM 生态整合方面有优势，但公开定价极不透明，自托管还会带来基础设施、运维和专业服务成本。最后给出对比建议，认为对预算敏感或追求开发者体验的团队，可以优先评估替代方案。

## CyberArk Conjur 定价：完整指南 [2026 版]

CyberArk Conjur 是一个专为 DevOps、云原生和容器化环境打造的 secrets management 平台。它为容器、微服务、CI/CD pipelines 和 service accounts 等非人类身份安全地存储并集中管理敏感凭证——例如 API keys、数据库密码和 TLS certificates。Conjur 提供细粒度访问控制，自动化凭证轮换，提供详细的审计追踪，并与包括 Kubernetes、OpenShift 以及主流 CI/CD 工具在内的 orchestrators 原生集成。

Conjur 有三种版本，全部建立在同一核心之上：

| Offering | 典型用例 | Hosting model |
| --- | --- | --- |
| **Conjur OSS (Open Source)** | 学习、POC、实验室 | Self-hosted（你负责运行一切） |
| **Conjur Enterprise** <br/> _(现已作为 **CyberArk Secrets Manager – Self-Hosted** 销售)_ | 大规模生产、严格合规、air-gap | Self-hosted |
| **CyberArk Secrets Manager – (Conjur Cloud, SaaS)** | “Set-and-forget” 的 secrets-as-a-service | 由 CyberArk 完全托管 |

**TL;DR:**

- **Conjur OSS** 是一个免费、由社区支持的入门方案，通过 REST API、CLI 和 client SDKs 提供核心功能。它还包括 Conjur Open Source Suite——一组用于与常见 DevOps 平台和工具（如 Kubernetes、AWS、Azure、GCP、Ansible、Jenkins、Terraform）集成的插件，以及专门的 secrets delivery 工具。
- **Conjur OSS 缺少**某些功能——最显著的是 **web dashboard UI**，以及与 CyberArk 核心 PAM Vault 的原生 **integration**，后者用于 secrets 同步。
- Conjur OSS **不**等同于 **CyberArk Secrets Hub**。Secrets Hub 是一个独立的 SaaS 产品，专注于从 AWS Secrets Manager 或 Azure Key Vault 等外部存储中同步 secrets，**而不是** 自身管理 secrets。
- **Secrets Manager – Self-Hosted（Conjur Enterprise）** 为需要对环境拥有完全控制权的组织提供完整的企业级解决方案，并由官方支持背书。不过，它要求客户自行管理基础设施，并且通常会产生 **可观的专业服务成本**。
- **Secrets Manager – SaaS（Conjur Cloud）** 提供托管服务体验，最大限度减少运维开销，其定价通常会根据所管理的人类和非人类身份（workloads）数量进行扩展。
- **CyberArk Conjur 定价在所有层级都高度不透明**。公开价格信息非常少，因此如果不联系其销售团队，很难估算 total cost of ownership (TCO)。尤其对于 Self-Hosted 部署，专业服务和基础设施要求等隐性成本可能相当可观。
- [Infisical](https://infisical.com/) 可能是一个不错的替代方案，具有更透明的定价、更完善的 secrets management 功能，以及更友好的开发者体验。

本指南尽最大努力梳理 CyberArk Conjur 相关的可用部署选项、定价结构以及潜在隐性成本。不过，由于整体缺乏透明度，请将此处提供的定价信息视为粗略估算，而非精确或有保证的数字。

### Conjur Service Tiers 与 Pricing Metrics

与按 _operation_ 计费的云服务提供商产品不同，CyberArk 对 Conjur Enterprise 和 SaaS 主要按请求 secrets 的 **“identities”数量**（apps、pods、hosts）定价。

| Tier | Pricing metric | Publicly visible price signals\* |
| --- | --- | --- |
| **OSS** | 免费，Apache-2.0/LGPL v3 | 软件 $0<br/>(你仍需支付 compute 费用) |
| **Enterprise** | 按 identity 的年度订阅（或固定的 10-/20-/50-identity packs） | [AWS Marketplace "DevSecOps Secrets Manager 20 Users"](https://aws.amazon.com/marketplace/pp/prodview-eyoutsyv3bbii) – **$23,328 / year** <br/>Street price：中型交易中通常为 **每个 identity / 年 $1k – $1.5k** |
| **SaaS** | 按 identity 的年度订阅 | 仅报价。通常比 self-hosted 高 10-15%，但已包含 infra |

对于大多数团队，尤其是运行 Self-Hosted Conjur 的团队，必须将 **CyberArk Professional Services**（或认证合作伙伴）纳入预算。这些服务通常负责初始设置、与现有 CI/CD、云平台或 SIEM 工具的集成、策略开发、升级以及健康检查。虽然从技术上讲可选，但在复杂环境中要实现顺畅、安全的部署，往往离不开它们。请记住，这些服务会 **显著提高你的 total cost of ownership (TCO)**，因此务必在 rollout planning 中把它们考虑进去。

下面是一个基于你计划管理的 identities 数量和所选 tier 来估算 TCO 的示例：

#### 示例定价拆分

| 场景 | Identities | Deployment | License\* | Infra & Ops | **1-Year TCO** |
| --- | --- | --- | --- | --- | --- |
| 小型试点 | 20 | AWS Marketplace | $23,328 | $0（已包含） | **$23.3k** |
| 中型生产环境 | 250 | Self-hosted | $250k | $36k（K8s cluster，2 × m6g.large + EBS） | **$286k** |
| Enterprise HA | 1,000 | SaaS | $900k（bulk tier） | $0 | **$900k** |

_注：License prices 假设 3 年期限可享受 20% 折扣。_

#### 额外定价考虑因素

在规划预算时，请务必考虑以下额外定价因素：

- **Identity Counting** – 与 Conjur 通信的每个 container、Lambda function 或 CI job 都算作一个 identity。如果没有妥善管理，短暂存在的 workloads 会很快抬高 identity 数量。
- **HA Architecture** – 需要高可用性（HA）或 disaster recovery（DR）的部署，由于需要 follower nodes 和 database replicas，license 成本可能增加 30–50%。
- **Self-Hosted Overheads** – 自行管理 Conjur 需要在补丁更新、备份、监控、值班覆盖和安全加固方面投入，增加大量人力成本。
- **Marketplace Advantage** — 通过 AWS/Azure marketplace 购买，可使用已承诺的云支出，并在整个合同期内锁定价格。

其他需要纳入考虑的重要附加成本：

| Item | Indicative Price | Notes |
| --- | --- | --- |
| **Follower（只读）node license** | primary node 的 25–40% | 多区域 HA/DR 部署所需 |
| **Premium Support 24×7** | +18% 的 annual license cost | Self-Hosted 可选；SaaS 已包含 |
| **Professional Services** | $2,000–$2,400/day | 用于设计和 rollout 的典型 5–20 天合作 |
| **自带 HSM** | Hardware + integration costs | 通过 PKCS#11 plugin 支持 |

简而言之：**CyberArk Conjur 提供强大的企业级 secrets management**——但其不透明的定价结构、隐性的运维成本以及对 professional services 的依赖意味着，组织在做出承诺之前应当 **仔细评估自身需求、合理规划预算，并比较替代方案**。

### 你应该使用 CyberArk Conjur 吗？

#### 优势

1. **Enterprise-grade controls** – FIPS 认证的加密、防篡改审计、细粒度 RBAC 和 SIEM integrations。
2. **与 CyberArk PAM 统一** – 如果你已经在运行 CyberArk Privileged Access Manager，Conjur 可以纳入相同的 policy model 和 reporting。
3. **Multi-platform** – 可在本地、任何云或混合环境中运行。OSS 和 Enterprise 共享 APIs，因此迁移很直接。

#### 考量

1. **定价不透明** – 除了小型 pack 之外几乎没有公开价目表；谈判是必须的。
2. **基于 identity 的计费** – 定价基于 identities 的数量（例如 microservices 或 workloads），因此在规划时必须考虑这一点，尤其是对于包含大量 ephemeral 或 distributed components 的环境。
3. **运维负担（self-hosted）** – 除非你为 SaaS 付费，否则 PostgreSQL、appliances、升级和 DR 都由你管理。
4. **功能重叠** – 如果你只需要 CI/CD secret 注入，像 [Infisical](https://infisical.com/) 这样的工具可能更便宜且部署更快。
5. **整体适配度** – 最适合已经在 CyberArk 生态中投入较多，或有严格审计/合规需求的大型企业。小团队可能会觉得 Infisical、Doppler 或 HashiCorp Vault 更简单、更具成本效益。

### CyberArk Conjur 替代方案

| 产品 | Model | 起始价格 | 显著优势 |
| --- | --- | --- | --- |
| **Infisical** | OSS、Cloud & Self-hosted | Free tier / $18 identity / mo | 现代 UI、环境分离、开发者工作流 |
| **HashiCorp Vault** | Self-hosted & SaaS | $0 OSS / $14,238 / year | 丰富的 plugin 生态系统、灵活的构建模块 |
| **AWS Secrets Manager** | SaaS | 每个 secret $0.40 + 每 10k calls $0.05 | 紧密的 AWS 集成、serverless |

_阅读我们的完整 [CyberArk Conjur Alternatives [2025]](https://learnblockchain.cn/article/25257) 指南。_

### 常见问题

#### Conjur OSS 真的适合生产环境免费使用吗？

软件本身是免费的，但 CyberArk 的企业插件（LDAP/SAML、audit streaming、FIPS modules）并不免费。大多数生产环境最终都会需要这些功能，从而把你推向 Enterprise。

#### Conjur 定价与 HashiCorp Vault 相比如何？

Vault Secrets 的定价为每个 secret 每月 $0.50，外加每 10k secret reads $0.10（Standard Tier），而 HCP Vault Enterprise 则贵得多。对于稳态 workloads，若每个 identity 有 >150 个 secrets，Conjur 的 identity model 通常便宜 10–15 %——但对于波动较大的按需 jobs，可能会更贵。

如需更深入的对比，请查看：

- [Cyberark Conjur vs Hashicorp Vault](https://learnblockchain.cn/article/25242)
- [Hashicorp Vault 定价完整指南](https://learnblockchain.cn/article/25225)

#### 我以后可以从 Conjur OSS 迁移到 Enterprise 吗？

可以。两者共享相同的 API 和底层 data model。升级主要是 license 切换并添加 enterprise plugins。

#### SaaS tier 支持本地 runners 吗？

支持。你可以在本地或私有云中部署 “Conjur Followers”，它们会从 SaaS master 同步 secrets，从而在不暴露你的网络的情况下保留低延迟访问。

#### 如果我的 licensed identity count 超过了会怎样？

Conjur 不会硬性停止请求，但会标记超额使用。CyberArk 会在续约时进行 true-up，通常会对超出的 identities 提供批量折扣。

### 最后思考

CyberArk Conjur 是一个强大的解决方案，适合对安全、合规和审计要求严格的组织——但它带来的明显权衡不应被忽视。

首先，**真正的拥有成本（TCO）** 可能远高于初始 license 所显示的水平。尤其对于 Self-Hosted 部署，professional services、基础设施、运维人员和 premium support 的成本可能会在基础 license 价格之上增加 30–70%。即便是 Conjur Cloud（SaaS）也有相当高的按 identity 成本，常常使初创公司或精简团队难以负担。

其次，**定价透明度很差**。针对更大规模部署的公开信息非常少，迫使客户进入不透明、由销售驱动的谈判。这使得在评估阶段很难将 Conjur 与替代方案进行基准比较，也使长期预算编制更加复杂。

第三，组织应谨慎权衡 **vendor lock-in 风险**。虽然 Conjur OSS 提供了开源基础，但许多关键功能（例如 enterprise integrations、高可用增强和合规工具）都被 CyberArk 的商业产品所限制。一旦深度集成——尤其是如果你已经投资于 CyberArk 更广泛的 PAM 生态——切换到其他 secrets management platform 在运维和财务上都可能代价高昂。

**结论：**

CyberArk Conjur 最适合已经与 CyberArk 生态系统保持一致的企业。对于寻求更开发者友好、更快部署且成本可预测解决方案的团队，在做出承诺之前，值得仔细比较替代方案（例如 [Infisical](https://infisical.com/)）。

>- 原文链接： [infisical.com/blog/cyber...](https://infisical.com/blog/cyberark-conjur-pricing)
>- 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

CyberArk Conjur 定价：完整指南 [2026 版]

Conjur 有三种版本，全部建立在同一核心之上：

Offering	典型用例	Hosting model
Conjur OSS (Open Source)	学习、POC、实验室	Self-hosted（你负责运行一切）
Conjur Enterprise <br/> (现已作为 CyberArk Secrets Manager – Self-Hosted* 销售)*	大规模生产、严格合规、air-gap	Self-hosted
CyberArk Secrets Manager – (Conjur Cloud, SaaS)	“Set-and-forget” 的 secrets-as-a-service	由 CyberArk 完全托管

TL;DR:

Conjur OSS 是一个免费、由社区支持的入门方案，通过 REST API、CLI 和 client SDKs 提供核心功能。它还包括 Conjur Open Source Suite——一组用于与常见 DevOps 平台和工具（如 Kubernetes、AWS、Azure、GCP、Ansible、Jenkins、Terraform）集成的插件，以及专门的 secrets delivery 工具。
Conjur OSS 缺少某些功能——最显著的是 web dashboard UI，以及与 CyberArk 核心 PAM Vault 的原生 integration，后者用于 secrets 同步。
Conjur OSS 不等同于 CyberArk Secrets Hub。Secrets Hub 是一个独立的 SaaS 产品，专注于从 AWS Secrets Manager 或 Azure Key Vault 等外部存储中同步 secrets，而不是 自身管理 secrets。
Secrets Manager – Self-Hosted（Conjur Enterprise） 为需要对环境拥有完全控制权的组织提供完整的企业级解决方案，并由官方支持背书。不过，它要求客户自行管理基础设施，并且通常会产生 可观的专业服务成本。
Secrets Manager – SaaS（Conjur Cloud） 提供托管服务体验，最大限度减少运维开销，其定价通常会根据所管理的人类和非人类身份（workloads）数量进行扩展。
CyberArk Conjur 定价在所有层级都高度不透明。公开价格信息非常少，因此如果不联系其销售团队，很难估算 total cost of ownership (TCO)。尤其对于 Self-Hosted 部署，专业服务和基础设施要求等隐性成本可能相当可观。
Infisical 可能是一个不错的替代方案，具有更透明的定价、更完善的 secrets management 功能，以及更友好的开发者体验。

Conjur Service Tiers 与 Pricing Metrics

与按 operation 计费的云服务提供商产品不同，CyberArk 对 Conjur Enterprise 和 SaaS 主要按请求 secrets 的 “identities”数量（apps、pods、hosts）定价。

Tier	Pricing metric	Publicly visible price signals*
OSS	免费，Apache-2.0/LGPL v3	软件 $0<br/>(你仍需支付 compute 费用)
Enterprise	按 identity 的年度订阅（或固定的 10-/20-/50-identity packs）	AWS Marketplace "DevSecOps Secrets Manager 20 Users" – $23,328 / year <br/>Street price：中型交易中通常为每个 identity / 年 $1k – $1.5k
SaaS	按 identity 的年度订阅	仅报价。通常比 self-hosted 高 10-15%，但已包含 infra

对于大多数团队，尤其是运行 Self-Hosted Conjur 的团队，必须将 CyberArk Professional Services（或认证合作伙伴）纳入预算。这些服务通常负责初始设置、与现有 CI/CD、云平台或 SIEM 工具的集成、策略开发、升级以及健康检查。虽然从技术上讲可选，但在复杂环境中要实现顺畅、安全的部署，往往离不开它们。请记住，这些服务会 显著提高你的 total cost of ownership (TCO)，因此务必在 rollout planning 中把它们考虑进去。

下面是一个基于你计划管理的 identities 数量和所选 tier 来估算 TCO 的示例：

示例定价拆分

场景	Identities	Deployment	License*	Infra & Ops	1-Year TCO
小型试点	20	AWS Marketplace	$23,328	$0（已包含）	$23.3k
中型生产环境	250	Self-hosted	$250k	$36k（K8s cluster，2 × m6g.large + EBS）	$286k
Enterprise HA	1,000	SaaS	$900k（bulk tier）	$0	$900k

注：License prices 假设 3 年期限可享受 20% 折扣。

额外定价考虑因素

在规划预算时，请务必考虑以下额外定价因素：

Identity Counting – 与 Conjur 通信的每个 container、Lambda function 或 CI job 都算作一个 identity。如果没有妥善管理，短暂存在的 workloads 会很快抬高 identity 数量。
HA Architecture – 需要高可用性（HA）或 disaster recovery（DR）的部署，由于需要 follower nodes 和 database replicas，license 成本可能增加 30–50%。
Self-Hosted Overheads – 自行管理 Conjur 需要在补丁更新、备份、监控、值班覆盖和安全加固方面投入，增加大量人力成本。
Marketplace Advantage — 通过 AWS/Azure marketplace 购买，可使用已承诺的云支出，并在整个合同期内锁定价格。

其他需要纳入考虑的重要附加成本：

Item	Indicative Price	Notes
Follower（只读）node license	primary node 的 25–40%	多区域 HA/DR 部署所需
Premium Support 24×7	+18% 的 annual license cost	Self-Hosted 可选；SaaS 已包含
Professional Services	$2,000–$2,400/day	用于设计和 rollout 的典型 5–20 天合作
自带 HSM	Hardware + integration costs	通过 PKCS#11 plugin 支持

简而言之：CyberArk Conjur 提供强大的企业级 secrets management——但其不透明的定价结构、隐性的运维成本以及对 professional services 的依赖意味着，组织在做出承诺之前应当 仔细评估自身需求、合理规划预算，并比较替代方案。

你应该使用 CyberArk Conjur 吗？

优势

Enterprise-grade controls – FIPS 认证的加密、防篡改审计、细粒度 RBAC 和 SIEM integrations。
与 CyberArk PAM 统一 – 如果你已经在运行 CyberArk Privileged Access Manager，Conjur 可以纳入相同的 policy model 和 reporting。
Multi-platform – 可在本地、任何云或混合环境中运行。OSS 和 Enterprise 共享 APIs，因此迁移很直接。

考量

定价不透明 – 除了小型 pack 之外几乎没有公开价目表；谈判是必须的。
基于 identity 的计费 – 定价基于 identities 的数量（例如 microservices 或 workloads），因此在规划时必须考虑这一点，尤其是对于包含大量 ephemeral 或 distributed components 的环境。
运维负担（self-hosted） – 除非你为 SaaS 付费，否则 PostgreSQL、appliances、升级和 DR 都由你管理。
功能重叠 – 如果你只需要 CI/CD secret 注入，像 Infisical 这样的工具可能更便宜且部署更快。
整体适配度 – 最适合已经在 CyberArk 生态中投入较多，或有严格审计/合规需求的大型企业。小团队可能会觉得 Infisical、Doppler 或 HashiCorp Vault 更简单、更具成本效益。

CyberArk Conjur 替代方案

产品	Model	起始价格	显著优势
Infisical	OSS、Cloud & Self-hosted	Free tier / $18 identity / mo	现代 UI、环境分离、开发者工作流
HashiCorp Vault	Self-hosted & SaaS	$0 OSS / $14,238 / year	丰富的 plugin 生态系统、灵活的构建模块
AWS Secrets Manager	SaaS	每个 secret $0.40 + 每 10k calls $0.05	紧密的 AWS 集成、serverless

阅读我们的完整 CyberArk Conjur Alternatives [2025] 指南。

常见问题

Conjur OSS 真的适合生产环境免费使用吗？

Conjur 定价与 HashiCorp Vault 相比如何？

如需更深入的对比，请查看：

我以后可以从 Conjur OSS 迁移到 Enterprise 吗？

可以。两者共享相同的 API 和底层 data model。升级主要是 license 切换并添加 enterprise plugins。

SaaS tier 支持本地 runners 吗？

支持。你可以在本地或私有云中部署 “Conjur Followers”，它们会从 SaaS master 同步 secrets，从而在不暴露你的网络的情况下保留低延迟访问。

如果我的 licensed identity count 超过了会怎样？

Conjur 不会硬性停止请求，但会标记超额使用。CyberArk 会在续约时进行 true-up，通常会对超出的 identities 提供批量折扣。

最后思考

CyberArk Conjur 是一个强大的解决方案，适合对安全、合规和审计要求严格的组织——但它带来的明显权衡不应被忽视。

首先，真正的拥有成本（TCO） 可能远高于初始 license 所显示的水平。尤其对于 Self-Hosted 部署，professional services、基础设施、运维人员和 premium support 的成本可能会在基础 license 价格之上增加 30–70%。即便是 Conjur Cloud（SaaS）也有相当高的按 identity 成本，常常使初创公司或精简团队难以负担。

其次，定价透明度很差。针对更大规模部署的公开信息非常少，迫使客户进入不透明、由销售驱动的谈判。这使得在评估阶段很难将 Conjur 与替代方案进行基准比较，也使长期预算编制更加复杂。

第三，组织应谨慎权衡 vendor lock-in 风险。虽然 Conjur OSS 提供了开源基础，但许多关键功能（例如 enterprise integrations、高可用增强和合规工具）都被 CyberArk 的商业产品所限制。一旦深度集成——尤其是如果你已经投资于 CyberArk 更广泛的 PAM 生态——切换到其他 secrets management platform 在运维和财务上都可能代价高昂。

结论：

CyberArk Conjur 最适合已经与 CyberArk 生态系统保持一致的企业。对于寻求更开发者友好、更快部署且成本可预测解决方案的团队，在做出承诺之前，值得仔细比较替代方案（例如 Infisical）。

原文链接： infisical.com/blog/cyber...

登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

翻译
学分: 0
标签: CyberArk Conjur 秘密管理总拥有成本身份计费自托管 SaaS

本文参与登链社区写作激励计划，好文好收益，欢迎正在阅读的你也加入。